Kubernetes安全专家认证(CKS)培训 | 北京站
Kubernetes安全专家认证(Certified Kubernetes Security Specialist),简称CKS。获得认证的Kubernetes安全专家具备丰富的知识、技能及最佳实践能力,能够在构建、部署和运行Kubernetes过程中保护基于容器的应用程序和Kubernetes平台。
CKS是一个实操的认证考试,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,考生必须已经通过Kubernetes管理员认证考试(CKA),在获得CKA认证并且在有效期以内才可以预约CKS考试。
本次培训课程,通过线下授课、真题解读、模拟演练等方式,帮助学员快速掌握相关知识技能,并针对考试做特别强化训练,让学员能从容面对考试。
- 培训时间:2021年5月28日—30日
- 上课地点:北京市朝阳区东三环南路13号北京乐游饭店大会议室
- 培训费用:6500元/人(1-2人);6200元/人(3-4人);6000元/人(5人及以上)
- 考试费用:1800元/人(可以考2次)
- 报名链接:https://www.bagevent.com/event/7272342
- 垂询电话:+86 132 4116 6558
- 微信:liyingjiesf
培训大纲:
第一天上午
CKS最新考纲解读与如何保护Kubernetes集群
- CKS考试大纲解读
- 概览:Kubernetes集群组件架构
- 概览:保护Kubernetes集群安全
Kubernetes安全领域知识介绍
Kubernetes的威胁模型 / Kubernetes Threat modeling
- 什么是威胁模型 / Threat modeling
Kubernetes集群中的威胁源
- Kubernetes集群中的主要威胁
Kubernetes安全边界
- 什么是安全边界(security boundaries)
- 安全边界(security boundaries)和信任边界(trust boundaries)
Kubernetes的安全边界
- Linux系统的安全边界
- 网络的安全边界
纵深防御 / Defense in Depth
- Kubernetes审计介绍
- Kubernetes集群的高可用性
- 管理Kubernetes秘钥
- 使用Vault管理秘钥
- 用Falco探测Kubernetes集群异常
- Sysdig介绍
第一天下午
Kubernetes集群搭建/Cluster Setup
使用网络策略NetworkPolicy限制集群网络访问
- 实战:使用网络插件Calico,实现NetworkPolicy
使用CIS基准来检查Kubernetes组件(kube-api-server、kube-scheduler、kubelet、etcd)的安全配置
- 了解什么是CIS(Center for Internet Security)基准
- 安装和使用 CIS Kubernetes Benchmark 测试工具:kube-bench
- 使用kube-bench检测master及worker nodes的安全隐患配置
Ingress的安全配置
- 了解什么是Ingress
- 为Ingress配置自签名证书,建立TLS安全通信
部署前验证Kubernetes二进制文件
- 通过sha512sum验证Kubernetes二进制文件
Kubernetes集群安全强化/Cluster Hardening
限制对Kubernetes API的访问
- Kubernetes的鉴权/Kubernetes authentication
- Kubernetes的授权/Kubernetes authorization
- Kubernetes的准入控制/Kubernetes Admission Control
RBAC(基于角色的访问控制)
- 了解什么是RBAC
- RBAC的使用,创建ServiceAccount,Role/ClusterRole和RoleBinding/ClusterRoleBinding
ServiceAccount的最佳安全实践
- 禁用默认的ServiceAccount
- 对新创建的ServiceAccount应用最小权限原则
升级Kubernetes
- 使用kubeadm升级Kubernetes集群
第二天上午
系统强化/System Hardening
减小系统的被攻击面
- 去除不需要的系统软件模块
限制对外网的访问
- 使用防火墙保护主机
- 使用NetworkPolicy限制对外网的访问
使用Linux系统安全模块
- 使用AppArmor限制容器对资源的访问
- 使用Seccomp限制容器内进程的系统调用
最小化微服务漏洞/Minimize Microservice Vulnerabilities
使用PSP,OPA,安全上下文提高安全性
- 了解并配置Pod安全策略 (PSP)
- 了解并配置OPA Gatekeeper
- 了解并配置Pod或容器安全上下文(securityContext)
管理Kubernetes Secret
- 使用Kubernetes Secret存储敏感信息
在多租户环境中使用沙箱运行容器(例如gvisor,kata容器)
- 了解为什么要部署沙箱
- 什么是gVisor?安装gvisor
- 配置RuntimeClass,使用gVisor运行Pod
实现Pod和Pod之间的双向TLS认证
- 了解什么是mTLS(mutual TLS)
- 使用mTLS进行安全通信
第二天下午
供应链安全
容器安全
- 选择尽可能小的基础镜像
- 对容器镜像进行签名和验证
防止恶意容器创建
- 通过黑名单/白名单来限制访问容器镜像仓库
- 了解准入控制器Admission Control
- 了解并配置ImagePolicyWebhook
分析文件及镜像安全隐患
- 分析Dockerfile、Kubernetes yaml文件的安全隐患
- 使用工具扫描镜像漏洞,如trivy
监控、审计和运行时安全
分析容器系统调用,检测恶意进程
- 安装并使用Falco,进行运行时安全监控
构建不可变容器(Immutable container)
Kubernetes审计
- 开启Kubernetes审计日志
- 分析Kubernetes审计日志
第三天上午
Kubernetes常见漏洞/Kubernetes CVEs(Common Vulnerabilities and Exposures)
- 检测和分析加密货币挖矿攻击(Crypto-Mining Attacks)
- Kubernetes常见漏洞分析及应对方法
- 使用第三方工具扫描Kubernetes常见漏洞
第三天下午
CKS考试注意事项与模拟演练
- CKS模拟题演练与解析
- CKS考试注意事项
注:学员需自备电脑,内存不小于8G。
报名链接:https://www.bagevent.com/event/7272342
注意:学员需自备电脑,内存不小于8G。
培训结束后学员可以根据自己情况预约考试时间。