book

Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

by Benjamin Muschko

September 2024

Intermediate to advanced

214 pages

5h 31m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

A quién va dirigido este libroLo que aprenderásEstructura de este libroConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Ruta de aprendizaje de la Certificación KubernetesAsociado de Kubernetes y Nube Nativa (KCNA)Asociado en Seguridad de Kubernetes y Nube Nativa (KCSA)Desarrollador certificado de aplicaciones Kubernetes (CKAD)Administrador certificado de Kubernetes (CKA)Especialista certificado en seguridad de Kubernetes (CKS)Objetivos del examenCurrículumConfiguración del clústerEndurecimiento del clústerEndurecimiento del sistemaMinimizar las vulnerabilidades de los microserviciosSeguridad de la cadena de suministroMonitoreo, registro y seguridad en tiempo de ejecuciónPrimitivas de Kubernetes implicadasHerramientas externas implicadasDocumentaciónHabilidades del candidatoPrácticas y exámenes prácticosResumen
Utilizar políticas de red para restringir la comunicación entre PodsEscenario: El Atacante Accede a un PodObservar el comportamiento por defectoDenegación del tráfico de red direccionalPermitir el Tráfico Entrante FinoAplicación de las buenas prácticas de seguridad de los componentes de KubernetesUso de kube-benchResultado de la verificación de kube-benchSolucionar los problemas de seguridad detectadosCrear una entrada con terminación TLSConfigurar el backend de IngressCrear el certificado y la clave TLSCrear el secreto de tipo TLSCrear la entradaLlamada a la entradaProteger los metadatos y los puntos finales de los nodosEscenario: Un Pod comprometido puede acceder al servidor de metadatosProteger el acceso al servidor de metadatos con políticas de redProteger elementos GUIEscenario: Un Atacante Accede a la Funcionalidad del Cuadro de MandoInstalación del panel de control de KubernetesAcceder al panel de control de KubernetesCrear un usuario con privilegios de administraciónCrear un usuario con privilegios restringidosEvitar argumentos de configuración insegurosVerificación de los binarios de la plataforma KubernetesEscenario: Un Atacante Inyecta Código Malicioso en BinarioVerificar un binario contra un hashResumenAspectos esenciales del examenEjercicios de muestra
Interactuar con la API de KubernetesTramitar una solicitudConectarse al servidor APIRestringir el acceso al servidor APIEscenario: Un atacante puede llamar al servidor API desde InternetRestringir los permisos de usuarioEscenario: Un atacante puede llamar al servidor API desde una cuenta de servicioMinimizar los permisos de una cuenta de servicioActualizar Kubernetes con frecuenciaEsquema de versionesCadencia de liberaciónCómo realizar el proceso de actualizaciónResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella del SO anfitriónEscenario: Un atacante explota la vulnerabilidad de un paqueteDesactivar ServiciosEliminar paquetes no deseadosMinimizar los roles IAMEscenario: Un Atacante Utiliza Credenciales para Obtener Acceso a ArchivosComprender la gestión de usuariosComprender la gestión de gruposComprender los permisos y la propiedad de los archivosMinimizar el acceso externo a la redIdentificar y desactivar puertos abiertosConfigurar las reglas del cortafuegosUso de herramientas de endurecimiento del núcleoUso de AppArmorUtilizar seccompResumenAspectos esenciales del examenEjercicios de muestra
Establecer dominios de seguridad adecuados a nivel de sistema operativoEscenario: Un Atacante Utiliza Indebidamente el Acceso al Contenedor de Usuario rootComprender los contextos de seguridadImponer el uso de un usuario no rootEstablecer un ID de usuario y grupo específicosEvitar Contenedores PrivilegiadosEscenario: Un desarrollador no sigue las buenas prácticas de seguridad de PodComprender la Admisión de Seguridad Pod (PSA)Aplicación de las normas de seguridad Pod para un espacio de nombresComprender el Agente de Política Abierta (OPA) y el GatekeeperInstalar GatekeeperAplicación de una política de OPAGestión de secretosEscenario: Un atacante accede al nodo que ejecuta etcdAcceder a los datos de etcdCifrar datos de etcdComprender los Sandboxes de Tiempo de Ejecución de ContenedoresEscenario: Un atacante accede a otro contenedorImplementaciones de Sandbox en tiempo de ejecución de contenedor disponiblesInstalación y configuración de gVisorCrear y utilizar una clase en tiempo de ejecuciónComprender la encriptación Pod-to-Pod con mTLSEscenario: Un Atacante Escucha la Comunicación Entre Dos PodsAdoptar mTLS en KubernetesResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella de la imagen baseEscenario: Un Atacante Explota Vulnerabilidades de ContenedoresElegir una imagen base de tamaño pequeñoUtilizar un enfoque multietapa para construir imágenes de contenedoresReducir el número de capasUso de las herramientas de optimización de la imagen del contenedorAsegurar la cadena de suministroFirmar imágenes de contenedoresEscenario: Un atacante inyecta código malicioso en una imagen de contenedorValidar imágenes de contenedoresUtilizar Registros Públicos de ImágenesEscenario: Un atacante sube una imagen de contenedor maliciosoLista blanca de registros de imágenes permitidos con OPA GateKeeperLista blanca de registros de imágenes permitidos con el plugin de controlador de admisión ImagePolicyWebhookImplementación de la aplicación backendConfiguración del plugin de controlador de admisión ImagePolicyWebhookAnálisis estático de la carga de trabajoUso de Hadolint para analizar archivos DockerUso de Kubesec para analizar los manifiestos de KubernetesEscanear imágenes en busca de vulnerabilidades conocidasResumenAspectos esenciales del examenEjercicios de muestra
Realizar análisis de comportamientoEscenario: Un administrador de Kubernetes puede observar las acciones realizadas por un atacanteComprender a FalcoInstalación de FalcoConfigurar FalcoGenerar eventos e inspeccionar registros de FalcoComprender los fundamentos de los archivos de reglas de FalcoAnulación de normas existentesGarantizar la inmutabilidad del contenedorEscenario: Un atacante instala software maliciosoUtilizar una imagen de contenedor sin distribuirConfigurar un Contenedor con un ConfigMap o SecretoConfigurar un sistema de archivos raíz de contenedor de sólo lecturaUtilizar registros de auditoría para monitorizar el accesoEscenario: Un Administrador Puede Monitorear Eventos Maliciosos en Tiempo RealComprender los Registros de AuditoríaCrear el archivo de política de auditoríaConfigurar un Log BackendConfigurar un Webhook BackendResumenAspectos esenciales del examenEjercicios de muestra
Capítulo 2, "Configuración del clúster"Capítulo 3, "Endurecimiento del clúster"Capítulo 4, "Endurecimiento del sistema"Capítulo 5, "Minimizar las vulnerabilidades de los microservicios"Capítulo 6, "Seguridad de la cadena de suministro"Capítulo 7, "Monitoreo, registro y seguridad en tiempo de ejecución"

