Zurück

Kubernetes Security Deep Dive

Lernen Sie fortgeschrittene Sicherheitskonzepte in Kubernetes-Clustern, von Netzwerksicherheit bis zur sicheren Supply Chain

4 Tage
Fortgeschritten
Loslegen

Kubernetes Security Deep Dive

Kursübersicht

Dieser praxisorientierte Kurs vermittelt tiefgehendes Wissen zur Absicherung von Kubernetes-Clustern. Sie lernen moderne Sicherheitsstandards, Tools und Methoden zur Härtung von Workloads, zur Zugriffskontrolle sowie zur Absicherung der Container-Supply-Chain. Ideal für Teilnehmer mit Kubernetes-Grundkenntnissen, die Cluster sicher betreiben möchten.

Was Sie lernen werden

  • Netzwerksicherheit im Cluster: Kommunikation zwischen Pods absichern und Netzwerk-Policies effektiv einsetzen
  • API-Zugriff kontrollieren: RBAC, Service Accounts und API-Schutzmechanismen
  • System- und Kernel-Härtung: Reduzierung der Angriffsfläche durch OS- und Kernel-Härtung
  • Pod-Sicherheit und Laufzeit-Schutz: Pod Security Standards, Sandboxing und Secrets-Management
  • Container Image Sicherheit: Minimierung des Base Images, statische Analyse, Signierung und Validierung
  • Monitoring und Auditing: Erkennung von Anomalien mit Falco und Kubernetes-Audit-Logs

Kursmodule

Modul 1: Netzwerk und Cluster-Härtung

  • Cluster-Komponenten und ihre Kommunikation
  • Erforderliche Zertifikate für sichere Kommunikation
  • Netzwerk-Policies: Firewall-Regeln und Policy Controller
  • Ingress: TLS-Terminierung und Sicherheitskonzepte
  • CIS Benchmarks: Best Practices mit kube-bench und Fehlkonfigurationen beheben
  • Verifikation von Plattform-Binaries: Herkunft und Checksums

Modul 2: API-Zugriff und Berechtigungen

  • Verarbeitung von API-Anfragen in Kubernetes
  • Zugriffsbeschränkung auf den API Server
  • Service Accounts: Erstellung, Nutzung und Sicherheitskonfiguration
  • RBAC: Rollen, RoleBindings und Integration mit Service Accounts
  • Kubernetes-Upgrades: Release-Zyklen, Notwendigkeit und Upgrade-Prozesse

Modul 3: System- und Laufzeit-Härtung

  • Minimierung der System-Angriffsfläche: Host-OS, IAM-Rollen und Netzwerkzugänge
  • Kernel-Härtung: Systemaufrufe verhindern mit AppArmor und syscomp
  • Pod Security Standards: Security Context, PSA und OPA-Policy Enforcement
  • Container-Runtime-Sandboxing: Einsatz von gVisor und Kata Containers
  • Secrets-Management: Erstellung, Nutzung und Verschlüsselung in etcd
  • Verschlüsselung der Pod-zu-Pod-Kommunikation: mTLS mit Cilium

Modul 4: Container-Sicherheit und Monitoring

  • Minimierung des Base Images: Auswahl, Multi-Stage Dockerfiles und Layer-Optimierung
  • Statische Analyse: Dockerfiles, Manifeste und Image Scans
  • Supply Chain Security: Signierung, Validierung und Whitelisting von Registries
  • Verhaltensanalyse im Cluster: Events tracken mit Falco, Konfiguration und Anwendung
  • Audit Logging: Inhalte, Regelkonfiguration und Log-Beispiele
  • Container-Immutabilität: Bedeutung, Umsetzung und Pod-Optionen

Voraussetzungen

  • Gute Kenntnisse in Kubernetes (z. B. Deployment, Services, ConfigMaps)
  • Grundverständnis von Linux-Systemen und Container-Technologien
  • Erfahrung mit YAML und Kubernetes-CLI (kubectl) empfohlen

Wer sollte teilnehmen

  • Kubernetes-Administratoren mit Sicherheitsverantwortung
  • DevOps Engineers und Platform Engineers
  • IT-Sicherheitsverantwortliche in Cloud-Umgebungen
  • Entwickler mit Fokus auf sichere Workload-Deployments