book

Seguridad y observabilidad de Kubernetes

by Brendan Creane, Amit Gupta

October 2024

Intermediate to advanced

194 pages

6h 21m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Las etapas de la adopción de KubernetesA quién va dirigido este libroEl equipo de la PlataformaEl Equipo de RedesEl Equipo de SeguridadEl Equipo de CumplimientoEl Equipo de OperacionesLo que aprenderásConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Seguridad para Kubernetes: Un mundo nuevo y diferenteImplementación de una carga de trabajo en Kubernetes: Seguridad en cada etapaSeguridad en el tiempo de construcción: Desplazamiento a la izquierdaSeguridad en tiempo de implementaciónSeguridad en tiempo de ejecuciónObservabilidadMarcos de seguridadSeguridad y observabilidadConclusión
Endurecimiento del AnfitriónElección del sistema operativoProcesos no esencialesCortafuegos basado en hostInvestiga siempre las últimas buenas prácticasEndurecimiento del clústerProteger el almacén de datos de KubernetesProteger el servidor API de KubernetesCifrar secretos de Kubernetes en reposoRota las credenciales con frecuenciaAutenticación y RBACRestringir el acceso a la API de metadatos en la nubeActivar AuditoríaRestringir el acceso a las funciones Alfa o BetaActualizar Kubernetes con frecuenciaUtiliza un servicio gestionado de KubernetesPuntos de referencia del CISSeguridad de la redConclusión
Creación y escaneado de imágenesElección de una imagen baseEndurecimiento de la imagen del contenedorSolución de Escaneado de Imágenes de ContenedoresCuestiones de privacidadAnálisis de la amenaza de los contenedoresCI/CDEscanear imágenes mediante Servicios de Escaneado del RegistroEscanear imágenes después de construirEscaneado de imágenes en líneaControlador de Admisión de KubernetesAsegurar el proceso CI/CDPolítica de organizaciónGestión de secretosetcd para almacenar secretosServicio de Gestión de SecretosControlador CSI del almacén de secretos de KubernetesBuenas prácticas en la gestión de secretosAutenticaciónCertificados de cliente X509Ficha al portadorFichas OIDCProxy de autenticaciónPeticiones anónimasSuplantación de UsuarioAutorizaciónNodoABACSiempreDenegar/SiemprePermitirRBACRBAC con espacio de nombresMitigación de la Escalada de PrivilegiosConclusión
Políticas de seguridad del móduloUso de las políticas de seguridad del PodCapacidades de la Política de Seguridad del PodContexto de seguridad del PodLimitaciones de los PSPMonitoreo de procesosMonitoreo nativo de KubernetesSeccompSELinuxAppArmorSysctlConclusión
MonitoreoObservabilidadCómo funciona la observabilidad para KubernetesImplementación de la observabilidad para KubernetesHerramientas del núcleo LinuxComponentes de observabilidadAgregación y correlaciónVisualizaciónGráfico de serviciosVisualización de Flujos de RedAnálisis y resolución de problemas Rastreo distribuidoCaptura de paquetesConclusión
AlertaAprendizaje automáticoEjemplos de trabajos de aprendizaje automáticoCentro de Operaciones de SeguridadAnálisis del comportamiento de usuarios y entidadesConclusión
¿Qué es la Política de Red?¿Por qué es importante la Política de Red?Implementación de políticas de redBuenas prácticas de la política de redesEntrada y salidaNo sólo cargas de trabajo de misión críticaEsquemas de políticas y etiquetasDenegación por defecto y Política de aplicaciones por defectoHerramientas políticasProcesos de desarrollo y ventajas de los microserviciosRecomendaciones políticasAvance del impacto de las políticasPuesta en escena de políticas y modos de auditoríaConclusión
Control de acceso basado en funcionesLimitaciones con las políticas de red de KubernetesImplementaciones de políticas de red más ricasControladores de admisiónConclusión
Comprender las Conexiones Directas PodComprender los servicios de KubernetesServicios IP en clústerNodo Servicios PortuariosServicios del equilibrador de cargapolítica de tráfico externo:localExtensiones de la Política de RedAlternativas a kube-proxyDevolución directa del servidorLimitar las IP externas del servicioIPs del Servicio de PublicidadComprender la entrada de KubernetesConclusión

Incorporar la encriptación a tu códigoEncriptación Sidecar o de Malla de ServiciosCifrado de la capa de redConclusión
Defensa frente a amenazas para Kubernetes (Etapas de un ataque)Detección de intrusosSistemas de detección de intrusosFuentes de amenazas de direcciones IP y nombres de dominioConsideraciones especiales para los feeds de nombres de dominioTécnicas avanzadas de defensa frente a amenazasVainas canarias/RecursosAtaques y defensa basados en DNSConclusión

Content preview from Seguridad y observabilidad de Kubernetes

Capítulo 9. Exponer servicios a clientes externos

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

En capítulos anteriores hemos explorado cómo la política de red es una de las principales herramientas para asegurar Kubernetes. Esto es cierto tanto para el tráfico entre pods dentro del clúster (tráfico este-oeste) como para el tráfico entre pods y entidades externas fuera del clúster (tráfico norte-sur). Para todos estos tipos de tráfico, las buenas prácticas son las mismas: utiliza la política de red para limitar las conexiones de red permitidas al ámbito más restringido necesario, de modo que las únicas conexiones permitidas sean las que esperas y necesitas para que funcionen tus aplicaciones o microservicios específicos.

En el caso de los pods a los que necesitan acceder clientes externos fuera del clúster, esto significa restringir las conexiones:

Al puerto o puertos específicos en los que el microservicio correspondiente espera conexiones entrantes
De los clientes específicos que necesitan conectarse al microservicio

No es infrecuente que un microservicio concreto sea consumido sólo dentro de la empresa (ya sea on-prem o en una nube pública) por un número limitado de clientes. En este caso, lo ideal es que las reglas de la política de red de Kubernetes limiten las conexiones entrantes sólo a las direcciones IP, o rango de direcciones IP, asociadas a los clientes. Aunque un microservicio se exponga a ...