курс DevOps Artisan – DevSecOps Advanced охоплює поняття, пов’язані з безпекою інфраструктури контейнерних додатків. Курс також містить інформацію про найкращі практичні рекомендації щодо захисту мережі та програм.
- Усі, хто знайомий із контейнерними програмами та технологіями оркестровки контейнерів, а також усі, хто прагне підвищити безпеку свого середовища
- Інженери DevOps
- Системні адміністратори Linux
- Інженери-конструктори систем
- АРХІТЕКТОРИ
У цьому курсі студенти дізнаються, як покращити безпеку контейнерної інфраструктури додатків.
Для участі в цьому курсі студенти повинні:
- мати поглиблені знання про контейнери (рекомендується пройти курс Docker Basic)
- володіти поглибленими знаннями термінології Kubernetes і фундаментальної роботи кластера Kubernetes (рекомендується пройти курс Kubernetes Basic)
Рекомендовано, щоб студент мав практичні знання з таких тем Kubernetes: контроль доступу на основі ролей (RBAC), контроль ресурсів, журналювання та моніторинг (рекомендований курс: Kubernetes Advanced)
Модуль 01: Введення в Cloud Безпека
- 4C з Cloud Рідна безпека
- Модель загроз STRIDE
- Безпека вузла
- Безпека контейнерів
Модуль 02: Сертифікат менеджера
- Що таке менеджер сертифікатів
- Огляд cert-manager
- концепції сертифікованого менеджера
- Встановлення менеджера сертифікатів
- покрокове керівництво cert-manager
Практична лабораторія: Менеджер сертифікатів
Модуль 03: Переглянуто RBAC. Зовнішні джерела авторизації
- Переглянуто RBAC
- Роль і роль кластера
- RoleBinding і ClutterRoleBinding
- OpenID Connect
- Неявний потік OIDC
- Потік автентифікації OIDC
- Токени JWT
- Keycloak – інтеграція K8s
Практична лабораторія: RBAC Revisited
Модуль 04: Мережна політика K8s
- Навіщо використовувати мережеві політики
- Що таке MetalLB і як він працює
- Налаштування Layer2 і Layer3 MetalLB
- Додаткові зразки конфігурації MetalLB
Практична лабораторія: Мережні політики
Модуль 05: K8s - Захист зображень контейнерів
- Інструменти для захисту зображень контейнерів
- Анотації OCI
- Управління безпекою робочих навантажень контейнера K8s
- Інструменти сканування вразливостей (Aqua MicroScanner, Anchore)
- Контекст безпеки
- Найкращі методи захисту зображень
Практична лабораторія: Безпека зображень
Модуль 06: Istio - Вступ
- Що таке сервісне пюре
- Що таке Istio
- Архітектура і компоненти Istio
- Налаштування Istio
Практична лабораторія: Istio – Вступ
Модуль 07: Istio – розширена маршрутизація
- Навіщо маршрутизувати рух?
- Зміщення руху
- Маршрутизація запитів
- Зовнішні ресурси
Практична лабораторія: Istio – Маршрутизація трафіку
Модуль 08: Istio – ін’єкція помилки
- Контроль вхідного трафіку
- Ін'єкція несправності
- Розрив ланцюга
- Віддзеркалення трафіку
Практична лабораторія: Istio – ін’єкція помилки
Модуль 09: Istio – mTLS
- Захист зв’язку мосту з Istio
- mTLS
- Політики авторизації
- Ціль політики
- Автентифікована та неавтентифікована особистість
Практична лабораторія: Istio – mTLS і авторизація
Модуль 10: Istio – спостережливість
- Перегляд сітки за допомогою Kiali
- Особливості Kiali
- Створення графіка обслуговування
- Відстеження дзвінків за допомогою Jaeger
- Спостережуваність (показники, розподілені трасувальники, журнали доступу)
Практична лабораторія: Istio – Спостережливість
Модуль 11: Політика безпеки мосту
- Увімкнення політик безпеки Pod
- Довідка про політику
Практична лабораторія: Політики безпеки Pod
Модуль 12: Відкрийте агент політики
- Як працює OPA
- OPA та Kubernetes
- Інтеграція OPA з K8s
Практична лабораторія: OPA Gatekeeper
Модуль 13: Таємне управління. Сховище Hashicorp
- Секрети - теорія позаду
- Захист секретів
- Ризики
- Сховище Hashicorp
- Запуск Vault на K8s
- Інтеграція Vault із K8s
Практична лабораторія: Таємне управління
DevOps Artisan – DevSecOps Advanced
