Certified Kubernetes Security Specialist (CKS)

Seminarziel

Nach Teilnahme am Seminar verfügen Sie über ein breites Spektrum an Best Practices zur  Absicherung von Container-basierten Anwendungen und  Kubernetes-Plattformen während der Erstellung, Bereitstellung und Laufzeit.

Inhalt

• Cluster-Setup
  • Netzwerksicherheitsrichtlinien, um den Zugriff auf Clusterebene einzuschränken
  • CIS-Benchmark, um die Sicherheitskonfiguration von Kubernetes-Komponenten zu überprüfen
  • (etcd, kubelet, kubedns, kubeapi)
  • Korrekte Einrichtung von Ingress-Objekten mit Sicherheitskontrolle
  • Knotenmetadaten und Endpunkte schützen
  • Verwendung und den Zugriff auf GUI-Elemente minimieren
  •  Plattform-Binärdateien vor der Bereitstellung überprüfen
• Cluster-Sicherheit
  • Beschränken des Zugriffs auf die Kubernetes-API
  • Verwenden von rollenbasierte Zugriffskontrollen, um die Gefährdung zu minimieren
  • Dienstkonten Deaktivieren und Berechtigungen reduzieren
  • Kubernetes regelmäßig aktualisieren
• System-Sicherheit
  • Host-Betriebssystems Angriffsfläche reduzieren
  • IAM-Rollen reduzieren
  • Minimieren des externen Zugriffs auf das Netzwerk
  • Verwenden von geeignete Kernel-Hardening-Tools wie AppArmor, seccomp
• Minimieren Sie Microservice-Schwachstellen
  • Geeignete Sicherheitsdomänen auf Betriebssystemebene einrichten, z. mit PSP, OPA, Sicherheitskontexten
  • Kubernetes-Secrets verwalten
  • Verwenden von Container-Laufzeit-Sandboxen in mandantenfähigen Umgebungen (z. B. gvisor, kata-Container)
  • Implementieren einer Pod-zu-Pod-Verschlüsselung mithilfe von mTLs
• Lieferkettensicherheit
  • Minimieren des Fußabdrucks des Basisimages
  • Sichern der Lieferkette: Zugelassene Images auf die Whitelist setzen, signieren und validieren der Builds
  • Statische Analyse von Benutzer-Workloads verwenden (z. B. Kubernetes-Ressourcen, Docker-Dateien)
  • Images auf bekannte Schwachstellen scannen
• Überwachung, Protokollierung und Laufzeitsicherheit
  • Verhaltensanalysen von Systemaufrufprozessen und Dateiaktivitäten auf dem Host und Container durchführen, um böswillige Aktivitäten zu erkennen
  • Erkennen von Bedrohungen innerhalb der physischen Infrastruktur, Apps, Netzwerke, Daten, Benutzer und Workloads
  • Erkennen aller Angriffsphasen, unabhängig davon, wo sie auftreten und wie sie sich ausbreiten
  • Ausführen einer gründliche analytische Untersuchung und Identifizierung von schlechten Akteuren innerhalb der Umgebung
  • Unveränderlichkeit von Containern zur Laufzeit sicherstellen
  • Verwenden von Überwachungsprotokollen, um den Zugriff zu überwachen