段超飞,云计算资深培训讲师,2002年接触并学习Linux,从事Linux相关工作11年,最早一批通过COA(openstack认证管理员)考试,CKA(kubernetes管理员)考试,CKAD(Certified Kubernetes Application Developer)考试,Linux基金会官方认证讲师(LFAI),最早通过kubernetes安全专家认证(Certified Kubernetes Security Specialist)。
10年教学培训经历,积累了丰富的教学经验,总是能把难懂的知识点生活化,以生活中的例子做比喻,使学员极易掌握知识点。至今已经为电信、移动、联通、电网等一些知名大公司多次培训Linux、虚拟化及云计算, 获得学员一致好评。
所获证书
l 2004年 CCNA/CCNP
l 2008年RHCE
l 2009年RHCA
l 2017年COA (Certified OpenStack Administrator)
l 2018年 CKA (Certified Kubernetes Administrator)
l 2020年 CKAD (Certified Kubernetes Application Developer)
l Linux基金会认证讲师(LFAI)
l 2021年CKS(Certified Kubernetes Security Specialist)
CKS 课程大纲
CKS 认证是云原生计算基金会(CNCF)最新推出的kubernetes 安全专家认证(Certified Kubernetes Security Specialist)。 报考CKS的考生必须持有有效的CKA认证。
上课时间:10月15日开课 每周六 上午 9 点~12 点,下午 14 点~17 点。大概24课时。
上课所使用系统:Ubuntu 18.4
kubernetes 版本:v1.20.1
相关课件下载
1.使用网络安全策略限制群集级别别的访问
使用网络策略控制流量
保护 Kubernetes 集群安全
声明网络策略以控制 Pod 的通信方式
2.使用 CIS 基准来检查 Kubernetes 组件(etcd,kubelet,kubedns,kubeapi)的安全配置
了解什么是 Center for Internet Security(CIS)基准
Kubernetes CIS Benchmark 测试的工具:kube-bench 的安装
用 kube-bench 检测 master 及 worker 上隐患配置
3.配置 ingress 的安全设置
了解什么是 Ingress
创建自签名证 书替换 ingress 自带的证 书
4.保护节点元数据
限制通过 API 访问元数据
通过配置文件设置 Kubelet 参数
5.最大限度地减少对 dashboard 的使用和访问
设置 Kubernetes dashboard 的安全
6.部署前验证 kubernetes 二进制文件
通过 sha512sum 验证 kubernetes 二进制文件
1.限制对 Kubernetes API 的访问
了解访问 kubernetes api 的流程
控制对 Kubernetes API 的访问
2.使用 RBAC 最大程度的减少资源暴露
了解 kubernetes api server 的授权模块
使用 RBAC 授权
3.SA 的安全设置,例如禁用默认值,最小化对新创建SA 的权限
了解 SA 的作用
了解默认情况下 SA 带来的安全隐患及演示
如何有效解决SA 的权限问题
4.更新 Kubernetes
用 kubeadm 升级集群
1.服务器的安全设置
去除系统不需要的内核模块
2.最小化 IAM 角色
了解什么是最低特权原则(POLP)
3.适当使用内核强化工具,例如 AppArmor,seccom
使用 AppArmor 限制容器对资源的访问
使用 Seccomp 限制容器的 syscall
1.使用 PSP,OPA,安全上下文提高安全性
了解并配置 Pod 安全策略(PSP)
了解什么是 Open Policy Agent(OPA)
OPA Gatekeeper 的配置
为 Pod 或容器配置安全上下文(SecurityContext)
2.管理 Kubernetes secret
使用 secret 存储敏感信息及传递文件
配置secret拉取私有仓库镜像
3.在多租户环境中使用沙箱运行容器(例如 gvisor,kata 容器)
containerd的配置及使用
了解为什么要部署沙箱
什么是 gVisor?安装 gvisor
使用 gVisor 运行容器
安装 kata,部署 kata 容器
4.配置 runtimeClass
在Kubernetes使用gvisor运行pod
在Kubernetes使用kata-containerd运行容器
1.保护供应链:将允许的镜像仓库列入白名单,对镜像进行签名和验
证
了解准入控制器 Admission Controllers
了解并配置 ImagePolicyWebhook
配置 kubernetes 所使用镜像仓库的白名单及黑名单
对镜像进行签名和验证
2.分析文件及镜像安全隐患(例如 Kubernetes 的 yaml 文件,
Dockerfile)
如何创建比较小的镜像
分析 dockefile 文件的安全隐患
分析 pod、deployment 的 yaml 文件里的安全隐患
用 trivy 扫描镜像的漏洞
1.Kubernetes 审计
开启 Kubernetes 审计日志
编写 Kubernetes 审计策略
报名成功后添加客服人员微信号进行上课
Linux基金会开源软件学园 Copyright © 2019-2024 linuxfoundation.cn, ICP license, no. 京ICP备17074266号-2
