دوره تخصصی امنیت Kubernetes (CKS) [ویدئو]

سرفصل ها و درس ها

یک متخصص امنیتی معتبر Kubernetes (CKS) شوید Become a Certified Kubernetes Security Specialist (CKS)

• کارشناس امنیتی معتبر Kubernetes (CKS) Certified Kubernetes Security Specialist (CKS)

خوشه Kubernetes را ایجاد کنید Create Kubernetes Cluster

• خوشه Kubernetes را ایجاد کنید و به برخی از خطاها نگاه کنید Create Kubernetes Cluster and Look at Some Errors

راه اندازی کلاستر - از سیاست های امنیت شبکه برای محدود کردن دسترسی در سطح خوشه استفاده کنید Cluster Setup – Use Network Security Policies to Restrict Cluster Level Access

• مقدمه ای بر NetworkPolicy Introduction to NetworkPolicy

• ایجاد پیش فرض رد NetworkPolicy Create Default Deny NetworkPolicy

• قوانین خروج و ورود ایجاد کنید Create Egress and Ingress Rules

• یک خط مشی شبکه دیگر برای فضای نام متفاوت ایجاد کنید Create Another Network Policy for Different Name Space

راه اندازی کلاستر - استفاده و دسترسی به عناصر رابط کاربری گرافیکی را به حداقل برسانید Cluster Setup – Minimize Use of and Access to GUI Elements

• داشبورد Kubernetes را نصب کنید Install Kubernetes Dashboard

• دسترسی ناامن از خارج Insecure Access from Outside

• RBAC برای داشبورد Kubernetes RBAC for Kubernetes Dashboard

راه اندازی خوشه - اشیاء ورودی را با کنترل امنیتی به درستی تنظیم کنید Cluster Setup – Properly Set Up Ingress Objects with Security Control

• یک ورودی ایجاد کنید Create an Ingress

• امنیت ورود Secure an Ingress

از فراداده گره و نقاط پایانی محافظت کنید Protect Node Metadata and Endpoints

• دسترسی به فراداده گره Accessing Node Metadata

• محافظت از فراداده گره از طریق NetworkPolicy Protect Node Metadata Through NetworkPolicy

از معیار CIS برای بررسی پیکربندی امنیتی اجزای Kubernetes استفاده کنید Use CIS Benchmark to Review the Security Configuration of Kubernetes Components

• نیمکت کوبه kube-bench

قبل از استقرار باینری های پلتفرم را بررسی کنید Verify Platform Binaries before Deploying

• نحوه حذف شبکه سفارشی How to Delete the Custom Network

• بررسی apiserver باینری در حال اجرا در ما کلاستر Verify apiserver Binary Running in Our Cluster

سخت شدن خوشه - RBAC Cluster Hardening - RBAC

• RBAC - Role and Rolebinding RBAC - Role and Rolebinding

• نقش و نقش بندی برای یک کاربر Role and Rolebinding for a User

• ClusterRole و ClusterRoleBinding ClusterRole and ClusterRoleBinding

• حساب ها و کاربران Accounts and Users

• CertificateSigning Requests CertificateSigningRequests

در استفاده از حساب های خدمات احتیاط کنید Exercise Caution in Using Service Accounts

• معرفی Introduction

• پاد از حساب سرویس سفارشی استفاده می کند Pod Uses Custom ServiceAccount

• غیرفعال کردن ServiceAccount Mounting Disable ServiceAccount Mounting

• محدود کردن مجوزهای ServiceAccounts با استفاده از RBAC برای ویرایش منابع Limit ServiceAccounts Permissions Using RBAC to Edit Resources

Cluster Hardening – محدود کردن دسترسی API Cluster Hardening – Restrict API Access

• فعال/غیرفعال کردن دسترسی ناشناس Enable/Disable Anonymous Access

• بیایید یک درخواست API دستی انجام دهیم Let's Perform a Manual API Request

• دسترسی به سرور API خارجی External APIserver Access

• NodeRestriction AdmissionController NodeRestriction AdmissionController

Cluster Hardening – Kubernetes را ارتقا دهید Cluster Hardening – Upgrade Kubernetes

• NodeRestriction را تأیید کنید Verify NodeRestriction

• معرفی Introduction

• یک کلاستر با نسخه قدیمی ایجاد کنید Create a Cluster with the Old Version

• Master و Worker Node را ارتقا دهید Upgrade Master and Worker Node

آسیب پذیری های میکروسرویس - اسرار Kubernetes را مدیریت کنید Microservice Vulnerabilities – Manage Kubernetes Secrets

