Trainingul DevSecOps Advanced acoperă noțiuni referitoare la securitatea infrastucturii aplicațiilor containerizate. De asemenea în cadrul cursului se oferă și noțiuni referitoare la recomandări privind bune practici pentru securizarea rețelei și aplicațiilor.
Acest curs se adresează:
- tuturor celor care sunt familiarizați cu aplicațiile containerizate și tehnologiile de orchestrare a containerelor și tuturor celor care doresc să sporească securitatea mediului lor
- Inginerilor DevOps
- Administratorilor de sistem Linux
- Inginerilor proiectanți de sisteme
- Arhitecților
În cadrul acestui curs, studenții vor învăța cum să îmbunătățească securitatea infrastructurii aplicațiilor containerizate.
Pentru a participa în cadrul acestui curs, studenții trebuie să:
- aibă cunoștințe avansate despre containere (se recomandă parcurgerea cursului Docker Basic)
- să aibă cunoștințe avansate despre terminologia Kubernetes și funcționarea fundamentală a clusterului Kubernetes ( se recomandă parcurgerea cursului Kubernetes Basic)
Se recomandă ca studentul să aibă cunoștințe de lucru despre următoarele subiecte Kubernetes: Controlul accesului bazat pe roluri (RBAC), controlul resurselor, logarea și monitorizarea (curs recomandat: Kubernetes Advanced)
Module 01: Introduction to Cloud Security
- The 4C’s of Cloud Native Security
- STRIDE Threat Model
- Node Security
- Container Security
Module 02: Cert Manager
- What Cert Manager is
- cert-manager overview
- cert-manager concepts
- Installing cert-manger
- cert-manager walkthrough
Hands-on Lab: Cert Manager
Module 03: RBAC Revisited. External Auth Sources
- RBAC Revisited
- Role and ClusterRole
- RoleBinding and CluterRoleBinding
- OpenID Connect
- OIDC Implicit flow
- OIDC Authentication flow
- JWT Tokens
- Keycloak – K8s integration
Hands-on Lab: RBAC Revisited
Module 04: K8s-Network Policy
- Why use network policies
- What is MetalLB and how it works
- Configuring Layer2 and Layer3 MetalLB
- Additional MetalLB configuration samples
Hands-on Lab: Network Policies
Module 05: K8s-Securing container images
- Tools for securing your container images
- OCI Annotations
- Managing the security of K8s container workloads
- Vulnerability Scanning Tools (Aqua MicroScanner, Anchore)
- Security Context
- Image Security Best Practices
Hands-on Lab: Image Security
Module 06: Istio – Introduction
- What is a service mash
- What is Istio
- Istio architecture and components
- Setting up Istio
Hands-on Lab: Istio – Introduction
Module 07: Istio – Advanced Routing
- Why route traffic?
- Traffic shifting
- Request routing
- External Resources
Hands-on Lab: Istio – Traffic routing
Module 08: Istio – Fault Injection
- Controlling Ingress traffic
- Fault injection
- Circuit breaking
- Traffic mirroring
Hands-on Lab: Istio – Fault injection
Module 09: Istio – mTLS
- Securing pod communication with Istio
- mTLS
- Authorization policies
- Policy target
- Authenticated and unauthenticated identity
Hands-on Lab: Istio – mTLS and Authorization
Module 10: Istio – Observability
- Viewing the mesh with Kiali
- Kiali features
- Generating a service graph
- Tracing Calls with Jaeger
- Observability (Metrics, Distributed Tracers, Access Logs)
Hands-on Lab: Istio – Observability
Module 11: Pod Security Policies
- Enabling Pod Security Policies
- Policy Reference
Hands-on Lab: Pod Security Policies
Module 12: Open Policy Agent
- How OPA works
- OPA and Kubernetes
- Integrating OPA with K8s
Hands-on Lab: OPA Gatekeeper
Module 13: Secret Management. Hashicorp Vault
- Secrets – the theory behind
- Protecting Secrets
- Risks
- Hashicorp Vault
- Running Vault on K8s
- Integrating Vault with K8s
Hands-on Lab: Secret Management
