Zurück

Verteidigungslinien - So wird dein Kubernetes-Cluster sicher

Vor-Ort-Workshop in Mannheim am 15.11.2022

Je mehr Applikationen in Kubernetes betrieben werden, desto dringlicher stellen sich auch Fragen zur Sicherheit eurer Cluster. In diesem Workshop werdet ihr zunächst auf Sicherheits-Problemzonen in Kubernetes aufmerksam gemacht, um dann verschiedene Security Tools wie zum Beispiel Image Screening und Auditing auf einer Testumgebung zu verwenden.

Ihr lernt, wie man Kubernetes-Cluster sicher betreibt und wie ihr Sicherheitsproblemen proaktiv entgegenwirkt. Und das alles natürlich mit Live-Demos.

Hubert wird dabei unter anderem folgende Tools vorstellen:

  • trivy, kubesec, kube-bench, ImagePolicyWebhooks
  • Container-Sandboxen: seccomp, AppArmor, gvisor, Kata Containers
  • Tools zur Erkennung von Bedrohungen: Falco, Kubernetes-Auditing

Vorkenntnisse

Teilnehmende sollten ein grundlegendes Verständnis von Kubernetes-Administration, Linux, Command-Line und Containern mitbringen.

Lernziele

  • Wie sieht die grundlegende Architektur von Kubernetes aus?
  • Welche unterschiedlichen Arten, Kubernetes zu betreiben, gibt es?
  • Was sind grundlegende Maßnahmen, um die Sicherheit von Kubernetes zu verbessern?
  • Welche Sicherheits-Problemzonen in Kubernetes gibt es?
  • Wie kann ich Verschlüsselung in Kubernetes implementieren?
  • Was bedeutet Supply Chain Security?
  • Wie kann ich auf Host-Ebene die Sicherheit verbessern?
  • Wie bekomme ich Infos über problematische Vorgänge in meinem Cluster?

Agenda

  • ab 09:00 Uhr: Registrierung und Begrüßungskaffee
  • 10:00 Uhr: Beginn
  • 10:00 - 12:30 Uhr: Installationsvarianten von Kubernetes, Angriffe auf kubelets, Identitaetsdiebstahl, Verschluesselung
  • 12:30 - 13:30 Uhr: Mittagspause
  • 13:30 - 15:00 Uhr: Kubesec, Trivy, Kyverno, AppArmor
  • 15:00 - 15:15 Uhr: Kaffeepause
  • 15:15 - 16:15 Uhr: Auditing, Falco
  • 16:15 - 16:30 Uhr: Kaffeepause
  • 16:30 - 17:00 Uhr: kube-bench
  • ca. 17:00 Uhr: Ende

Zu Beginn werden wir uns ein paar grundlegende Gedanken zur Kubernetes-Architektur machen. Wir besprechen Maßnahmen in der Infrastruktur, die die Sicherheit verbessern.

Mittels Hands-on-Übungen werden wir uns einigen Sicherheitsproblemzonen widmen und diese auch in unseren Testumgebungen beheben. Wir werden uns unter anderem mit den Schwachstellen von Kubernetes Secrets befassen. Das Thema Verschlüsselung auf allen Ebenen (Rest, Transport, Usage) werden wir im Detail durchsprechen und auch implementieren.

Danach widmen wir uns Tools, die die Sicherheit unserer Cluster verbessern. Wir werden kubesec, trivy, kyverno, apparmor, auditing, Falco und kube-bench in unseren Testumgebungen verwenden.

Unsere Testumgebungen werden uns helfen, die jeweiligen Probleme besser zu verstehen, und wir werden unsere Testumgebung Schritt für Schritt verbessern.

 

Technische Anforderungen

  • Ein Rechner mit einem aktuellen Browser (bevorzugt Google Chrome)
  • Die Übungen werden in GCP-Accounts (von Kubermatic bereitgestellt) mittels Cloud Shell durchgeführt.
  • Lokale Installationen sind nicht notwendig.

Falls ihr ein Gerät eurer Firma verwendet, überprüft vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei euch auftreten könnte.
  • Workshop-Teilnehmer:in hat keine Administrator-Rechte.
  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware
  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Speaker

 

Hubert Ströbitzer
Hubert Ströbitzer ist Kubernetes-Berater bei Kubermatic und unterstützt Unternehmen mit Cloud-Themen. Zuvor war er Softwareentwickler im Bereich Backend und hat Erfahrung mit JVM-basierten Sprachen. Als das Thema DevOps aufkam, hatte er Zweifel an seiner bisherigen Programmiertätigkeit und isolierte sich in den österreichischen Alpen, um gegen Wölfe und Drachen zu kämpfen. Seitdem liegt sein Fokus auf DevOps-Themen. Hubert organisiert das "Infrastructure as a Meetup" in Österreich und ist Linux Foundation Trainer für CKA und CKAD. Darüber hinaus war er involviert in das Erstellen der CKA-Zertifizierungsfragen.

 

Jetzt Tickets sichern

CC-Newsletter

Sie möchten über die Continuous Lifecycle und die ContainerConf auf dem Laufenden gehalten werden?

 

Anmelden