book

Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

by Benjamin Muschko

September 2024

Intermediate to advanced

214 pages

5h 31m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

A quién va dirigido este libroLo que aprenderásEstructura de este libroConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Ruta de aprendizaje de la Certificación KubernetesAsociado de Kubernetes y Nube Nativa (KCNA)Asociado en Seguridad de Kubernetes y Nube Nativa (KCSA)Desarrollador certificado de aplicaciones Kubernetes (CKAD)Administrador certificado de Kubernetes (CKA)Especialista certificado en seguridad de Kubernetes (CKS)Objetivos del examenCurrículumConfiguración del clústerEndurecimiento del clústerEndurecimiento del sistemaMinimizar las vulnerabilidades de los microserviciosSeguridad de la cadena de suministroMonitoreo, registro y seguridad en tiempo de ejecuciónPrimitivas de Kubernetes implicadasHerramientas externas implicadasDocumentaciónHabilidades del candidatoPrácticas y exámenes prácticosResumen
Utilizar políticas de red para restringir la comunicación entre PodsEscenario: El Atacante Accede a un PodObservar el comportamiento por defectoDenegación del tráfico de red direccionalPermitir el Tráfico Entrante FinoAplicación de las buenas prácticas de seguridad de los componentes de KubernetesUso de kube-benchResultado de la verificación de kube-benchSolucionar los problemas de seguridad detectadosCrear una entrada con terminación TLSConfigurar el backend de IngressCrear el certificado y la clave TLSCrear el secreto de tipo TLSCrear la entradaLlamada a la entradaProteger los metadatos y los puntos finales de los nodosEscenario: Un Pod comprometido puede acceder al servidor de metadatosProteger el acceso al servidor de metadatos con políticas de redProteger elementos GUIEscenario: Un Atacante Accede a la Funcionalidad del Cuadro de MandoInstalación del panel de control de KubernetesAcceder al panel de control de KubernetesCrear un usuario con privilegios de administraciónCrear un usuario con privilegios restringidosEvitar argumentos de configuración insegurosVerificación de los binarios de la plataforma KubernetesEscenario: Un Atacante Inyecta Código Malicioso en BinarioVerificar un binario contra un hashResumenAspectos esenciales del examenEjercicios de muestra
Interactuar con la API de KubernetesTramitar una solicitudConectarse al servidor APIRestringir el acceso al servidor APIEscenario: Un atacante puede llamar al servidor API desde InternetRestringir los permisos de usuarioEscenario: Un atacante puede llamar al servidor API desde una cuenta de servicioMinimizar los permisos de una cuenta de servicioActualizar Kubernetes con frecuenciaEsquema de versionesCadencia de liberaciónCómo realizar el proceso de actualizaciónResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella del SO anfitriónEscenario: Un atacante explota la vulnerabilidad de un paqueteDesactivar ServiciosEliminar paquetes no deseadosMinimizar los roles IAMEscenario: Un Atacante Utiliza Credenciales para Obtener Acceso a ArchivosComprender la gestión de usuariosComprender la gestión de gruposComprender los permisos y la propiedad de los archivosMinimizar el acceso externo a la redIdentificar y desactivar puertos abiertosConfigurar las reglas del cortafuegosUso de herramientas de endurecimiento del núcleoUso de AppArmorUtilizar seccompResumenAspectos esenciales del examenEjercicios de muestra
Establecer dominios de seguridad adecuados a nivel de sistema operativoEscenario: Un Atacante Utiliza Indebidamente el Acceso al Contenedor de Usuario rootComprender los contextos de seguridadImponer el uso de un usuario no rootEstablecer un ID de usuario y grupo específicosEvitar Contenedores PrivilegiadosEscenario: Un desarrollador no sigue las buenas prácticas de seguridad de PodComprender la Admisión de Seguridad Pod (PSA)Aplicación de las normas de seguridad Pod para un espacio de nombresComprender el Agente de Política Abierta (OPA) y el GatekeeperInstalar GatekeeperAplicación de una política de OPAGestión de secretosEscenario: Un atacante accede al nodo que ejecuta etcdAcceder a los datos de etcdCifrar datos de etcdComprender los Sandboxes de Tiempo de Ejecución de ContenedoresEscenario: Un atacante accede a otro contenedorImplementaciones de Sandbox en tiempo de ejecución de contenedor disponiblesInstalación y configuración de gVisorCrear y utilizar una clase en tiempo de ejecuciónComprender la encriptación Pod-to-Pod con mTLSEscenario: Un Atacante Escucha la Comunicación Entre Dos PodsAdoptar mTLS en KubernetesResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella de la imagen baseEscenario: Un Atacante Explota Vulnerabilidades de ContenedoresElegir una imagen base de tamaño pequeñoUtilizar un enfoque multietapa para construir imágenes de contenedoresReducir el número de capasUso de las herramientas de optimización de la imagen del contenedorAsegurar la cadena de suministroFirmar imágenes de contenedoresEscenario: Un atacante inyecta código malicioso en una imagen de contenedorValidar imágenes de contenedoresUtilizar Registros Públicos de ImágenesEscenario: Un atacante sube una imagen de contenedor maliciosoLista blanca de registros de imágenes permitidos con OPA GateKeeperLista blanca de registros de imágenes permitidos con el plugin de controlador de admisión ImagePolicyWebhookImplementación de la aplicación backendConfiguración del plugin de controlador de admisión ImagePolicyWebhookAnálisis estático de la carga de trabajoUso de Hadolint para analizar archivos DockerUso de Kubesec para analizar los manifiestos de KubernetesEscanear imágenes en busca de vulnerabilidades conocidasResumenAspectos esenciales del examenEjercicios de muestra
Realizar análisis de comportamientoEscenario: Un administrador de Kubernetes puede observar las acciones realizadas por un atacanteComprender a FalcoInstalación de FalcoConfigurar FalcoGenerar eventos e inspeccionar registros de FalcoComprender los fundamentos de los archivos de reglas de FalcoAnulación de normas existentesGarantizar la inmutabilidad del contenedorEscenario: Un atacante instala software maliciosoUtilizar una imagen de contenedor sin distribuirConfigurar un Contenedor con un ConfigMap o SecretoConfigurar un sistema de archivos raíz de contenedor de sólo lecturaUtilizar registros de auditoría para monitorizar el accesoEscenario: Un Administrador Puede Monitorear Eventos Maliciosos en Tiempo RealComprender los Registros de AuditoríaCrear el archivo de política de auditoríaConfigurar un Log BackendConfigurar un Webhook BackendResumenAspectos esenciales del examenEjercicios de muestra
Capítulo 2, "Configuración del clúster"Capítulo 3, "Endurecimiento del clúster"Capítulo 4, "Endurecimiento del sistema"Capítulo 5, "Minimizar las vulnerabilidades de los microservicios"Capítulo 6, "Seguridad de la cadena de suministro"Capítulo 7, "Monitoreo, registro y seguridad en tiempo de ejecución"

