book

Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

by Benjamin Muschko

September 2024

Intermediate to advanced

214 pages

5h 31m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

A quién va dirigido este libroLo que aprenderásEstructura de este libroConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Ruta de aprendizaje de la Certificación KubernetesAsociado de Kubernetes y Nube Nativa (KCNA)Asociado en Seguridad de Kubernetes y Nube Nativa (KCSA)Desarrollador certificado de aplicaciones Kubernetes (CKAD)Administrador certificado de Kubernetes (CKA)Especialista certificado en seguridad de Kubernetes (CKS)Objetivos del examenCurrículumConfiguración del clústerEndurecimiento del clústerEndurecimiento del sistemaMinimizar las vulnerabilidades de los microserviciosSeguridad de la cadena de suministroMonitoreo, registro y seguridad en tiempo de ejecuciónPrimitivas de Kubernetes implicadasHerramientas externas implicadasDocumentaciónHabilidades del candidatoPrácticas y exámenes prácticosResumen
Utilizar políticas de red para restringir la comunicación entre PodsEscenario: El Atacante Accede a un PodObservar el comportamiento por defectoDenegación del tráfico de red direccionalPermitir el Tráfico Entrante FinoAplicación de las buenas prácticas de seguridad de los componentes de KubernetesUso de kube-benchResultado de la verificación de kube-benchSolucionar los problemas de seguridad detectadosCrear una entrada con terminación TLSConfigurar el backend de IngressCrear el certificado y la clave TLSCrear el secreto de tipo TLSCrear la entradaLlamada a la entradaProteger los metadatos y los puntos finales de los nodosEscenario: Un Pod comprometido puede acceder al servidor de metadatosProteger el acceso al servidor de metadatos con políticas de redProteger elementos GUIEscenario: Un Atacante Accede a la Funcionalidad del Cuadro de MandoInstalación del panel de control de KubernetesAcceder al panel de control de KubernetesCrear un usuario con privilegios de administraciónCrear un usuario con privilegios restringidosEvitar argumentos de configuración insegurosVerificación de los binarios de la plataforma KubernetesEscenario: Un Atacante Inyecta Código Malicioso en BinarioVerificar un binario contra un hashResumenAspectos esenciales del examenEjercicios de muestra
Interactuar con la API de KubernetesTramitar una solicitudConectarse al servidor APIRestringir el acceso al servidor APIEscenario: Un atacante puede llamar al servidor API desde InternetRestringir los permisos de usuarioEscenario: Un atacante puede llamar al servidor API desde una cuenta de servicioMinimizar los permisos de una cuenta de servicioActualizar Kubernetes con frecuenciaEsquema de versionesCadencia de liberaciónCómo realizar el proceso de actualizaciónResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella del SO anfitriónEscenario: Un atacante explota la vulnerabilidad de un paqueteDesactivar ServiciosEliminar paquetes no deseadosMinimizar los roles IAMEscenario: Un Atacante Utiliza Credenciales para Obtener Acceso a ArchivosComprender la gestión de usuariosComprender la gestión de gruposComprender los permisos y la propiedad de los archivosMinimizar el acceso externo a la redIdentificar y desactivar puertos abiertosConfigurar las reglas del cortafuegosUso de herramientas de endurecimiento del núcleoUso de AppArmorUtilizar seccompResumenAspectos esenciales del examenEjercicios de muestra
Establecer dominios de seguridad adecuados a nivel de sistema operativoEscenario: Un Atacante Utiliza Indebidamente el Acceso al Contenedor de Usuario rootComprender los contextos de seguridadImponer el uso de un usuario no rootEstablecer un ID de usuario y grupo específicosEvitar Contenedores PrivilegiadosEscenario: Un desarrollador no sigue las buenas prácticas de seguridad de PodComprender la Admisión de Seguridad Pod (PSA)Aplicación de las normas de seguridad Pod para un espacio de nombresComprender el Agente de Política Abierta (OPA) y el GatekeeperInstalar GatekeeperAplicación de una política de OPAGestión de secretosEscenario: Un atacante accede al nodo que ejecuta etcdAcceder a los datos de etcdCifrar datos de etcdComprender los Sandboxes de Tiempo de Ejecución de ContenedoresEscenario: Un atacante accede a otro contenedorImplementaciones de Sandbox en tiempo de ejecución de contenedor disponiblesInstalación y configuración de gVisorCrear y utilizar una clase en tiempo de ejecuciónComprender la encriptación Pod-to-Pod con mTLSEscenario: Un Atacante Escucha la Comunicación Entre Dos PodsAdoptar mTLS en KubernetesResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella de la imagen baseEscenario: Un Atacante Explota Vulnerabilidades de ContenedoresElegir una imagen base de tamaño pequeñoUtilizar un enfoque multietapa para construir imágenes de contenedoresReducir el número de capasUso de las herramientas de optimización de la imagen del contenedorAsegurar la cadena de suministroFirmar imágenes de contenedoresEscenario: Un atacante inyecta código malicioso en una imagen de contenedorValidar imágenes de contenedoresUtilizar Registros Públicos de ImágenesEscenario: Un atacante sube una imagen de contenedor maliciosoLista blanca de registros de imágenes permitidos con OPA GateKeeperLista blanca de registros de imágenes permitidos con el plugin de controlador de admisión ImagePolicyWebhookImplementación de la aplicación backendConfiguración del plugin de controlador de admisión ImagePolicyWebhookAnálisis estático de la carga de trabajoUso de Hadolint para analizar archivos DockerUso de Kubesec para analizar los manifiestos de KubernetesEscanear imágenes en busca de vulnerabilidades conocidasResumenAspectos esenciales del examenEjercicios de muestra
Realizar análisis de comportamientoEscenario: Un administrador de Kubernetes puede observar las acciones realizadas por un atacanteComprender a FalcoInstalación de FalcoConfigurar FalcoGenerar eventos e inspeccionar registros de FalcoComprender los fundamentos de los archivos de reglas de FalcoAnulación de normas existentesGarantizar la inmutabilidad del contenedorEscenario: Un atacante instala software maliciosoUtilizar una imagen de contenedor sin distribuirConfigurar un Contenedor con un ConfigMap o SecretoConfigurar un sistema de archivos raíz de contenedor de sólo lecturaUtilizar registros de auditoría para monitorizar el accesoEscenario: Un Administrador Puede Monitorear Eventos Maliciosos en Tiempo RealComprender los Registros de AuditoríaCrear el archivo de política de auditoríaConfigurar un Log BackendConfigurar un Webhook BackendResumenAspectos esenciales del examenEjercicios de muestra
Capítulo 2, "Configuración del clúster"Capítulo 3, "Endurecimiento del clúster"Capítulo 4, "Endurecimiento del sistema"Capítulo 5, "Minimizar las vulnerabilidades de los microservicios"Capítulo 6, "Seguridad de la cadena de suministro"Capítulo 7, "Monitoreo, registro y seguridad en tiempo de ejecución"

