book

Guida allo studio per la certificazione Certified Kubernetes Security Specialist (CKS)

by Benjamin Muschko

April 2025

Intermediate to advanced

214 pages

5h 26m

Italian

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Per chi è questo libroCosa impareraiStruttura di questo libroConvenzioni utilizzate in questo libroUtilizzo di esempi di codiceFormazione online O'ReillyCome contattarciRingraziamenti
Percorso di apprendimento della certificazione KubernetesAssociato Kubernetes e Cloud Native (KCNA)Associato alla sicurezza di Kubernetes e Cloud Native (KCSA)Sviluppatore certificato di applicazioni Kubernetes (CKAD)Amministratore certificato di Kubernetes (CKA)Specialista certificato per la sicurezza di Kubernetes (CKS)Obiettivi dell'esameCurriculumConfigurazione del clusterTempra del clusterTempra del sistemaRidurre al minimo le vulnerabilità dei microserviziSicurezza della catena di approvvigionamentoMonitoraggio, registrazione e sicurezza del runtimePrimitive di Kubernetes coinvolteStrumenti esterni coinvoltiDocumentazioneCompetenze del candidatoEsercitazioni ed esami praticiRiassunto
Usare i criteri di rete per limitare la comunicazione Pod-PodScenario: L'attaccante ottiene l'accesso a un PodOsservare il comportamento predefinitoNegare il traffico di rete direzionaleConsentire il traffico in entrata a grana fineApplicazione delle migliori pratiche di sicurezza dei componenti di KubernetesUsare kube-benchIl risultato della verifica di kube-benchCorreggere i problemi di sicurezza rilevatiCreazione di un ingresso con terminazione TLSImpostare il backend di IngressCreare il certificato e la chiave TLSCreare il segreto di tipo TLSCreare l'ingressoChiamare l'IngressProtezione dei metadati e degli endpoint dei nodiScenario: Un pod compromesso può accedere al server dei metadatiProteggere l'accesso al server di metadati con i criteri di reteProteggere gli elementi della GUIScenario: Un attaccante ottiene l'accesso alla funzionalità del cruscottoInstallare la Dashboard di KubernetesAccedere alla dashboard di KubernetesCreare un utente con privilegi di amministrazioneCreazione di un utente con privilegi limitatiEvitare gli argomenti di configurazione non sicuriVerifica dei binari della piattaforma KubernetesScenario: Un attaccante inietta un codice dannoso in un file binarioVerifica di un binario contro l'hashRiassuntoElementi essenziali dell'esameEsempi di esercizi
Interagire con l'API di KubernetesElaborazione di una richiestaConnessione al server APILimitare l'accesso al server APIScenario: Un attaccante può chiamare il server API da InternetLimitare i permessi degli utentiScenario: Un attaccante può chiamare il server API da un account di servizioRiduzione dei permessi per un account di servizioAggiornare Kubernetes frequentementeSchema di versionamentoCadenza di rilascioEsecuzione del processo di aggiornamentoRiassuntoElementi essenziali dell'esameEsempi di esercizi
Ridurre al minimo l'ingombro del sistema operativo hostScenario: Un attaccante sfrutta una vulnerabilità del pacchettoDisabilitare i serviziRimuovere i pacchetti indesideratiRidurre al minimo i ruoli IAMScenario: Un attaccante utilizza le credenziali per ottenere l'accesso ai fileCapire la gestione degli utentiCapire la gestione dei gruppiCapire i permessi e la proprietà dei fileRidurre al minimo l'accesso esterno alla reteIdentificare e disabilitare le porte aperteImpostazione delle regole del firewallUtilizzare gli strumenti per l'indurimento del kernelUtilizzo di AppArmorUtilizzo di seccompSommarioElementi essenziali dell'esameEsempi di esercizi
Impostazione dei domini di sicurezza appropriati a livello di sistema operativoScenario: Un attaccante utilizza in modo improprio l'accesso al contenitore dell'utente rootComprendere i contesti di sicurezzaApplicazione dell'uso di un utente non rootImpostazione di un ID utente e gruppo specificoEvitare i contenitori privilegiatiScenario: Uno sviluppatore non segue le migliori pratiche di sicurezza di PodComprendere il Pod Security Admission (PSA)Applicare gli standard di sicurezza del Pod per uno spazio dei nomiConoscere l'Open Policy Agent (OPA) e il GatekeeperInstallazione di GatekeeperImplementare una politica OPAGestione dei segretiScenario: Un aggressore ottiene l'accesso al nodo che esegue etcdAccesso ai dati etcdCrittografare i dati di etcdCapire le sandbox dei runtime dei containerScenario: Un attaccante ottiene l'accesso a un altro contenitoreImplementazioni disponibili di Container Runtime SandboxInstallazione e configurazione di gVisorCreazione e utilizzo di una classe runtimeCapire la crittografia Pod-to-Pod con mTLSScenario: Un attaccante ascolta la comunicazione tra due podAdottare mTLS in KubernetesSommarioElementi essenziali dell'esameEsempi di esercizi
Ridurre al minimo l'ingombro dell'immagine di baseScenario: Un attaccante sfrutta le vulnerabilità dei containerScegliere un'immagine di base di piccole dimensioniUtilizzo di un approccio a più fasi per la creazione di immagini di contenitoriRidurre il numero di livelliUtilizzare gli strumenti di ottimizzazione dell'immagine del contenitoreProteggere la catena di approvvigionamentoFirmare le immagini del contenitoreScenario: Un aggressore inietta codice dannoso in un'immagine del contenitoreConvalidare le immagini dei contenitoriUtilizzare i registri di immagini pubblicheScenario: Un aggressore carica un'immagine di un contenitore dannosoWhitelisting dei registri di immagini consentite con OPA GateKeeperWhitelisting dei registri di immagini consentiti con il plugin del controller di ammissione ImagePolicyWebhookImplementare l'applicazione backendConfigurazione del plugin del controller di ammissione ImagePolicyWebhookAnalisi statica del carico di lavoroUsare Hadolint per analizzare i file DockerUsare Kubesec per analizzare i manifesti di KubernetesScansione delle immagini alla ricerca di vulnerabilità noteRiassuntoElementi essenziali dell'esameEsempi di esercizi
Eseguire l'analisi del comportamentoScenario: Un amministratore di Kubernetes può osservare le azioni intraprese da un attaccanteCapire FalcoInstallare FalcoConfigurazione di FalcoGenerare eventi e ispezionare i log di FalcoCapire le basi del file delle regole di FalcoSuperare le regole esistentiGarantire l'immutabilità del contenitoreScenario: Un aggressore installa un software dannosoUsare un'immagine di contenitore senza distroConfigurazione di un contenitore con una ConfigMap o un segretoConfigurazione del file system principale di un contenitore di sola letturaUsare i log di audit per monitorare gli accessiScenario: Un amministratore può monitorare gli eventi dannosi in tempo realeCapire i log di auditCreare il file dei criteri di auditConfigurare un backend di logConfigurare un backend WebhookRiassuntoElementi essenziali dell'esameEsempi di esercizi
Capitolo 2, "Configurazione del cluster"Capitolo 3, "Irrobustimento del cluster"Capitolo 4, "Protezione del sistema"Capitolo 5, "Ridurre al minimo le vulnerabilità dei microservizi".Capitolo 6, "Sicurezza della catena di approvvigionamentoCapitolo 7, "Monitoraggio, registrazione e sicurezza del runtime".

