book

Seguridad y observabilidad de Kubernetes

by Brendan Creane, Amit Gupta

October 2024

Intermediate to advanced

194 pages

6h 21m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Las etapas de la adopción de KubernetesA quién va dirigido este libroEl equipo de la PlataformaEl Equipo de RedesEl Equipo de SeguridadEl Equipo de CumplimientoEl Equipo de OperacionesLo que aprenderásConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Seguridad para Kubernetes: Un mundo nuevo y diferenteImplementación de una carga de trabajo en Kubernetes: Seguridad en cada etapaSeguridad en el tiempo de construcción: Desplazamiento a la izquierdaSeguridad en tiempo de implementaciónSeguridad en tiempo de ejecuciónObservabilidadMarcos de seguridadSeguridad y observabilidadConclusión
Endurecimiento del AnfitriónElección del sistema operativoProcesos no esencialesCortafuegos basado en hostInvestiga siempre las últimas buenas prácticasEndurecimiento del clústerProteger el almacén de datos de KubernetesProteger el servidor API de KubernetesCifrar secretos de Kubernetes en reposoRota las credenciales con frecuenciaAutenticación y RBACRestringir el acceso a la API de metadatos en la nubeActivar AuditoríaRestringir el acceso a las funciones Alfa o BetaActualizar Kubernetes con frecuenciaUtiliza un servicio gestionado de KubernetesPuntos de referencia del CISSeguridad de la redConclusión
Creación y escaneado de imágenesElección de una imagen baseEndurecimiento de la imagen del contenedorSolución de Escaneado de Imágenes de ContenedoresCuestiones de privacidadAnálisis de la amenaza de los contenedoresCI/CDEscanear imágenes mediante Servicios de Escaneado del RegistroEscanear imágenes después de construirEscaneado de imágenes en líneaControlador de Admisión de KubernetesAsegurar el proceso CI/CDPolítica de organizaciónGestión de secretosetcd para almacenar secretosServicio de Gestión de SecretosControlador CSI del almacén de secretos de KubernetesBuenas prácticas en la gestión de secretosAutenticaciónCertificados de cliente X509Ficha al portadorFichas OIDCProxy de autenticaciónPeticiones anónimasSuplantación de UsuarioAutorizaciónNodoABACSiempreDenegar/SiemprePermitirRBACRBAC con espacio de nombresMitigación de la Escalada de PrivilegiosConclusión
Políticas de seguridad del móduloUso de las políticas de seguridad del PodCapacidades de la Política de Seguridad del PodContexto de seguridad del PodLimitaciones de los PSPMonitoreo de procesosMonitoreo nativo de KubernetesSeccompSELinuxAppArmorSysctlConclusión
MonitoreoObservabilidadCómo funciona la observabilidad para KubernetesImplementación de la observabilidad para KubernetesHerramientas del núcleo LinuxComponentes de observabilidadAgregación y correlaciónVisualizaciónGráfico de serviciosVisualización de Flujos de RedAnálisis y resolución de problemas Rastreo distribuidoCaptura de paquetesConclusión
AlertaAprendizaje automáticoEjemplos de trabajos de aprendizaje automáticoCentro de Operaciones de SeguridadAnálisis del comportamiento de usuarios y entidadesConclusión
¿Qué es la Política de Red?¿Por qué es importante la Política de Red?Implementación de políticas de redBuenas prácticas de la política de redesEntrada y salidaNo sólo cargas de trabajo de misión críticaEsquemas de políticas y etiquetasDenegación por defecto y Política de aplicaciones por defectoHerramientas políticasProcesos de desarrollo y ventajas de los microserviciosRecomendaciones políticasAvance del impacto de las políticasPuesta en escena de políticas y modos de auditoríaConclusión
Control de acceso basado en funcionesLimitaciones con las políticas de red de KubernetesImplementaciones de políticas de red más ricasControladores de admisiónConclusión
Comprender las Conexiones Directas PodComprender los servicios de KubernetesServicios IP en clústerNodo Servicios PortuariosServicios del equilibrador de cargapolítica de tráfico externo:localExtensiones de la Política de RedAlternativas a kube-proxyDevolución directa del servidorLimitar las IP externas del servicioIPs del Servicio de PublicidadComprender la entrada de KubernetesConclusión

Incorporar la encriptación a tu códigoEncriptación Sidecar o de Malla de ServiciosCifrado de la capa de redConclusión
Defensa frente a amenazas para Kubernetes (Etapas de un ataque)Detección de intrusosSistemas de detección de intrusosFuentes de amenazas de direcciones IP y nombres de dominioConsideraciones especiales para los feeds de nombres de dominioTécnicas avanzadas de defensa frente a amenazasVainas canarias/RecursosAtaques y defensa basados en DNSConclusión

Content preview from Seguridad y observabilidad de Kubernetes

Capítulo 7. Política de red

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

En este capítulo, describiremos la política de red y discutiremos su importancia en la seguridad de un clúster Kubernetes. Revisaremos varias implementaciones de políticas de red y herramientas para apoyar las implementaciones de políticas de red. También trataremos las buenas prácticas de la política de red con ejemplos.

¿Qué es la Política de Red?

La política de red es la herramienta principal para asegurar una red Kubernetes. Te permite restringir fácilmente el tráfico de red en tu clúster, de modo que sólo se permita el tráfico que desees que fluya.

Para comprender la importancia de la política de red, exploremos brevemente cómo se conseguía normalmente la seguridad de red antes de la política de red. Históricamente, en las redes empresariales, la seguridad de la red se conseguía diseñando una topología física de dispositivos de red (conmutadores, enrutadores, cortafuegos) y su configuración asociada. La topología física definía los límites de seguridad de la red. En la primera fase de la virtualización, se virtualizaron las mismas construcciones de red y dispositivos de red en la nube, y se utilizaron las mismas técnicas para crear topologías de red específicas de dispositivos de red (virtuales) para proporcionar seguridad a la red. Añadir nuevas aplicaciones o servicios a menudo requería un diseño de red adicional para actualizar ...