Content preview from Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

Capítulo 2. Configuración del clúster

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

El primer dominio del examen trata de cuestiones relacionadas con la instalación y configuración del clúster Kubernetes. En este capítulo, sólo profundizaremos en los aspectos específicos de la seguridad y no en las responsabilidades estándar de un administrador de Kubernetes.

A alto nivel, este capítulo abarca los siguientes conceptos:

Utilizar políticas de red para restringir la comunicación Pod-a-Pod
Ejecutar la herramienta de evaluación comparativa CIS para identificar los riesgos de seguridad de los componentes del clúster
Configurar un objeto Ingress con soporte TLS
Proteger los puertos de los nodos, los puntos finales de la API y el acceso a la GUI
Verificar los binarios de la plataforma con sus sumas de comprobación

Utilizar políticas de red para restringir la comunicación entre Pods

Para que una arquitectura de microservicios funcione en Kubernetes, es necesario que un Pod pueda llegar a otro Pod que se ejecute en el mismo nodo o en otro distinto sin Traducción de Direcciones de Red (NAT). Kubernetes asigna una dirección IP única a cada Pod en el momento de su creación a partir del rango CIDR de su nodo. La dirección IP es efímera y, por tanto, no puede considerarse estable en el tiempo. Cada reinicio de un Pod arrienda una nueva dirección IP. Se recomienda utilizar la comunicación Pod-a-Servicio sobre ...