book

Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

by Benjamin Muschko

September 2024

Intermediate to advanced

214 pages

5h 31m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

A quién va dirigido este libroLo que aprenderásEstructura de este libroConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Ruta de aprendizaje de la Certificación KubernetesAsociado de Kubernetes y Nube Nativa (KCNA)Asociado en Seguridad de Kubernetes y Nube Nativa (KCSA)Desarrollador certificado de aplicaciones Kubernetes (CKAD)Administrador certificado de Kubernetes (CKA)Especialista certificado en seguridad de Kubernetes (CKS)Objetivos del examenCurrículumConfiguración del clústerEndurecimiento del clústerEndurecimiento del sistemaMinimizar las vulnerabilidades de los microserviciosSeguridad de la cadena de suministroMonitoreo, registro y seguridad en tiempo de ejecuciónPrimitivas de Kubernetes implicadasHerramientas externas implicadasDocumentaciónHabilidades del candidatoPrácticas y exámenes prácticosResumen
Utilizar políticas de red para restringir la comunicación entre PodsEscenario: El Atacante Accede a un PodObservar el comportamiento por defectoDenegación del tráfico de red direccionalPermitir el Tráfico Entrante FinoAplicación de las buenas prácticas de seguridad de los componentes de KubernetesUso de kube-benchResultado de la verificación de kube-benchSolucionar los problemas de seguridad detectadosCrear una entrada con terminación TLSConfigurar el backend de IngressCrear el certificado y la clave TLSCrear el secreto de tipo TLSCrear la entradaLlamada a la entradaProteger los metadatos y los puntos finales de los nodosEscenario: Un Pod comprometido puede acceder al servidor de metadatosProteger el acceso al servidor de metadatos con políticas de redProteger elementos GUIEscenario: Un Atacante Accede a la Funcionalidad del Cuadro de MandoInstalación del panel de control de KubernetesAcceder al panel de control de KubernetesCrear un usuario con privilegios de administraciónCrear un usuario con privilegios restringidosEvitar argumentos de configuración insegurosVerificación de los binarios de la plataforma KubernetesEscenario: Un Atacante Inyecta Código Malicioso en BinarioVerificar un binario contra un hashResumenAspectos esenciales del examenEjercicios de muestra
Interactuar con la API de KubernetesTramitar una solicitudConectarse al servidor APIRestringir el acceso al servidor APIEscenario: Un atacante puede llamar al servidor API desde InternetRestringir los permisos de usuarioEscenario: Un atacante puede llamar al servidor API desde una cuenta de servicioMinimizar los permisos de una cuenta de servicioActualizar Kubernetes con frecuenciaEsquema de versionesCadencia de liberaciónCómo realizar el proceso de actualizaciónResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella del SO anfitriónEscenario: Un atacante explota la vulnerabilidad de un paqueteDesactivar ServiciosEliminar paquetes no deseadosMinimizar los roles IAMEscenario: Un Atacante Utiliza Credenciales para Obtener Acceso a ArchivosComprender la gestión de usuariosComprender la gestión de gruposComprender los permisos y la propiedad de los archivosMinimizar el acceso externo a la redIdentificar y desactivar puertos abiertosConfigurar las reglas del cortafuegosUso de herramientas de endurecimiento del núcleoUso de AppArmorUtilizar seccompResumenAspectos esenciales del examenEjercicios de muestra
Establecer dominios de seguridad adecuados a nivel de sistema operativoEscenario: Un Atacante Utiliza Indebidamente el Acceso al Contenedor de Usuario rootComprender los contextos de seguridadImponer el uso de un usuario no rootEstablecer un ID de usuario y grupo específicosEvitar Contenedores PrivilegiadosEscenario: Un desarrollador no sigue las buenas prácticas de seguridad de PodComprender la Admisión de Seguridad Pod (PSA)Aplicación de las normas de seguridad Pod para un espacio de nombresComprender el Agente de Política Abierta (OPA) y el GatekeeperInstalar GatekeeperAplicación de una política de OPAGestión de secretosEscenario: Un atacante accede al nodo que ejecuta etcdAcceder a los datos de etcdCifrar datos de etcdComprender los Sandboxes de Tiempo de Ejecución de ContenedoresEscenario: Un atacante accede a otro contenedorImplementaciones de Sandbox en tiempo de ejecución de contenedor disponiblesInstalación y configuración de gVisorCrear y utilizar una clase en tiempo de ejecuciónComprender la encriptación Pod-to-Pod con mTLSEscenario: Un Atacante Escucha la Comunicación Entre Dos PodsAdoptar mTLS en KubernetesResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella de la imagen baseEscenario: Un Atacante Explota Vulnerabilidades de ContenedoresElegir una imagen base de tamaño pequeñoUtilizar un enfoque multietapa para construir imágenes de contenedoresReducir el número de capasUso de las herramientas de optimización de la imagen del contenedorAsegurar la cadena de suministroFirmar imágenes de contenedoresEscenario: Un atacante inyecta código malicioso en una imagen de contenedorValidar imágenes de contenedoresUtilizar Registros Públicos de ImágenesEscenario: Un atacante sube una imagen de contenedor maliciosoLista blanca de registros de imágenes permitidos con OPA GateKeeperLista blanca de registros de imágenes permitidos con el plugin de controlador de admisión ImagePolicyWebhookImplementación de la aplicación backendConfiguración del plugin de controlador de admisión ImagePolicyWebhookAnálisis estático de la carga de trabajoUso de Hadolint para analizar archivos DockerUso de Kubesec para analizar los manifiestos de KubernetesEscanear imágenes en busca de vulnerabilidades conocidasResumenAspectos esenciales del examenEjercicios de muestra
Realizar análisis de comportamientoEscenario: Un administrador de Kubernetes puede observar las acciones realizadas por un atacanteComprender a FalcoInstalación de FalcoConfigurar FalcoGenerar eventos e inspeccionar registros de FalcoComprender los fundamentos de los archivos de reglas de FalcoAnulación de normas existentesGarantizar la inmutabilidad del contenedorEscenario: Un atacante instala software maliciosoUtilizar una imagen de contenedor sin distribuirConfigurar un Contenedor con un ConfigMap o SecretoConfigurar un sistema de archivos raíz de contenedor de sólo lecturaUtilizar registros de auditoría para monitorizar el accesoEscenario: Un Administrador Puede Monitorear Eventos Maliciosos en Tiempo RealComprender los Registros de AuditoríaCrear el archivo de política de auditoríaConfigurar un Log BackendConfigurar un Webhook BackendResumenAspectos esenciales del examenEjercicios de muestra
Capítulo 2, "Configuración del clúster"Capítulo 3, "Endurecimiento del clúster"Capítulo 4, "Endurecimiento del sistema"Capítulo 5, "Minimizar las vulnerabilidades de los microservicios"Capítulo 6, "Seguridad de la cadena de suministro"Capítulo 7, "Monitoreo, registro y seguridad en tiempo de ejecución"

