CKS与云原生PaaS平台建设培训


Kubernetes安全专家认证(Certified Kubernetes Security Specialist),简称CKS。获得认证的Kubernetes安全专家具备丰富的知识、技能及最佳实践能力,能够在构建、部署和运行Kubernetes过程中保护基于容器的应用程序和Kubernetes平台。

PaaS课程讲师结合自身工作经验,带领学员深入理解云原生的本质及价值,学习整个生态产品,规划构建PaaS平台所需的全部知识,通过学习本课程,学员可以结合企业业务场景,组织架构,输出云原生应用架构升级,数字化转型方案设计能力。

第一天

CKS最新考纲解读与如何保护Kubernetes集群
  • CKS考试大纲解读
  • 概览:Kubernetes集群组件架构
  • 概览:保护Kubernetes集群安全


Kubernetes安全领域知识介绍
  • Kubernetes的威胁模型/Kubernetes Threat modeling
  • 什么是威胁模型/Threat modeling
  • Kubernetes集群中的威胁源
  • Kubernetes集群中的主要威胁

  • Kubernetes安全边界
    • 什么是安全边界(security boundaries)
    • 安全边界(security boundaries)和信任边界(trust boundaries)
    • Kubernetes的安全边界
    • Linux系统的安全边界
    • 网络的安全边界

  • 纵深防御/Defense in Depth
    • Kubernetes审计介绍
    • Kubernetes集群的高可用性
    • 管理Kubernetes秘钥
    • 使用Vault管理秘钥
    • 用Falco探测Kubernetes集群异常
    • Sysdig介绍


Kubernetes集群搭建/Cluster Setup

  • 使用网络策略NetworkPolicy限制集群网络访问
    • 实战:使用网络插件Calico,实现NetworkPolicy

  • 使用CIS基准来检查Kubernetes组件(kube-api-server、kube-scheduler、kubelet、etcd)的安全配置
    • 了解什么是CIS(Center for Internet Security)基准
    • 安装和使用CIS Kubernetes Benchmark测试工具:kube-bench
    • 使用kube-bench检测master及worker nodes的安全隐患配置

  • Ingress的安全配置
    • 了解什么是Ingress
    • 为Ingress配置自签名证书,建立TLS安全通信

  • 部署前验证Kubernetes二进制文件
    • 通过sha512sum验证Kubernetes二进制文件


Kubernetes集群安全强化/Cluster Hardening

  • 限制对Kubernetes API的访问
    • Kubernetes的鉴权/Kubernetes authentication
    • Kubernetes的授权/Kubernetes authorization
    • Kubernetes的准入控制/Kubernetes Admission Control

  • RBAC(基于角色的访问控制)
    • 了解什么是RBAC
    • RBAC的使用,创建ServiceAccount,Role/ClusterRole和RoleBinding/ClusterRoleBinding

  • ServiceAccount的最佳安全实践
    • 禁用默认的ServiceAccount
    • 对新创建的ServiceAccount应用最小权限原则

  • 升级Kubernetes
    • 使用kubeadm升级Kubernetes集群


第二天

系统强化/System Hardening

  • 减小系统的被攻击面
    • 去除不需要的系统软件模块

  • 限制对外网的访问
    • 使用防火墙保护主机
    • 使用NetworkPolicy限制对外网的访问

  • 使用Linux系统安全模块
    • 使用AppArmor限制容器对资源的访问
    • 使用Seccomp限制容器内进程的系统调用


最小化微服务漏洞/Minimize Microservice Vulnerabilities

  • 使用PSP,OPA,安全上下文提高安全性
    • 了解并配置Pod安全策略(PSP)
    • 了解并配置OPA Gatekeeper
    • 了解并配置Pod或容器安全上下文(securityContext)

  • 管理Kubernetes Secret
    • 使用Kubernetes Secret存储敏感信息

  • 在多租户环境中使用沙箱运行容器(例如gVisor,kata容器)
    • 了解为什么要部署沙箱
    • 什么是gVisor?安装gVisor
    • 配置RuntimeClass,使用gVisor运行Pod

  • 实现Pod和Pod之间的双向TLS认证
    • 了解什么是mTLS(mutual TLS)
    • 使用mTLS进行安全通信


供应链安全

  • 容器安全
    • 选择尽可能小的基础镜像
    • 对容器镜像进行签名和验证

  • 防止恶意容器创建
    • 通过黑名单/白名单来限制访问容器镜像仓库
    • 了解准入控制器 Admission Control
    • 了解并配置ImagePolicyWebhook

  • 分析文件及镜像安全隐患
    • 分析Dockerfile、Kubernetes yaml文件的安全隐患
    • 使用工具扫描镜像漏洞,如trivy


监控、审计和运行时安全

  • 分析容器系统调用,检测恶意进程
    • 安装并使用Falco,进行运行时安全监控

  • 构建不可变容器(Immutable container)

  • Kubernetes审计
    • 开启Kubernetes审计日志
    • 分析Kubernetes审计日志


第三天

Kubernetes常见漏洞/Kubernetes CVEs(Common Vulnerabilities and Exposures)
  • 检测和分析加密货币挖矿攻击(Crypto-Mining Attacks)
  • Kubernetes常见漏洞分析及应对方法
  • 使用第三方工具扫描Kubernetes常见漏洞
  • CKS模拟题演练与解析


第四天:PaaS能力建设

  • 制品管理
  • 资源网络规划
  • 编排部署
  • 部署策略
  • 灰度发布
  • 监控日志
  • 链路跟踪
  • 运维平台
  • 双活灾备
  • 应用迁移


第五天:高级特性&解决方案

  • 云原生价值
  • 开放应用模型【OAM】
  • 服务网格【Istio】
  • 发布策略【OpenKruise】
  • PaaS平台建设实践
  • 应用市场&模板商店
  • Serverless

  • 主流大厂云原生能力全景
    • 阿里&华为&腾讯

  • 解决方案
    • 云原生应用上云方案
    • 资源弹性及调度方案
    • 云原生AI方案

  • 技术方案交流【Q&A】


培训方式:线下授课

培训费用:19435元/人

0 个评论

要回复文章请先登录注册