book

Seguridad y observabilidad de Kubernetes

by Brendan Creane, Amit Gupta

October 2024

Intermediate to advanced

194 pages

6h 21m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Las etapas de la adopción de KubernetesA quién va dirigido este libroEl equipo de la PlataformaEl Equipo de RedesEl Equipo de SeguridadEl Equipo de CumplimientoEl Equipo de OperacionesLo que aprenderásConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Seguridad para Kubernetes: Un mundo nuevo y diferenteImplementación de una carga de trabajo en Kubernetes: Seguridad en cada etapaSeguridad en el tiempo de construcción: Desplazamiento a la izquierdaSeguridad en tiempo de implementaciónSeguridad en tiempo de ejecuciónObservabilidadMarcos de seguridadSeguridad y observabilidadConclusión
Endurecimiento del AnfitriónElección del sistema operativoProcesos no esencialesCortafuegos basado en hostInvestiga siempre las últimas buenas prácticasEndurecimiento del clústerProteger el almacén de datos de KubernetesProteger el servidor API de KubernetesCifrar secretos de Kubernetes en reposoRota las credenciales con frecuenciaAutenticación y RBACRestringir el acceso a la API de metadatos en la nubeActivar AuditoríaRestringir el acceso a las funciones Alfa o BetaActualizar Kubernetes con frecuenciaUtiliza un servicio gestionado de KubernetesPuntos de referencia del CISSeguridad de la redConclusión
Creación y escaneado de imágenesElección de una imagen baseEndurecimiento de la imagen del contenedorSolución de Escaneado de Imágenes de ContenedoresCuestiones de privacidadAnálisis de la amenaza de los contenedoresCI/CDEscanear imágenes mediante Servicios de Escaneado del RegistroEscanear imágenes después de construirEscaneado de imágenes en líneaControlador de Admisión de KubernetesAsegurar el proceso CI/CDPolítica de organizaciónGestión de secretosetcd para almacenar secretosServicio de Gestión de SecretosControlador CSI del almacén de secretos de KubernetesBuenas prácticas en la gestión de secretosAutenticaciónCertificados de cliente X509Ficha al portadorFichas OIDCProxy de autenticaciónPeticiones anónimasSuplantación de UsuarioAutorizaciónNodoABACSiempreDenegar/SiemprePermitirRBACRBAC con espacio de nombresMitigación de la Escalada de PrivilegiosConclusión
Políticas de seguridad del móduloUso de las políticas de seguridad del PodCapacidades de la Política de Seguridad del PodContexto de seguridad del PodLimitaciones de los PSPMonitoreo de procesosMonitoreo nativo de KubernetesSeccompSELinuxAppArmorSysctlConclusión
MonitoreoObservabilidadCómo funciona la observabilidad para KubernetesImplementación de la observabilidad para KubernetesHerramientas del núcleo LinuxComponentes de observabilidadAgregación y correlaciónVisualizaciónGráfico de serviciosVisualización de Flujos de RedAnálisis y resolución de problemas Rastreo distribuidoCaptura de paquetesConclusión
AlertaAprendizaje automáticoEjemplos de trabajos de aprendizaje automáticoCentro de Operaciones de SeguridadAnálisis del comportamiento de usuarios y entidadesConclusión
¿Qué es la Política de Red?¿Por qué es importante la Política de Red?Implementación de políticas de redBuenas prácticas de la política de redesEntrada y salidaNo sólo cargas de trabajo de misión críticaEsquemas de políticas y etiquetasDenegación por defecto y Política de aplicaciones por defectoHerramientas políticasProcesos de desarrollo y ventajas de los microserviciosRecomendaciones políticasAvance del impacto de las políticasPuesta en escena de políticas y modos de auditoríaConclusión
Control de acceso basado en funcionesLimitaciones con las políticas de red de KubernetesImplementaciones de políticas de red más ricasControladores de admisiónConclusión
Comprender las Conexiones Directas PodComprender los servicios de KubernetesServicios IP en clústerNodo Servicios PortuariosServicios del equilibrador de cargapolítica de tráfico externo:localExtensiones de la Política de RedAlternativas a kube-proxyDevolución directa del servidorLimitar las IP externas del servicioIPs del Servicio de PublicidadComprender la entrada de KubernetesConclusión

Incorporar la encriptación a tu códigoEncriptación Sidecar o de Malla de ServiciosCifrado de la capa de redConclusión
Defensa frente a amenazas para Kubernetes (Etapas de un ataque)Detección de intrusosSistemas de detección de intrusosFuentes de amenazas de direcciones IP y nombres de dominioConsideraciones especiales para los feeds de nombres de dominioTécnicas avanzadas de defensa frente a amenazasVainas canarias/RecursosAtaques y defensa basados en DNSConclusión

Content preview from Seguridad y observabilidad de Kubernetes

Capítulo 8. Gestión de la confianza entre equipos

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

En el capítulo anterior exploramos cómo la política de red representa una oportunidad para adoptar una filosofía de cambio a la izquierda para la seguridad de la red, en la que la seguridad la definen los equipos en una fase temprana del ciclo de desarrollo, en lugar de definirla y mantenerla un equipo de seguridad en una fase tardía del proceso. Este enfoque puede aportar muchas ventajas, pero para que sea viable, tiene que haber un grado correspondiente de confianza y reparto de responsabilidades entre los equipos implicados.

En la mayoría de las organizaciones, no es práctico desplazar el 100% de la responsabilidad de la seguridad hacia la izquierda, con todos los demás equipos (plataforma, red y seguridad) lavándose las manos de cualquier responsabilidad en materia de seguridad. Así, por ejemplo, aunque la responsabilidad de los detalles de bajo nivel de la seguridad individual de los microservicios pueda desplazarse a la izquierda, el equipo de seguridad puede seguir siendo responsable de garantizar que tu implementación de Kubernetes tenga una postura de seguridad que cumpla los requisitos de conformidad internos y externos.

Algunas empresas manejan esto definiendo procesos internos, por ejemplo, para asegurarse de que el equipo de seguridad revisa todos los cambios de seguridad antes de aplicarlos. El inconveniente ...