Content preview from Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

Capítulo 5. Minimizar las vulnerabilidades de los microservicios

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Las pilas de aplicaciones que funcionan en un clúster Kubernetes suelen seguir una arquitectura de microservicios. El dominio "minimizar las vulnerabilidades de los microservicios" abarca la gobernanza y la aplicación de la configuración de seguridad en el nivel Pod. Trataremos las funciones principales de Kubernetes, así como las herramientas externas, que ayudan a minimizar las vulnerabilidades de seguridad. Además, también hablaremos de la comunicación de red cifrada entre Pods que ejecutan microservicios.

A alto nivel, este capítulo abarca los siguientes conceptos:

Configurar dominios de seguridad apropiados a nivel de SO con contextos de seguridad, Admisión de Seguridad de Pod (PSA) y Agente Gatekeeper de Open Policy
Gestión de secretos
Utilizar cajas de arena en tiempo de ejecución de contenedores, como gVisor y Kata Containers
Implementar la encriptación de la comunicación Pod-to-Pod mediante la seguridad mutua de la capa de transporte (TLS)

Establecer dominios de seguridad adecuados a nivel de sistema operativo

Tanto el núcleo de Kubernetes como el ecosistema Kubernetes ofrecen soluciones para definir, aplicar y gobernar los ajustes de seguridad a nivel de Pod y de contenedor. Esta sección tratará sobre los contextos de seguridad, la Admisión de Seguridad de Pods y el Gatekeeper ...