KUBERNETES – SECURIZAÇÃO DA INFRAESTRUTURA
- Explicar os princípios da orquestração de contentores.
- Identificar boas práticas de segurança no Kubernetes.
- Implementar ferramentas para proteger registos de contentores.
- Aplicar ferramentas de conformidade num ambiente Kubernetes.
- Implantar ferramentas de segurança dinâmicas num cluster Kubernetes.
- Elaborar e integrar políticas de segurança adaptadas às suas necessidades.
PRINCÍPIOS FUNDAMENTAIS E FUNDAMENTOS TECNOLÓGICOS DA SEGURANÇA
Fundamentos de contentores e segurança
• Evolução para arquiteturas baseadas em contentores
• Características de um contentor (imutabilidade, portabilidade)
• Riscos associados (área de ataque, isolamento insuficiente)
Segurança das tecnologias subjacentes
• Como funcionam os namespaces (PID, NET, MNT)
• Grupos de controlo (cgroups): isolamento de recursos
• Papel do kernel e dos sistemas operacionais adaptados a contentores
Exemplos de exercícios práticos
• Implementação de um cluster EKS na AWS
• Criar / configurar um utilizador
• Personalizar o kubeconfig para acesso seguro
GARANTINDO A SEGURANÇA DOS MOTORES E REGISTOS DE CONTENTORES
Docker e segurança OCI
• Configuração segura do daemon Docker
• Melhores práticas do Dockerfile (USER, COPY, RUN…)
• Segurança de imagens: varredura automática, vulnerabilidades
• O que a ANSSI diz sobre isto?
Ecossistema e desenvolvimentos da OCI
• Containerd e runc: substitutos do Docker Engine
• Iniciativa OCI: padronização de formatos
• MicroVM e Unikernels: segurança de tempo de execução aprimorada
Exemplos de exercícios práticos
• Implementação do Registo Harbor
• Descobrir os recursos de segurança do registo
• Filtragem de workers no Kubernetes
• Garantir o acesso ao registo (autenticação, roles)
• Utilizar o Trivy para análise de imagens e deteção de CVEs
SEGURANÇA DE REDE, RBAC E SERVICE MESH
Segurança na orquestração do Kubernetes
• Ameaças específicas ao CaaS (exposição de API, etc.)
• Controlo de acesso: utilizadores, funções, vinculação de funções
• Criptografia de dados sensíveis (segredos, etc.)
Rede, CNI e Service Mesh
• Política de Rede Nativa
• Plugins CNI: Calico, Cilium…
• Istio: segurança, roteamento dinâmico, TLS mútuo
• Visibilidade via eBPF
Exemplos de exercícios práticos
• Implementação de uma aplicação multipod
• Criação de políticas de rede para bloquear determinados fluxos de tráfego
• Integração de um microsserviço no Istio
• Gestão de TLS, roteamento, Jaeger/Grafana para visualização
CONFORMIDADE, SEGURANÇA DINÂMICA E POLÍTICAS AVANÇADAS
Ecossistema CNCF e ferramentas de segurança
• CNCF: Falco, Kyverno, OPA, Kubesploit, Kube-Bench
• Cadeia de segurança de artefatos (cadeia de suprimentos)
• Casos de uso: deteção, prevenção, auditoria
Implementação e gestão de políticas avançadas
• Verificação de assinatura e imagem com Cosign
• Políticas Kyverno: imposição de rótulos, registos e restrições
• Segurança dinâmica: regras de monitorização personalizadas
Exemplos de exercícios práticos
• Implementação e personalização de regras do Falco
• Criação de políticas Kyverno: imposição de limites de registo, CPU/memória
• Implementação de assinatura conjunta com Harbor para assinar e verificar imagens
• Proteção do CoreDNS
• Gestão automatizada de segredos e LimitRanges
Facilitador que combina know-how com experiência empresarial e competências pedagógicas, para dar resposta a necessidades operacionais e potenciar a aprendizagem.
Objetivos da formação
- Explicar os princípios da orquestração de contentores.
- Identificar boas práticas de segurança no Kubernetes.