Overview

Questo lavoro è stato tradotto utilizzando l'AI. Siamo lieti di ricevere il tuo feedback e i tuoi commenti: translation-feedback@oreilly.com

Le vulnerabilità nel software e nell'infrastruttura IT sono una minaccia seria per le aziende. Per questo, la Cloud Native Computing Foundation (CNCF) ha creato la certificazione Certified Kubernetes Security Specialist (CKS) per verificare che un amministratore sappia proteggere i cluster Kubernetes e il software cloud nativo che contengono. Questo libro pratico ti aiuta a prepararti per l'esame di certificazione, spiegando tutti gli argomenti trattati.

A differenza dei tipici formati a scelta multipla utilizzati da altre certificazioni, questo esame basato sulle prestazioni richiede una conoscenza approfondita delle attività che copre sotto un'intensa pressione temporale. Se vuoi superare l'esame CKS al primo tentativo, l'autore Benjamin Muschko condivide la sua esperienza personale per aiutarti ad apprendere gli obiettivi, le abilità, i suggerimenti e i trucchi necessari per superare l'esame al primo tentativo.

Identifica, mitiga e/o riduci al minimo le minacce alle applicazioni native per il cloud e ai cluster Kubernetes
Imparare tutti i dettagli delle funzionalità di sicurezza di Kubernetes e degli strumenti esterni per il rilevamento e la mitigazione delle minacce
Dimostrare la competenza necessaria per svolgere le responsabilità di un amministratore Kubernetes o di uno sviluppatore di applicazioni dal punto di vista della sicurezza
Risolvere problemi reali di Kubernetes in un ambiente pratico con interfaccia a riga di comando
Navigare e risolvere efficacemente le domande durante l'esame CKS

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Start your free trial

What Employees Want Most in Uncertain Times

Publisher Resources

ISBN: 9798341644137Supplemental Content

Guida allo studio per la certificazione Certified Kubernetes Security Specialist (CKS)

by Benjamin Muschko

Overview

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

You might also like

What Employees Want Most in Uncertain Times

How I Built a Personal Board of Directors With GenAI

How to Become a Game-Changing Leader

Reinventing the Organization for GenAI and LLMs

Publisher Resources

Overview

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,and much more.

You might also like

What Employees Want Most in Uncertain Times

How I Built a Personal Board of Directors With GenAI

How to Become a Game-Changing Leader

Reinventing the Organization for GenAI and LLMs

Publisher Resources

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.