Kubernetes для разработчиков — при поддержке Mail.ru Cloud Solutions и Intel
Close
С развитием DevOps казалось, что сначала надо решить бизнес-задачи, уменьшить time to market, но всё происходило настолько быстро, что проекты оказались в зоне риска. Kubernetes стал настоящей чёрной дырой: возможности взлома, новые уязвимости. Надо понять, как в этом жить и сделать всё безопасно.
ДАТА
5—7 ноября
Каталог > Безопасность в Kubernetes

Безопасность
в Kubernetes

ФОРМАТ
Онлайн-интенсив
Для кого этот курс
Инженерам эксплуатации: жить безопасно в Kubernetes с помощью подходящих инструментов и утилит
Тимлидам: привнести лучшие практики по безопасности в Kubernetes
Инженерам по безопасности: на прикладном уровне обеспечить безопасность проекта

Программа интенсива
Безопасность в Kubernetes

Обучение пройдёт в онлайн-формате и продлится 3 дня с 10:00 до 19:00, с перерывом на обед.
Все темы будут рассказаны в живом формате с возможностью задавать вопросы спикерам, а записи останутся доступны на 2 года. Практика будет на готовых стендах и займёт не менее половины времени интенсива.
№1: Введение в безопасность проекта на Kubernetes
Задача инженера: Понимать основные принципы безопасности проекта, живущего в Kubernetes. Знать о моделях угроз.

Практика и теория: Что такое безопасность проекта в контексте Kubernetes? Sec, Dev, Ops - как всем подружиться и жить счастливо?
№2: Защищаем Control Plane Kubernetes
Задача инженера: Не допустить перехват управления кластером злоумышленником. Знать best practices по защите основных компонентов Kubernetes и иметь под рукой чек-лист, позволяющий проверить проект на потенциальные уязвимости.

Практика и теория: Insecure port API, защита ETCD, анонимная авторизация, на что ещё обратить внимание? Как с помощью CIS Benchmarks повысить свою уверенность в безопасности?
№3: Авторизация, аутентификация и аккаунтинг в Kubernetes
Задача инженера: На глубинном уровне понимать, как работает авторизация и аутентификация в кластере Kubernetes и знать, как правильно их приготовить. Уметь не только настроить эти процессы безопасно, но и визуализировать их, а также сделать процесс идентификации пользователя более удобным с помощью Keycloak.

Практика и теория: Как с помощью Keycloak выстроить рабочий, удобный и безопасный процесс идентификации пользователей в кластере? Как работает авторизация и аутентификация в Kubernetes?
№4: Статический анализ кода проекта
Задача инженера: Научиться работать с безопасностью при зарождении проекта – на этапе написания кода.

Практика и теория: Как убедиться, что в написанном коде нет уязвимостей? Чем могут помочь такие инструменты, как Sast/SecretScan, и как их использовать? Как анализировать sensitive данные прямо в CI?
№5: Безопасность образов приложения
Задача инженера: Быть уверенным в безопасности работающих в Kubernetes приложений. Использовать правильные подходы и современные утилиты для обеспечения безопасности образов своих приложений.

Практика и теория: Как с помощью таких инструментов как Anchore или Trivy отлавливать уязвимости в образах вашего проекта? Как их правильно встроить в CI?
№6: Безопасность Kubernetes манифестов
Задача инженера: Иметь возможность на этапе CI с помощью инструмента Policy Engine валидировать манифесты на предмет их безопасности.

Практика и теория: Как автоматизировано блокировать запуск приложений, у которых образ с тегом latest? Как блокировать манифесты, у которых отсутствует поле securityContext? Как в целом нехорошие и небезопасные манифесты блокировать еще на этапе CI?
№7: Использование Policy Engine и Admission Controller'ов
Задача инженера: Уметь настроить политики безопасности с помощью Policy Engine внутри кластера Kubernetes. Понимать, как работают Admission Controllers и знать, чем можно заменить Pod Security Policy.

