Kurs DevOps Artisan – DevSecOps Advanced behandelt Konzepte im Zusammenhang mit der Sicherheit der Container-Anwendungsinfrastruktur. Der Kurs bietet außerdem Informationen zu Best-Practice-Empfehlungen für Netzwerk- und Anwendungssicherheit.
- Jeder, der mit Containeranwendungen und Container-Orchestrierungstechnologien vertraut ist und die Sicherheit seiner Umgebung erhöhen möchte
- Ingenieure DevOps
- Linux-Systemadministratoren
- Systemdesign-Ingenieure
- ARCHITEKTEN
In diesem Kurs lernen die Teilnehmer, wie sie die Sicherheit einer Container-Anwendungsinfrastruktur verbessern können.
Um an diesem Kurs teilnehmen zu können, müssen die Studierenden:
- über fortgeschrittene Containerkenntnisse verfügen (der Besuch des Docker Basic-Kurses wird empfohlen)
- über fortgeschrittene Kenntnisse der Kubernetes-Terminologie und der grundlegenden Funktionsweise des Kubernetes-Clusters verfügen (die Teilnahme am Kubernetes-Grundkurs wird empfohlen)
Es wird empfohlen, dass der Student über praktische Kenntnisse in den folgenden Kubernetes-Themen verfügt: Rollenbasierte Zugriffskontrolle (RBAC), Ressourcenkontrolle, Protokollierung und Überwachung (empfohlener Kurs: Kubernetes Advanced)
Modul 01: Einführung in die Cloud Sicherheit
- Die 4C's von Cloud Native Sicherheit
- STRIDE-Bedrohungsmodell
- Knotensicherheit
- Container-Sicherheit
Modul 02: Manager-Zertifikat
- Was Cert Manager ist
- Übersicht über den Zertifikatsmanager
- Cert-Manager-Konzepte
- Cert-Manager installieren
- Komplettlösung für den Zertifikatsmanager
Hands-on-Labor: Zertifikatsmanager
Modul 03: RBAC erneut besucht. Externe Authentifizierungsquellen
- RBAC erneut besucht
- Rolle und ClusterRole
- RoleBinding und ClutterRoleBinding
- OpenID Connect
- OIDC Impliziter Fluss
- OIDC-Authentifizierungsablauf
- JWT-Token
- Keycloak – K8s-Integration
Hands-on-Labor: RBAC erneut besucht
Modul 04: K8s-Netzwerkrichtlinie
- Warum Netzwerkrichtlinien verwenden?
- Was ist MetalLB und wie funktioniert es?
- Konfigurieren von Layer2- und Layer3-MetalLB
- Zusätzliche MetalLB-Konfigurationsbeispiele
Hands-on-Labor: Netzwerkrichtlinien
Modul 05: K8s – Sicherung von Container-Images
- Tools zum Sichern Ihrer Container-Images
- OCI-Anmerkungen
- Verwalten der Sicherheit von K8s-Container-Workloads
- Tools zum Scannen von Schwachstellen (Aqua MicroScanner, Anchore)
- Sicherheitskontext
- Best Practices für die Bildsicherheit
Hands-on-Labor: Bildsicherheit
Modul 06: Istio – Einführung
- Was ist ein Service-Mash?
- Was ist Istio?
- Istio-Architektur und -Komponenten
- Istio einrichten
Hands-on-Labor: Istio – Einführung
Modul 07: Istio – Erweitertes Routing
- Warum den Verkehr weiterleiten?
- Verkehrsverlagerung
- Routing anfordern
- Externe Ressourcen
Hands-on-Labor: Istio – Verkehrsführung
Modul 08: Istio – Fehlerinjektion
- Kontrollieren des eingehenden Datenverkehrs
- Fehlerinjektion
- Stromkreisunterbrechung
- Verkehrsspiegelung
Hands-on-Labor: Istio – Fehlerinjektion
Modul 09: Istio – mTLS
- Sichern der Bridge-Kommunikation mit Istio
- mTLS
- Autorisierungsrichtlinien
- Politisches Ziel
- Authentifizierte und nicht authentifizierte Identität
Hands-on-Labor: Istio – mTLS und Autorisierung
Modul 10: Istio – Beobachtbarkeit
- Besichtigung des Netzes mit Kiali
- Kiali-Funktionen
- Generieren eines Servicediagramms
- Anrufverfolgung mit Jaeger
- Beobachtbarkeit (Metriken, verteilte Tracer, Zugriffsprotokolle)
Hands-on-Labor: Istio – Beobachtbarkeit
Modul 11: Bridge-Sicherheitsrichtlinien
- Aktivieren von Pod-Sicherheitsrichtlinien
- Richtlinienreferenz
Hands-on-Labor: Pod-Sicherheitsrichtlinien
Modul 12: Richtlinien-Agent öffnen
- So funktioniert OPA
- OPA und Kubernetes
- Integration von OPA mit K8s
Hands-on-Labor: OPA-Gatekeeper
Modul 13: Geheimverwaltung. Hashicorp-Tresor
- Geheimnisse – die Theorie dahinter
- Geheimnisse schützen
- Risiken
- Hashicorp-Tresor
- Vault auf K8s ausführen
- Vault mit K8s integrieren
Hands-on-Labor: Geheimverwaltung
DevOps Artisan – DevSecOps Advanced
