book

Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

by Benjamin Muschko

September 2024

Intermediate to advanced

214 pages

5h 31m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

A quién va dirigido este libroLo que aprenderásEstructura de este libroConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Ruta de aprendizaje de la Certificación KubernetesAsociado de Kubernetes y Nube Nativa (KCNA)Asociado en Seguridad de Kubernetes y Nube Nativa (KCSA)Desarrollador certificado de aplicaciones Kubernetes (CKAD)Administrador certificado de Kubernetes (CKA)Especialista certificado en seguridad de Kubernetes (CKS)Objetivos del examenCurrículumConfiguración del clústerEndurecimiento del clústerEndurecimiento del sistemaMinimizar las vulnerabilidades de los microserviciosSeguridad de la cadena de suministroMonitoreo, registro y seguridad en tiempo de ejecuciónPrimitivas de Kubernetes implicadasHerramientas externas implicadasDocumentaciónHabilidades del candidatoPrácticas y exámenes prácticosResumen
Utilizar políticas de red para restringir la comunicación entre PodsEscenario: El Atacante Accede a un PodObservar el comportamiento por defectoDenegación del tráfico de red direccionalPermitir el Tráfico Entrante FinoAplicación de las buenas prácticas de seguridad de los componentes de KubernetesUso de kube-benchResultado de la verificación de kube-benchSolucionar los problemas de seguridad detectadosCrear una entrada con terminación TLSConfigurar el backend de IngressCrear el certificado y la clave TLSCrear el secreto de tipo TLSCrear la entradaLlamada a la entradaProteger los metadatos y los puntos finales de los nodosEscenario: Un Pod comprometido puede acceder al servidor de metadatosProteger el acceso al servidor de metadatos con políticas de redProteger elementos GUIEscenario: Un Atacante Accede a la Funcionalidad del Cuadro de MandoInstalación del panel de control de KubernetesAcceder al panel de control de KubernetesCrear un usuario con privilegios de administraciónCrear un usuario con privilegios restringidosEvitar argumentos de configuración insegurosVerificación de los binarios de la plataforma KubernetesEscenario: Un Atacante Inyecta Código Malicioso en BinarioVerificar un binario contra un hashResumenAspectos esenciales del examenEjercicios de muestra
Interactuar con la API de KubernetesTramitar una solicitudConectarse al servidor APIRestringir el acceso al servidor APIEscenario: Un atacante puede llamar al servidor API desde InternetRestringir los permisos de usuarioEscenario: Un atacante puede llamar al servidor API desde una cuenta de servicioMinimizar los permisos de una cuenta de servicioActualizar Kubernetes con frecuenciaEsquema de versionesCadencia de liberaciónCómo realizar el proceso de actualizaciónResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella del SO anfitriónEscenario: Un atacante explota la vulnerabilidad de un paqueteDesactivar ServiciosEliminar paquetes no deseadosMinimizar los roles IAMEscenario: Un Atacante Utiliza Credenciales para Obtener Acceso a ArchivosComprender la gestión de usuariosComprender la gestión de gruposComprender los permisos y la propiedad de los archivosMinimizar el acceso externo a la redIdentificar y desactivar puertos abiertosConfigurar las reglas del cortafuegosUso de herramientas de endurecimiento del núcleoUso de AppArmorUtilizar seccompResumenAspectos esenciales del examenEjercicios de muestra
Establecer dominios de seguridad adecuados a nivel de sistema operativoEscenario: Un Atacante Utiliza Indebidamente el Acceso al Contenedor de Usuario rootComprender los contextos de seguridadImponer el uso de un usuario no rootEstablecer un ID de usuario y grupo específicosEvitar Contenedores PrivilegiadosEscenario: Un desarrollador no sigue las buenas prácticas de seguridad de PodComprender la Admisión de Seguridad Pod (PSA)Aplicación de las normas de seguridad Pod para un espacio de nombresComprender el Agente de Política Abierta (OPA) y el GatekeeperInstalar GatekeeperAplicación de una política de OPAGestión de secretosEscenario: Un atacante accede al nodo que ejecuta etcdAcceder a los datos de etcdCifrar datos de etcdComprender los Sandboxes de Tiempo de Ejecución de ContenedoresEscenario: Un atacante accede a otro contenedorImplementaciones de Sandbox en tiempo de ejecución de contenedor disponiblesInstalación y configuración de gVisorCrear y utilizar una clase en tiempo de ejecuciónComprender la encriptación Pod-to-Pod con mTLSEscenario: Un Atacante Escucha la Comunicación Entre Dos PodsAdoptar mTLS en KubernetesResumenAspectos esenciales del examenEjercicios de muestra
Minimizar la huella de la imagen baseEscenario: Un Atacante Explota Vulnerabilidades de ContenedoresElegir una imagen base de tamaño pequeñoUtilizar un enfoque multietapa para construir imágenes de contenedoresReducir el número de capasUso de las herramientas de optimización de la imagen del contenedorAsegurar la cadena de suministroFirmar imágenes de contenedoresEscenario: Un atacante inyecta código malicioso en una imagen de contenedorValidar imágenes de contenedoresUtilizar Registros Públicos de ImágenesEscenario: Un atacante sube una imagen de contenedor maliciosoLista blanca de registros de imágenes permitidos con OPA GateKeeperLista blanca de registros de imágenes permitidos con el plugin de controlador de admisión ImagePolicyWebhookImplementación de la aplicación backendConfiguración del plugin de controlador de admisión ImagePolicyWebhookAnálisis estático de la carga de trabajoUso de Hadolint para analizar archivos DockerUso de Kubesec para analizar los manifiestos de KubernetesEscanear imágenes en busca de vulnerabilidades conocidasResumenAspectos esenciales del examenEjercicios de muestra
Realizar análisis de comportamientoEscenario: Un administrador de Kubernetes puede observar las acciones realizadas por un atacanteComprender a FalcoInstalación de FalcoConfigurar FalcoGenerar eventos e inspeccionar registros de FalcoComprender los fundamentos de los archivos de reglas de FalcoAnulación de normas existentesGarantizar la inmutabilidad del contenedorEscenario: Un atacante instala software maliciosoUtilizar una imagen de contenedor sin distribuirConfigurar un Contenedor con un ConfigMap o SecretoConfigurar un sistema de archivos raíz de contenedor de sólo lecturaUtilizar registros de auditoría para monitorizar el accesoEscenario: Un Administrador Puede Monitorear Eventos Maliciosos en Tiempo RealComprender los Registros de AuditoríaCrear el archivo de política de auditoríaConfigurar un Log BackendConfigurar un Webhook BackendResumenAspectos esenciales del examenEjercicios de muestra
Capítulo 2, "Configuración del clúster"Capítulo 3, "Endurecimiento del clúster"Capítulo 4, "Endurecimiento del sistema"Capítulo 5, "Minimizar las vulnerabilidades de los microservicios"Capítulo 6, "Seguridad de la cadena de suministro"Capítulo 7, "Monitoreo, registro y seguridad en tiempo de ejecución"