Практика и теория: Как с помощью таких представителей Policy Engine, как Kyverno или Open Policy Agent, контролировать всё, что создается в кластере и заменить собой большинство Admission Controller'ов, таких как PSP? Как работают Admission Webhooks, и как с их помощью можно реализовать в кластере валидацию и изменение практически всего, что угодно?
№8: Безопасность контейнера
Задача инженера: Знать инструменты, которые могут обеспечить безопасность контейнера и максимально усложнят жизнь злоумышленнику.

Практика и теория: Что там с SELinux и Kubernetes, нужно ли оно? Использовать AppArmor или нет? Как закручивать гайки процессам контейнеров с помощью Seccomp-профилей и Capabilities? Какие существуют Best Practices по безопасности контейнеров в контексте Kubernetes и не только?
№9: Безопасное хранение Secrets. Храним пароли правильно
Задача инженера: Знать, как правильно хранить свои чувствительные данные в кластере Kubernetes.

Практика и теория: Где и как хранить пароли и токены своего проекта, чтобы они были в безопасности?
№10: Сетевые политики
Задача инженера: Уметь гибко создавать и управлять сетевыми правилами в кластере Kubernetes.

Практика и теория: Как организовать сетевую изоляцию сред в рамках кластера? Как сделать так, чтобы проект по сети обращался только к выбранным эндпоинтам?
№11: mTLS и взаимная аутентификация сервисов
Задача инженера: На примере Istio понять, как можно выстроить безопасность своего проекта с помощью инструмента service mesh, а также использовать mTLS при взаимодействии.

Практика и теория: Как service mesh поможет в реализации безопасности взаимодействия компонентов приложения и защитит от ряда атак?
№12: Мониторинг безопасности проекта. Audit Policy
Задача инженера: Понять, на что требуется обращать внимание в своем проекте с точки зрения безопасности и в каких моментах держать руку на пульсе.

Практика и теория: Как observability помогает в безопасности проекта?
Требования к участникам
— Понимание абстракций Kubernetes и их работы (services, endpoints, pods).
— Опыт работы с kubectl.
— Опыт работы с Linux и контейнерами.
Спикеры
Павел Селиванов
Архитектор в Mail.ru Cloud Solutions

— На счету десятки выстроенных инфраструктур и сотни написанных пайплайнов CI/CD
— Спикер нескольких курсов по Kubernetes и DevOps, среди которых программы по Kubernetes для инженеров и разработчиков, курс «Логирование и мониторинг инфраструктуры в K8s» и интенсив по SRE
— Регулярный докладчик на российских и международных IT- конференциях

Сергей Бондарев
Архитектор в Southbridge

— Внедрения Кубернетес: все куб-проекты Southbridge, включая собственную инфраструктуру
— Один из разработчиков kubespray с правами на принятие pull request
— Автор и преподаватель нескольких курсов по Kubernetes и DevOps, среди которых продвинутая программа по Kubernetes для инженеров, программа для разработчиков, курс «Логирование и мониторинг инфраструктуры в Kubernetes»
Дмитрий Евдокимов
Founder и CTO компании Luntry

— Разрабатывает решение по k8s observability;
— Более 10 лет опыта в информационной безопасности;
— Автор Telegram-канала про Kubernetes «k8s (in)security»;
— Автор курса «Cloud native безопасность в Kubernetes»;
— Докладчик: BlackHat, HackInTheBox, ZeroNights, HackInParis, Confidence, SAS, PHDays.

Мошаров Максим
CEO & Founder Whitespots.io
— Сократил процесс внедрения appsec процессов в компаниях до одного квартала
— Обучил более 1000 инженеров практикам ИБ
— Активный участник security opensource community
- Собрал команду единомышленников в разгар локдауна

Артём Юшковский
MLOps and K8s security engineer, in collaboration with Whitespots.io
— Проводил внутреннее обучение по Kubernetes
— Многолетний опыт разработки защищенных решений на базе Kubernetes
- Занимался тестированием безопасности и проникновения для компаний
Стоимость
55 000 ₽
Записаться
Оплатить как юр.лицо
Мы свяжемся с вами, ответим на вопросы и отправим счёт