Content preview from Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

Capítulo 3. Endurecimiento del clúster

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

El dominio "endurecimiento del clúster" toca temas importantes para mantener un clúster lo más seguro posible una vez que se ha establecido y configurado inicialmente. Como parte de la discusión de este capítulo, puede que notes que haré referencia a conceptos y prácticas que suelen estar en manos de los administradores de Kubernetes. Cuando proceda, proporcionaré enlaces a los temas que ya se han tratado en el examen CKA.

A alto nivel, este capítulo abarca los siguientes conceptos:

Restringir el acceso a la API de Kubernetes
Configurar el control de acceso basado en roles (RBAC) para minimizar la exposición
Tener cuidado al utilizar las cuentas de servicio
Actualizar Kubernetes con frecuencia

Interactuar con la API de Kubernetes

El servidor API es la puerta de entrada al clúster Kubernetes. Cualquier usuario humano, cliente (por ejemplo, kubectl), componente de clúster o cuenta de servicio accederá al servidor API realizando una llamada a la API RESTful a través de HTTPS. Es el punto central para realizar operaciones como crear un Pod o eliminar un Servicio.

En esta sección, sólo nos centraremos en los aspectos específicos de seguridad relevantes para el servidor API. Para un análisis detallado del funcionamiento interno del servidor API y del uso de la API de Kubernetes, consulta el libro Managing Kubernetes de ...