LFS460 Kubernetes Security Fundamentals

Überblick über die Cloud-Security

• Mehrere Projekte
• Was ist Sicherheit?
• Bewertung
• Vorbeugung
• Erkennung
• Reagieren
• Klassen von Angreifern
• Arten von Angriffen
• Angriffsflächen
• Überlegungen zu Hardware und Firmware
• Sicherheitsbehörden
• Verwalten des externen Zugriffs

Vorbereiten der Installation

• Image-Versorgungskette
• Laufzeit-Sandbox
• Plattform-Binärdateien verifizieren
• Zugriff auf GUI minimieren
• Richtlinienbasierte Kontrolle

Cluster installieren

• Kubernetes aktualisieren
• Werkzeuge um den Kernels zu härten
• Beispiele für Kernel-Härtung
• Entschärfung von Kernel-Schwachstellen

Absicherung des kube-apiserver

• Zugriff auf API einschränken
• Kube-Apiserver-Auditing aktivieren
• RBAC konfigurieren
• Pod-Sicherheitsrichtlinien
• IAM-Rollen minimieren
• Schutz von etcd
• CIS-Benchmark
• Servicekonten verwenden

Netzwerktechnik

• Firewalling-Grundlagen
• Netzwerk-Plugins
• iptables
• Brute-Force-Anmeldeversuche abwehren
• Verwaltung von Netfilter-Regeln
• Netfilter-Implementierung
• nft-Konzepte
• Ingress-Objekte
• Pod-zu-Pod-Verschlüsselung
• Zugriff auf Cluster-Ebene einschränken

Überlegungen zur Arbeitslast

• Basis-Image minimieren
• Statische Analyse von Workloads
• Laufzeitanalyse von Workloads
• Container-Unveränderlichkeit
• Obligatorische Zugriffskontrolle
• SELinux
• AppArmor
• Erzeugen von AppArmor-Profilen

Probleme erkennen

• ​Phasen eines Angriffs verstehen
• Vorbereitung
• Verstehen eines Angriffsverlaufs
• Während eines Vorfalls
• Umgang mit den Nachwirkungen eines Vorfalls
• Intrusion Detection Systems
• Erkennung von Bedrohungen
• Verhaltensbasierte Analytik