Course Outline
소개
클러스터 설정
- 네트워크 보안 정책을 사용하여 클러스터 수준 액세스 제한
- CIS 벤치마크를 사용하여 Kubernetes 구성 요소(etcd, kubelet, kubedns, kubeapi)의 보안 구성을 검토합니다.
- 보안 제어를 통해 Ingress 객체를 올바르게 설정
- 노드 메타데이터 및 엔드포인트 보호
- GUI 요소 사용 및 액세스 최소화
- 배포하기 전에 플랫폼 바이너리 확인
클러스터 강화
- Kubernetes API에 대한 액세스 제한
- 역할 기반 Access 제어를 사용하여 노출 최소화
- 서비스 계정을 사용할 때는 주의를 기울이십시오. 예를 들어 기본값을 비활성화하고 새로 생성된 계정에 대한 권한을 최소화하십시오.
- Kubernetes를 자주 업데이트하세요
시스템 강화
- 호스트 OS 설치 공간 최소화(공격 표면 감소)
- IAM 역할 최소화
- 네트워크에 대한 외부 액세스 최소화
- AppArmor, seccomp와 같은 커널 강화 도구를 적절하게 사용하십시오.
마이크로서비스 취약점 최소화
- PSP, OPA, 보안 컨텍스트 등을 사용하여 적절한 OS 수준 보안 도메인 설정
- Kubernetes 비밀 관리
- 다중 테넌트 환경(예: gvisor, kata 컨테이너)에서 컨테이너 런타임 샌드박스 사용
- mTLS를 사용하여 포드 간 암호화 구현
[삼]
- 기본 이미지 공간 최소화
- 공급망 보호: 허용된 이미지 레지스트리 화이트리스트 작성, 이미지 서명 및 검증
- 사용자 워크로드(예: kubernetes 리소스, docker 파일)의 정적 분석을 사용합니다.
- 알려진 취약점에 대한 이미지 스캔
모니터링, 로깅 및 런타임 보안
- 악의적인 활동을 탐지하기 위해 호스트 및 컨테이너 수준에서 syscall 프로세스 및 파일 활동의 동작 분석을 수행합니다.
- 물리적 인프라, 앱, 네트워크, 데이터, 사용자 및 워크로드 내의 위협을 감지합니다.
- 공격 발생 위치와 확산 방식에 관계없이 공격의 모든 단계를 탐지합니다.
- 심층적인 분석 조사를 수행하고 환경 내에서 악의적인 행위자를 식별합니다.
- 런타임 시 컨테이너의 불변성 보장
- 감사 로그를 사용하여 액세스 모니터링
요약 및 결론
Requirements
- CKA(공인 쿠버네이트 관리자) 자격증
청중
- Kubernetes 실무자
회원 평가 (7)
우리는 모든 것을 조금씩 보게 됩니다
Luis Manuel Navarro Rangel - Vivelink S.A. de C.V.
Course - Docker and Kubernetes
Machine Translated
실제 응용 사례
Łukasz - Rossmann SDP Sp. z o.o.
Course - Docker (introducing Kubernetes)
Machine Translated
실습
Tobias - Elisa Polystar
Course - Docker and Kubernetes: Building and Scaling a Containerized Application
Machine Translated
참가자들이 직접 조작할 수 있는 샌드박스 형태의 가상 데스크톱을 사용할 수 있다는 점이 정말 좋습니다!
Benedict - Questronix Corporation
Course - OpenShift 4 for Administrators
Machine Translated
실습은 학습을 통합하는 데 매우 중요했습니다. 내부적으로 어떻게 작동하는지에 대한 심층적인 설명 덕분에 모든 것이 더욱 명확해졌습니다.
Otavio Marchioli dos Santos - ExitLag
Course - Kubernetes from Basic to Advanced
Machine Translated
Concepts learnt and how to set up the k8 clusters
Sekgwa Ramatshosa - Vodacom SA
Course - Kubernetes on AWS
The explanation and background of each concept, to get a better understanding