Dieser Vortrag wird auf Deutsch gehalten. / This Talk will be held in German.
Vor-Ort-Workshop in Mannheim am 15.11.2022
Je mehr Applikationen in Kubernetes betrieben werden, desto dringlicher stellen sich auch Fragen zur Sicherheit eurer Cluster. In diesem Workshop werdet ihr zunächst auf Sicherheits-Problemzonen in Kubernetes aufmerksam gemacht, um dann verschiedene Security Tools wie zum Beispiel Image Screening und Auditing auf einer Testumgebung zu verwenden.
Ihr lernt, wie man Kubernetes-Cluster sicher betreibt und wie ihr Sicherheitsproblemen proaktiv entgegenwirkt. Und das alles natürlich mit Live-Demos.
Hubert wird dabei unter anderem folgende Tools vorstellen:
- trivy, kubesec, kube-bench, ImagePolicyWebhooks
- Container-Sandboxen: seccomp, AppArmor, gvisor, Kata Containers
- Tools zur Erkennung von Bedrohungen: Falco, Kubernetes-Auditing
Teilnehmende sollten ein grundlegendes Verständnis von Kubernetes-Administration, Linux, Command-Line und Containern mitbringen.
- Wie sieht die grundlegende Architektur von Kubernetes aus?
- Welche unterschiedlichen Arten, Kubernetes zu betreiben, gibt es?
- Was sind grundlegende Maßnahmen, um die Sicherheit von Kubernetes zu verbessern?
- Welche Sicherheits-Problemzonen in Kubernetes gibt es?
- Wie kann ich Verschlüsselung in Kubernetes implementieren?
- Was bedeutet Supply Chain Security?
- Wie kann ich auf Host-Ebene die Sicherheit verbessern?
- Wie bekomme ich Infos über problematische Vorgänge in meinem Cluster?
- ab 09:00 Uhr: Registrierung und Begrüßungskaffee
- 10:00 Uhr: Beginn
- 10:00 - 12:30 Uhr: Installationsvarianten von Kubernetes, Angriffe auf kubelets, Identitaetsdiebstahl, Verschluesselung
- 12:30 - 13:30 Uhr: Mittagspause
- 13:30 - 15:00 Uhr: Kubesec, Trivy, Kyverno, AppArmor
- 15:00 - 15:15 Uhr: Kaffeepause
- 15:15 - 16:15 Uhr: Auditing, Falco
- 16:15 - 16:30 Uhr: Kaffeepause
- 16:30 - 17:00 Uhr: kube-bench
- ca. 17:00 Uhr: Ende
Zu Beginn werden wir uns ein paar grundlegende Gedanken zur Kubernetes-Architektur machen. Wir besprechen Maßnahmen in der Infrastruktur, die die Sicherheit verbessern.
Mittels Hands-on-Übungen werden wir uns einigen Sicherheitsproblemzonen widmen und diese auch in unseren Testumgebungen beheben. Wir werden uns unter anderem mit den Schwachstellen von Kubernetes Secrets befassen. Das Thema Verschlüsselung auf allen Ebenen (Rest, Transport, Usage) werden wir im Detail durchsprechen und auch implementieren.
Danach widmen wir uns Tools, die die Sicherheit unserer Cluster verbessern. Wir werden kubesec, trivy, kyverno, apparmor, auditing, Falco und kube-bench in unseren Testumgebungen verwenden.
Unsere Testumgebungen werden uns helfen, die jeweiligen Probleme besser zu verstehen, und wir werden unsere Testumgebung Schritt für Schritt verbessern.
- Ein Rechner mit einem aktuellen Browser (bevorzugt Google Chrome)
- Die Übungen werden in GCP-Accounts (von Kubermatic bereitgestellt) mittels Cloud Shell durchgeführt.
- Lokale Installationen sind nicht notwendig.
Falls ihr ein Gerät eurer Firma verwendet, überprüft vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei euch auftreten könnte.
- Workshop-Teilnehmer:in hat keine Administrator-Rechte.
- Corporate Laptops mit übermäßig penibler Sicherheitssoftware
- Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.
