Udemy線上課程 2022年Kubernetes cks1.24真題講解 講師:小 莫 影音教學 中文發音 中文版(DVD版)
kubernetes現在可謂是當前最火熱的技術,想必很多人都已經會基本的kubernetes的使用了,但其安全性如何? kubernetes集群是否存在安全隱患、所使用的鏡像是否有漏洞、如何通過黑名單/白名單來限制鏡像倉庫、如何限制容器進程的系統調用等。
安全沒有小問題,所以當務之急是亟需解決kubernetes的安全性問題。
kubernetes安全專家認證(Certified Kubernetes Security Specialist)是由雲原生基金會(CNCF)推出的繼CKA及CKAD之後,業界備受關注的另一箇高含金量的K8S認證,主要考察的就是如何排查及解決kubernetes的安全隱患。
Linux基金會的內容和社交媒體高級經理Dan Brown表示:“對於處理越來越多使用雲技術的安全團隊以及需要改善其安全性的雲團隊來說,這個認證至關重要”。
所以CKS值得每一位kubernetes從業者及愛好者去學習並考取證書。
與CKA一樣,CKS考試時長為2個小時,題目在15-20題之間,所有題目均為實操題。
考試採用遠程方式進行,由監考員通過網絡攝像頭和屏幕共享進行實時監控。
報考CKS必須要通過CKA考試,且證書在有效期內,CKS證書有效期為3年。
CKS課程大綱
CKS認證是雲原生基金會(CNCF)最新推出的kubernetes認證安全專家(Certified Kubernetes Security Specialist) 。
一、群集設置
1.使用網絡安全策略限制群集級別的訪問使用網絡策略控制流量保護Kubernetes集群安全聲明網絡策略以控制Pod的通信方式
2.使用CIS基準來檢查Kubernetes組件(etcd,kubelet,kubedns,kubeapi)的安全配置瞭解什麼是Center for Internet Security(CIS)基準Kubernetes CIS Benchmark測試的工具:用kube-bench檢測master及worker上隱患配置
3.配置ingress的安全設置瞭解什麼是Ingress建立自簽名證書替換ingress自帶的證書
4.保護節點元數據限制通過API訪問元數據通過配置文件設置 Kubelet 參數
5.最大限度地減少對dashboard的使用和訪問設置Kubernetes dashboard的安全
6.部署前驗證kubernetes二進制文件通過sha512sum驗證kubernetes二進制文件
二、群集強化
1. 限制對Kubernetes API的訪問了解訪問kubernetes api的流程控制對Kubernetes API的訪問
2. 使用RBAC最大程度的減少資源暴露瞭解kubernetes api server的授權模塊使用RBAC授權
3. SA的安全設置,例如禁用默認值,最小化對新建立sa的權限瞭解SA的作用瞭解默認情況下SA帶來的安全隱患及演示如何有效解決sa的權限問題
4. 更新Kubernetes用kubeadm升級集群
三、系統強化
1. 服務器的安全設置去除系統不需要的內核模塊
2. 最小化IAM角色瞭解什麼是最低特權原則(POLP)
3. 最小化外部網絡訪問使用操作系統級防火牆保護主機使resource quota及limit range限制對資源的訪問
4. 適當使用內核強化工具,例如AppArmor,seccomp
使用AppArmor限制容器對資源的訪問
使用Seccomp限制容器的syscall
四、最小化微服務漏洞
1. 使用PSP,OPA,安全上下文提高安全性
瞭解並配置Pod安全策略(PSP)
瞭解什麼是 Open Policy Agent(OPA)
OPA Gatekeeper的配置
為Pod或容器配置安全上下文(securityContext)
2. 管理Kubernetes secret
使用secret存儲敏感信息
靜態加密 Secret 數據
valut、kubeseal
3. 在多租戶環境中使用沙箱運行容器(例如gvisor,kata容器)瞭解為什麼要部署沙箱什麼是gVisor?安裝gvisor使用gVisor運行Pod安裝kata,部署kata容器
4. 使用mTLS實施Pod到Pod的加密瞭解什麼是mTLS(mutual TLS)使用mTLS進行流量加密
五、供應鏈安全
1. 減小image的大小如何建立比較小的鏡像
2. 保護供應鏈:將允許的鏡像倉庫列入白名單,對鏡像進行簽名和驗證瞭解准入控制器Admission Controllers瞭解並配置ImagePolicyWebhook配置kubernetes所使用鏡像倉庫的白名單及黑名單對鏡像進行簽名和驗證
3.分析文件及鏡像安全隱患(例如Kubernetes的yaml文件,Dockerfile)分析dockefile文件的安全隱患分析pod、deployment的yaml文件裏的安全隱患用trivy掃描鏡像的漏洞
六、監控、審計和runtime
1.分析容器系統調用,以檢測惡意進程如何使用Falco檢測Kubernetes漏洞用sysdig 對kubernetes進行安全監控
2.配置runtimeClass
3.Kubernetes審計開啟Kubernetes審計日誌分析Kubernetes審計日誌
01 - CKS1.24
001 CKS考試介紹.mp4
002 01 kube-bench 修復不安全項.mp4
003 02 Pod 指定 ServiceAccount.mp4
004 03 默認網絡策略.mp4
005 04 RBAC - RoleBinding.mp4
006 05 日志審計 log audit.mp4
007 06 創建 Secret.mp4
008 07 Dockerfile 檢測.mp4
009 08 沙箱運行容器 gVisor.mp4
010 09 容器安全,刪除特權 Pod.mp4
011 10 網絡策略 NetworkPolicy.mp4
012 11 Trivy 掃描鏡像安全漏洞.mp4
013 12 AppArmor.mp4
014 13 Sysdig & falco.mp4
015 14 Pod 安全策略-PSP.mp4
016 15 啟用 API server 認證.mp4
017 16 ImagePolicyWebhook 容器鏡像掃描.mp4
|
|
專業知識教學