• راز ایجاد کنید Create Secret

• هک اسرار در داکر Hack Secrets in Docker

• هک اسرار در ETCD Hack Secrets in ETCD

• رمزگذاری ETCD ETCD Encryption

• رمزگذاری ETCD -2 ETCD Encryption -2

از Sandbox های Container Runtime در یک محیط چند مستاجر استفاده کنید Use Container Runtime Sandboxes in a Multi-Tenant Environment

• فراخوانی هسته لینوکس از داخل یک کانتینر Calling Linux Kernel from Inside a Container

• طرح کانتینر باز (OCI) Open Container Initiative (OCI)

• Crictl Crictl

• RuntimeClasses ایجاد و استفاده کنید Create and Use RuntimeClasses

آسیب پذیری های میکروسرویس - دامنه های امنیتی سطح سیستم عامل Microservices Vulnerabilities – OS Level Security Domains

• تنظیم کاربر و گروه کانتینر (زمینه امنیتی) Set Container User and Group (Security Context)

• Force Container Non Root Force Container Non-Root

• کانتینرهای ممتاز Privileged Containers

• PrivilegeEscalation PrivilegeEscalation

• PodSecurityPolicy را ایجاد و فعال کنید Create and Enable PodSecurityPolicy

آسیب پذیری های میکروسرویس ها - mTLS Microservices Vulnerabilities – mTLS

• معرفی Introduction

• یک Sidecar Proxy ایجاد کنید Create a Sidecar Proxy

عامل سیاست باز (OPA) Open Policy Agent (OPA)

• مقدمه OPA Introduction OPA

• OPA Gatekeeper را نصب کنید Install OPA Gatekeeper

• همه خط مشی ها را رد کنید Deny All Policy

• برچسب‌های فضای نام را اجرا کنید Enforce Namespace Labels

امنیت زنجیره تامین – ردپای تصویر Supply Chain Security – Image Footprint

• کاهش ردپای تصویر با چند مرحله Reduce Image Footprint with Multi-Stage

• تصاویر ایمن و سخت Secure and Harden Images

امنیت زنجیره تامین - تجزیه و تحلیل استاتیک Supply Chain Security – Static Analysis

• کوبسک Kubesec

• از kubesec برای انجام تجزیه و تحلیل استاتیک با استفاده از تصویر Docker استفاده کنید Use kubesec to Perform Static Analysis Using Docker Image

• مسابقه OPA OPA Conftest

• مسابقه OPA برای Dockerfile OPA Conftest for Dockerfile

امنیت زنجیره تامین – اسکن آسیب پذیری تصویر Supply Chain Security – Image Vulnerability Scanning

• برای اسکن تصاویر از Trivy استفاده کنید Use Trivy to Scan Images

امنیت زنجیره تامین - زنجیره تامین امن Supply Chain Security – Secure Supply Chain

• خلاصه تصویر Image Digest

• ثبت لیست سفید با OPA Whitelist Registries with OPA

تجزیه و تحلیل رفتاری در سطح میزبان و کانتینر Behavioral Analytics at Host and Container Level

• استریس Strace

• Strace و/proc در ETCD Strace and /proc on ETCD

• از Inside Pod به متغیرهای/proc و env دسترسی پیدا کنید Access /proc and env Variables from the Inside Pod

• فالکو FALCO

• از Falco برای یافتن فرآیندهای مخرب استفاده کنید Use Falco to Find Malicious Processes

• قوانین فالکو را بررسی کنید Investigate Falco Rules

• قوانین فالکو را تغییر دهید Change Falco Rules

امنیت زمان اجرا – تغییرناپذیری کانتینرها در زمان اجرا Runtime Security – Immutability of Containers at Runtime

• معرفی Introduction

• StartupProbe StartupProbe

• SecurityContext کانتینر را غیرقابل تغییر می کند SecurityContext Renders Container Immutable

امنیت زمان اجرا - حسابرسی Runtime Security - Auditing

• معرفی Introduction

• سیاست حسابرسی Audit Policy

• ورود حسابرسی در Apiserver را فعال کنید Enable Audit Logging in Apiserver

• یک راز ایجاد کنید و گزارش حسابرسی را بررسی کنید Create a Secret and Check Audit Logs

سخت شدن سیستم - سخت شدن هسته System Hardening – Kernel Hardening

• AppArmor AppArmor

• AppArmor برای کرل AppArmor for Curl

• AppArmor برای Docker Nginx AppArmor for Docker Nginx

• AppArmor برای Kubernetes Nginx AppArmor for Kubernetes Nginx

• Seccomp Seccomp

• Seccomp برای Docker Nginx Seccomp for Docker Nginx

• Seccomp برای Kubernetes Nginx Seccomp for Kubernetes Nginx