Content preview from Guía de estudio del Especialista certificado en seguridad de Kubernetes (CKS)

Capítulo 7. Monitoreo, registro y seguridad en tiempo de ejecución

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

El último dominio del plan de estudios trata principalmente de la detección de actividades sospechosas a nivel de host y contenedor en un clúster de Kubernetes. Primero definiremos el término análisis del comportamiento y cómo se aplica al ámbito de Kubernetes. Con la teoría fuera del camino, traeremos la herramienta llamada Falco que puede detectar escenarios de intrusión.

Una vez iniciado un contenedor, su entorno de ejecución puede modificarse. Por ejemplo, como operador podrías decidir entrar en el contenedor para instalar manualmente herramientas adicionales o escribir archivos en el sistema de archivos temporales del contenedor. Modificar un contenedor después de haberlo iniciado puede abrir puertas a riesgos de seguridad. Es mejor que intentes crear contenedores inmutables, es decir, contenedores que no puedan modificarse una vez iniciados. Aprenderemos a configurar un Pod con los ajustes adecuados para que sus contenedores sean inmutables.

Por último, hablaremos de la captura de registros de eventos que se producen en un clúster de Kubernetes. Esos registros pueden utilizarse para solucionar problemas a nivel de clúster, para reconstruir cuándo y cómo se modificó la configuración del clúster de modo que condujera a un comportamiento en tiempo de ejecución no deseado o roto. Las entradas de ...