Overview

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Las vulnerabilidades en el software y la infraestructura de TI suponen una gran amenaza para las organizaciones. En respuesta, la Cloud Native Computing Foundation (CNCF) desarrolló la certificación Certified Kubernetes Security Specialist (CKS) para verificar la competencia de un administrador para proteger los clústeres Kubernetes y el software nativo de la nube que contienen. Este práctico libro te ayuda a prepararte a fondo para el examen de certificación, guiándote a través de todos los temas tratados.

A diferencia de los típicos formatos de opción múltiple utilizados por otras certificaciones, este examen basado en el rendimiento requiere un profundo conocimiento de las tareas que abarca bajo una intensa presión de tiempo. Si quieres aprobar el examen CKS a la primera, el autor Benjamin Muschko comparte su experiencia personal para ayudarte a aprender los objetivos, las habilidades y los consejos y trucos que necesitas para aprobar en el primer intento.

Identificar, mitigar y/o minimizar las amenazas para las aplicaciones nativas de la nube y los clústeres Kubernetes
Conoce los entresijos de las funciones de seguridad de Kubernetes, y las herramientas externas para la detección y mitigación de la seguridad
Demostrar competencia para desempeñar las responsabilidades de un administrador de Kubernetes o un desarrollador de aplicaciones con un punto de vista de seguridad
Resolver problemas reales de Kubernetes en un entorno práctico de línea de comandos
Navegar con eficacia y resolver preguntas durante el examen CKS