book

Seguridad y observabilidad de Kubernetes

by Brendan Creane, Amit Gupta

October 2024

Intermediate to advanced

194 pages

6h 21m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Las etapas de la adopción de KubernetesA quién va dirigido este libroEl equipo de la PlataformaEl Equipo de RedesEl Equipo de SeguridadEl Equipo de CumplimientoEl Equipo de OperacionesLo que aprenderásConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Seguridad para Kubernetes: Un mundo nuevo y diferenteImplementación de una carga de trabajo en Kubernetes: Seguridad en cada etapaSeguridad en el tiempo de construcción: Desplazamiento a la izquierdaSeguridad en tiempo de implementaciónSeguridad en tiempo de ejecuciónObservabilidadMarcos de seguridadSeguridad y observabilidadConclusión
Endurecimiento del AnfitriónElección del sistema operativoProcesos no esencialesCortafuegos basado en hostInvestiga siempre las últimas buenas prácticasEndurecimiento del clústerProteger el almacén de datos de KubernetesProteger el servidor API de KubernetesCifrar secretos de Kubernetes en reposoRota las credenciales con frecuenciaAutenticación y RBACRestringir el acceso a la API de metadatos en la nubeActivar AuditoríaRestringir el acceso a las funciones Alfa o BetaActualizar Kubernetes con frecuenciaUtiliza un servicio gestionado de KubernetesPuntos de referencia del CISSeguridad de la redConclusión
Creación y escaneado de imágenesElección de una imagen baseEndurecimiento de la imagen del contenedorSolución de Escaneado de Imágenes de ContenedoresCuestiones de privacidadAnálisis de la amenaza de los contenedoresCI/CDEscanear imágenes mediante Servicios de Escaneado del RegistroEscanear imágenes después de construirEscaneado de imágenes en líneaControlador de Admisión de KubernetesAsegurar el proceso CI/CDPolítica de organizaciónGestión de secretosetcd para almacenar secretosServicio de Gestión de SecretosControlador CSI del almacén de secretos de KubernetesBuenas prácticas en la gestión de secretosAutenticaciónCertificados de cliente X509Ficha al portadorFichas OIDCProxy de autenticaciónPeticiones anónimasSuplantación de UsuarioAutorizaciónNodoABACSiempreDenegar/SiemprePermitirRBACRBAC con espacio de nombresMitigación de la Escalada de PrivilegiosConclusión
Políticas de seguridad del móduloUso de las políticas de seguridad del PodCapacidades de la Política de Seguridad del PodContexto de seguridad del PodLimitaciones de los PSPMonitoreo de procesosMonitoreo nativo de KubernetesSeccompSELinuxAppArmorSysctlConclusión
MonitoreoObservabilidadCómo funciona la observabilidad para KubernetesImplementación de la observabilidad para KubernetesHerramientas del núcleo LinuxComponentes de observabilidadAgregación y correlaciónVisualizaciónGráfico de serviciosVisualización de Flujos de RedAnálisis y resolución de problemas Rastreo distribuidoCaptura de paquetesConclusión
AlertaAprendizaje automáticoEjemplos de trabajos de aprendizaje automáticoCentro de Operaciones de SeguridadAnálisis del comportamiento de usuarios y entidadesConclusión
¿Qué es la Política de Red?¿Por qué es importante la Política de Red?Implementación de políticas de redBuenas prácticas de la política de redesEntrada y salidaNo sólo cargas de trabajo de misión críticaEsquemas de políticas y etiquetasDenegación por defecto y Política de aplicaciones por defectoHerramientas políticasProcesos de desarrollo y ventajas de los microserviciosRecomendaciones políticasAvance del impacto de las políticasPuesta en escena de políticas y modos de auditoríaConclusión
Control de acceso basado en funcionesLimitaciones con las políticas de red de KubernetesImplementaciones de políticas de red más ricasControladores de admisiónConclusión
Comprender las Conexiones Directas PodComprender los servicios de KubernetesServicios IP en clústerNodo Servicios PortuariosServicios del equilibrador de cargapolítica de tráfico externo:localExtensiones de la Política de RedAlternativas a kube-proxyDevolución directa del servidorLimitar las IP externas del servicioIPs del Servicio de PublicidadComprender la entrada de KubernetesConclusión

Incorporar la encriptación a tu códigoEncriptación Sidecar o de Malla de ServiciosCifrado de la capa de redConclusión
Defensa frente a amenazas para Kubernetes (Etapas de un ataque)Detección de intrusosSistemas de detección de intrusosFuentes de amenazas de direcciones IP y nombres de dominioConsideraciones especiales para los feeds de nombres de dominioTécnicas avanzadas de defensa frente a amenazasVainas canarias/RecursosAtaques y defensa basados en DNSConclusión

Content preview from Seguridad y observabilidad de Kubernetes

Capítulo 6. Observabilidad y seguridad

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Este capítulo explicará cómo una plataforma de observabilidad puede ayudar a mejorar la seguridad de tu clúster Kubernetes. Cubriremos los siguientes temas:

Alerta: En el Capítulo 5 tratamos las buenas prácticas para implementar la recopilación de registros. En este capítulo, nos centraremos en cómo construir un sistema que ayude a generar alertas de alta fidelidad. También hablaremos del uso del aprendizaje automático para la detección de anomalías.
Centro de operaciones de seguridad: Revisaremos una implementación de referencia de un centro de operaciones de seguridad (SOC) y cómo la observabilidad puede ayudarte a construir un SOC para tu clúster de Kubernetes.
Análisis del comportamiento: Cubriremos el concepto de análisis del comportamiento de usuarios y entidades (UEBA) y cómo implementarlo en tu clúster Kubernetes.

Alerta

En el capítulo anterior hablamos de cómo implementar el registro para tu clúster Kubernetes. Un sistema de alertas eficaz debe incluir lo siguiente:

El sistema debe ser capaz de ejecutar automáticamente consultas en varias fuentes de datos de registro (por ejemplo, registros de actividad de Kubernetes, registros de red, registros de aplicaciones, registros DNS, etc.).
El sistema debe ser capaz de soportar una máquina de estados que se utilice para generar eventos para un número especificado de violaciones ...