您所不必白费力气了在的位置:首页>厂商培训
CKS介绍
Kubernetes现在可谓是当前最火热的技术之一,想必很多人都已经会基本的Kubernetes的使用了,但其安全性如何? Kubernetes 集群是否存在安全隐患、所使用的镜像是否有漏洞、如何通过黑名给我滚单/白名单来限制镜像仓库、如何限制容器进程的系▅统调用等◣。
安全没有小问题,所以当务之急是亟需解决 Kubernetes 的安全性╱问题。
Kubernetes 安全专家认证(Certified Kubernetes Security Specialist)是由云原生基金会(CNCF)推出的继CKA及CKAD之后,业界备受关注话的另一个高含金量的K8S认证,主要考察的就是如何排查及解决Kubernetes的安→全隐患。Linux基金会的内容和社交媒体高级经理Dan Brown表示:对于处理越来越多使用云技术的安全团队以』及需要改善其安全性的云团队来说,这个认证至关重要。所以CKS值得每一位Kubernetes从业者及爱好者去学习并考取〓证书。
与CKA一样,CKS考试基于Kubernetes1.19.x版本,时长为2个小时,题目在 15-20 题之间,所有题目均为实操题。考试采用远程方式进︽行,由监考员通过网络摄像头和屏幕共享进行实时监控。报考CKS必须要通过CKA考试,且证书一黑一绿两道人影凌空而立在有效期内,CKS证书有效期为 2 年。
学习班次:
定期公开▲课班型、企业内训私◣有班型、在线直播班型(赠送全套录播课程)
学习形式:
现场面授/线上远↘程授课/视频回放、辅导答疑/考前辅导、定期的线上辅导答疑、专属互动群。
培训周期:
四天
CKS认证是云原生基金会(CNCF)最新推出〓的 Kubernetes认证》安全专家。
1. 使用网络安全策略限制群集级别的访问
使用网络策略控制流量
保护Kubernetes集群安全
声明网络策略以卐控制Pod的通信方式
2. 使用CIS基准来检查Kubernetes组件(etcd,kubelet,kubedns,kubeapi)的安全◇配置
了解什⌒么是Center for Internet Security(CIS)基准
Kubernetes CIS Benchmark 测试的工↑具:kube-bench 的安装
用 kube-bench 检测 master 及 worker 上隐患配置
3. 配置Ingress的安全设置
了最多也就是虚神罢了解什么是Ingress
创建我们就等何林自签名证书替换Ingress自带的证书
4. 保Ψ 护节点元数据
限制通过API访问∑ 元数据
通过配置文件设置Kubelet参数
5. 最大限度地减少对dashboard的使用和访问
设置Kubernetes dashboard的安全
6. 部⊙署前验证Kubernetes二进制文顿时牵引着这一千多件
通过sha512sum验证Kubernetes二进制文件
1. 限制对Kubernetes API的访问
了解访问Kubernetes API的流程
控制对Kubernetes API的访问
2. 使用RBAC最大程度的减少资∞源暴露
了解Kubernetes API Server的∏授权模块
使用RBAC授权
SA的安全设置,例如禁用默认值,最小化对新♀创建SA的权限
了解SA的作用
了解默认情况下SA带来的安全隐患及演示
如何Ψ有效解决SA的权限问题
4. 更新Kubernetes
用Kubeadm升级集群
1. 服务器ぷ的安全设置
去除系统不需要的内核模块
2. 最小化IAM的角色
了解什么是最低特权原则(POLP)
3. 最小化〖外部网络访问
使用操作系统级防火墙保护主机
使Resourcequota及limitrange限制对资源的访问
4. 适当使用内核强化工¤具,例如AppArmor,Seccomp
使用AppArmor限制容卐器对资源的访问
使用Seccomp限制容器的syscall
1. 使用 PSP , OPA ,安全上下文提高安全性
了解并■配置Pod安全策略(PSP)
> 了解什么是Open Policy Agent(OPA)
> OPA Gatekeeper的配置
为Pod或容器配置安全上下文(securityContext)
2. 管理Kubernetes secret
使用secret存储敏ω感信息
静态加密Secret数据
3. 在多租户环境中使用沙箱运行⌒容器(例如gvisor,kata容器)
了解为什么要部署沙箱
什么是gvisor?安装gvisor/p>
使用gvisor运行Pod
安装kata,部署kata容器
4. 使用MTLS实施Pod到Pod的加密
了解什么是 MTLS(mutual TLS)
使用MTLS进行流量Ψ 加密
1. 减小image的大小
如何创建比较小的镜像
2. 保护供应链:将允→许的镜像仓库列入白名单,对镜像⊙进行签名和验证
了解准入控制器Admission Controllers
了解并配置ImagePolicyWebhook
配置Kubernetes所使用镜像仓库的白名单及黑】名单
对镜像▂进行签名和验证
3. 分析文件及镜像安全隐患(例如Kubernetes的yaml文件,Dockerfile )
分析dockerfile文件的安全隐→患
分析pod、deployment的yaml文件里的安全隐患
用trivy扫描镜像的漏◥洞
1. 分析容器系没有任何休息统调用,以检测恶意进程
如何使用Falco检测Kubernetes漏洞
用sysdig对Kubernetes进行安全监○控
2. 配置runtimeClass
3.Kubernetes审计
开启Kubernetes审计日志
分析Kubernetes审计日志
金源在线两道漆黑色客服
QQ在线咨询
咨询电话
010-83650488
在线咨询