DevOps Artisan – Docker-Sicherheit

Modul 1: Docker-Zusammenfassung

• Zeitalter der Virtualisierung
• Warum Container?
• Docker-Geschichte
• Containerisierung
• Betriebssystemkomponenten (Namespaces, Kontrollgruppen)
• Docker-Engine
• Container und VMs
• Docker-Versionen
• Docker-Update-Kanäle
• Docker unter Linux mit Schritten installieren
• Docker-Images
• Bildinhalte
• Bildebenen
• Unterstützung mehrerer Architekturen
• Bildregistrierung
• Bildsicherheit
• Aufbewahrungsorte
• Docker-Befehle
• Container ausführen und stoppen
• Netzwerktypen
• Arbeiten mit Netzwerken
• Testen des Netzwerks
• Persistenter Speicher in Docker
• Erstellen und Mounten eines Volumes
• Auflisten, Überprüfen und Löschen von Volumes
• Docker protokollieren
• Erklären verschiedener Protokolltypen

Modul 2: Sichere Docker-Konnektivität

• Schwachstellen im Docker-Hub-Image
• Mögliche Angriffsvektoren
• Wie geht Docker mit Sicherheit um?
• Verschiedene Sicherheitsebenen
• Übersicht über sichere Docker-Konnektivität
• TLS erklärt
• Was ist eine Zertifizierungsstelle?
• Konfigurieren einer sicheren Docker-Konnektivität mit Schritten

Hands-on Lab: Sichere Docker-Konnektivität

Modul 3: Sichere Docker-Registrierung

• Was ist die Docker-Registrierung?
• Sichern einer Docker-Registrierung
• Autorisierungsoptionen
• Grundlegende Authentifizierungskonfiguration
• Tokenbasierte Authentifizierungskonfiguration

Praktisches Labor: Bereitstellen einer sicheren Docker-Registrierung

Modul 4: Rollenbasierte Zugriffskontrolle

• Nutzung von Berechtigungen und Rollen
• Dockers Plugin-API für RBA
• Aktivieren des Autorisierungs-Plugins
• Open Policy Agent (OPA)-Konfiguration

Hands-on Lab: RBAC mit AuthN und AuthZ in Docker implementieren

Modul 5: Docker-Schwarm

• Was ist Docker Swarm?
• Docker Swarm-Komponenten erklärt
• Docker-CLI-Cluster-Befehle
• Docker Swarm-Sicherheit
• Warmes Cluster-Bootstrapping
• Geheimnisse in einem Schwarmcluster mit Geheimrotation
• Automatische Sperre in warmen Clustern
• Sichern und Wiederherstellen eines Schwarmclusters

Hands-on Lab: Docker Swarm-Installation und sicherer Docker Swarm-Cluster

Modul 6: Netzwerken

• Netzwerktypen
• Arbeiten mit Netzwerken
• Testen des Netzwerks

Praktisches Labor: Docker-Netzwerk

Modul 7: Geheimnisse verwalten

• Was sind Geheimnisse
• So verwalten Sie Docker Secrets

Hands-on Lab: Geheimnisse verwalten

Modul 8: Content Trust

• Docker-Inhaltsvertrauen
• Bild-Tags signiert oder nicht signiert
• Docker Content Trust Key
• Signieren von Bildern mit DCT
• Was ist Notar?

Hands-on Lab: Docker Content Trust

Modul 9: Linux-Funktionen

• Was sind Linux-Funktionen?
• Drop-Funktionen
• Verwenden des pscap-Tools
• Whitelisting
• Listing-Funktionen

Praktisches Labor: Linux-Kernel-Funktionen

Modul 10: Steuern des Zugriffs auf Ressourcen mit Kontrollgruppen

• Kontrollgruppe
• Kontrollgruppen-Subsysteme, Hierarchie
• Verwalten der Kontrollgruppe für Container
• Übergeordneter Cgroup-Kontext
• Ressourcenbeschränkungen für Docker-Cgroups

Praktisches Labor: Docker und Cgroups

Modul 11: AppArmor

• Linux-Sicherheitsmodelle
• AppArmor erklärt
• Entwickeln eines AppArmor-Profils
• Docker- und AppArmor-Profile
• Debuggen von AppArmor

Praktisches Labor: AppArmor und Docker

Modul 12: Seccomp

• Wie nutzt Docker Seccomp?
• Erstellen eines benutzerdefinierten Seccomp-Profils
• Verwendung benutzerdefinierter Profile für alle Container
• Verwendung der Whitelist

Praktisches Labor: Seccomp

Modul 13: SELinux

• SELinux erklärt
• SELinux-Richtlinie, Kennzeichnung und Typdurchsetzung
• Aktivieren Sie SELinux in Docker
• Ändern des SELinux-Verhaltens pro Container

Praktisches Labor: SELinux

Modul 14: DDos

• Sicherheitsansatz von DoS-Angriffen

Hands-on Lab: Docker-DDoS-Angriffe auf die Leistung

Modul 15: Tools für die Sicherheit

• Docker-Bank
• Was ist Docker Bench?
• Docker Bench-Optionen
• INSPEKTION
• Was ist InSpec?
• InSpec-Installation
• Ausführen von Chef InSpec
• InSpec-Profilstruktur
• InSpec-Community-Profile
• Anker
• Wie funktioniert Anchore?
• Ankermotor
• Ankermotor installieren
• Verwendung von Ankern
• Jenkins-Pipelines
• Kontinuierlicher Integrationsfluss
• Kontinuierlicher Lieferfluss
• Kontinuierlicher Bereitstellungsfluss
• Was ist Jenkins?
• Was ist eine Pipeline?
• Jenkins CI/CD absichern Pipeline mit Ankern
• Dagda
• Was ist Dagda?
• Dagda installieren und ausführen
• Dagda database
• Analysieren von Docker-Images/Containern
• Überwachung laufender Container
• Docker-Daemon-Ereignisse abrufen
• Sysdig Falco
• Was ist Sisdig?
• Was ist Falco?
• Falkenregeln
• Falco installieren
• Falco als Daemon ausführen
• Praktisches Labor: Docker Bench
• Praktisches Labor: InSpec
• Praktisches Labor: Anker
• Praktisches Labor: Erstellen Sie eine Jenkins-Pipeline für Docker-Image-Sicherheitsscans mit Anker
• Praktisches Labor: Dagda
• Praktisches Labor: Sysdig Falco

Modul 16: Best Practices

• Sichern Sie die Build-Pipeline
• Sichern Sie das Netzwerk
• Sichern Sie den Host
• Sichern Sie die Container Runtime
• Sichern Sie die Orchestrator-Konfiguration
• Sichern Sie die Daten