- Implementar ferramentas para proteger registos de contentores.
- Aplicar ferramentas de conformidade num ambiente Kubernetes.
- Implantar ferramentas de segurança dinâmicas num cluster Kubernetes.
- Elaborar e integrar políticas de segurança adaptadas às suas necessidades.
Duração da formação
Programa da formação
PRINCÍPIOS FUNDAMENTAIS E FUNDAMENTOS TECNOLÓGICOS DA SEGURANÇA
Fundamentos de contentores e segurança
• Evolução para arquiteturas baseadas em contentores
• Características de um contentor (imutabilidade, portabilidade)
• Riscos associados (área de ataque, isolamento insuficiente)
Segurança das tecnologias subjacentes
• Como funcionam os namespaces (PID, NET, MNT)
• Grupos de controlo (cgroups): isolamento de recursos
• Papel do kernel e dos sistemas operacionais adaptados a contentores
Exemplos de exercícios práticos
• Implementação de um cluster EKS na AWS
• Criar / configurar um utilizador
• Personalizar o kubeconfig para acesso seguro
GARANTINDO A SEGURANÇA DOS MOTORES E REGISTOS DE CONTENTORES
Docker e segurança OCI
• Configuração segura do daemon Docker
• Melhores práticas do Dockerfile (USER, COPY, RUN…)
• Segurança de imagens: varredura automática, vulnerabilidades
• O que a ANSSI diz sobre isto?
Ecossistema e desenvolvimentos da OCI
• Containerd e runc: substitutos do Docker Engine
• Iniciativa OCI: padronização de formatos
• MicroVM e Unikernels: segurança de tempo de execução aprimorada
Exemplos de exercícios práticos
• Implementação do Registo Harbor
• Descobrir os recursos de segurança do registo
• Filtragem de workers no Kubernetes
• Garantir o acesso ao registo (autenticação, roles)
• Utilizar o Trivy para análise de imagens e deteção de CVEs
SEGURANÇA DE REDE, RBAC E SERVICE MESH
Segurança na orquestração do Kubernetes
• Ameaças específicas ao CaaS (exposição de API, etc.)
• Controlo de acesso: utilizadores, funções, vinculação de funções
• Criptografia de dados sensíveis (segredos, etc.)
Rede, CNI e Service Mesh
• Política de Rede Nativa
• Plugins CNI: Calico, Cilium…
• Istio: segurança, roteamento dinâmico, TLS mútuo
• Visibilidade via eBPF
Exemplos de exercícios práticos
• Implementação de uma aplicação multipod
• Criação de políticas de rede para bloquear determinados fluxos de tráfego
• Integração de um microsserviço no Istio
• Gestão de TLS, roteamento, Jaeger/Grafana para visualização
CONFORMIDADE, SEGURANÇA DINÂMICA E POLÍTICAS AVANÇADAS
Ecossistema CNCF e ferramentas de segurança
• CNCF: Falco, Kyverno, OPA, Kubesploit, Kube-Bench
• Cadeia de segurança de artefatos (cadeia de suprimentos)
• Casos de uso: deteção, prevenção, auditoria
Implementação e gestão de políticas avançadas
• Verificação de assinatura e imagem com Cosign
• Políticas Kyverno: imposição de rótulos, registos e restrições
• Segurança dinâmica: regras de monitorização personalizadas
Exemplos de exercícios práticos
• Implementação e personalização de regras do Falco
• Criação de políticas Kyverno: imposição de limites de registo, CPU/memória
• Implementação de assinatura conjunta com Harbor para assinar e verificar imagens
• Proteção do CoreDNS
• Gestão automatizada de segredos e LimitRanges
Formador
Facilitador que combina know-how com experiência empresarial e competências pedagógicas, para dar resposta a necessidades operacionais e potenciar a aprendizagem.
Clique na imagem para expandir
Os nossos espaços de formação oferecem todas as condições para continuar o seu desenvolvimento pessoal e profissional em absoluta segurança
Não se esqueça de subscrever o blog RhBizz e de nos seguir no LindekIn, Facebook, Instagram e Youtube.
