Безопасность в Kubernetes

В этом модуле вы познакомитесь с моделью угроз Kubernetes и архитектурой его ключевых компонентов. Узнаете, как защитить etcd, kube-apiserver и настроить аутентификацию и авторизацию. Особое внимание будет уделено RBAC, управлению секретами и интеграции с Vault. Вы научитесь применять принцип минимальных прав и защищать конфиденциальные данные приложений. На практике это позволит вам создавать кластеры с базовыми настройками безопасности и исключать критичные ошибки в конфигурации.

Тема 1: Введение в безопасность Kubernetes: модель угроз и векторы атак

Тема 2: Архитектура Kubernetes и точки контроля безопасности

Тема 3: Настройка и защита etcd (аутентификация, шифрование, бэкапы) // ДЗ

Тема 4: Kube-apiserver и механизмы аутентификации и авторизации

Тема 5: RBAC: базовые принципы и применение принципа минимальных прав

Тема 6: Расширенный RBAC, защита Secret и интеграция с Vault // ДЗ

Тема 7: HashiCorp Vault: продвинутые сценарии и типичные ошибки

В этом модуле вы разберёте, как проводить hardening узлов и контейнеров. Рассмотрите безопасность образов, способы выявления и устранения уязвимостей. Изучите механизмы Security Context, Pod Security Standards и контроллеры admission. Также вы научитесь писать политики безопасности с OPA Gatekeeper и Kyverno. На практике это позволит вам ограничивать действия приложений, снижать риск эксплуатации уязвимостей и автоматизировать проверки в CI/CD.

Тема 1: Повторение основ k8s и теории шифрования

Тема 2: Hardening нод: защита ОС, kubelet и runtime // ДЗ

Тема 3: Контейнерная безопасность: проверка образов, устранение уязвимостей

Тема 4: Security Context и Pod Security Standards (PSS)

Тема 5: Контроль запуска подов: Admission Controllers

Тема 6: Политики безопасности с OPA Gatekeeper и Kyverno // ДЗ

В этом модуле вы освоите управление сетевыми взаимодействиями внутри кластера. Узнаете, как проектировать Network Policies и повышать безопасность сервисной сетки. Также будет рассмотрена защита цепочки поставки в CI/CD и мониторинг активности в кластере. Вы познакомитесь с инструментами логирования, обнаружения аномалий и eBPF-мониторингом. На практике это вам позволит контролировать сетевые связи, предотвращать внедрение вредоносного кода и оперативно выявлять подозрительные действия.

Тема 1: Сканирование уязвимостей и автоматизация проверок в пайплайнах

Тема 2: Network Policies: проектирование сегментации сети в кластере // ДЗ

Тема 3: Service Mesh (Istio/Linkerd) и его безопасность

Тема 4: CI/CD и Supply Chain Security для Kubernetes // ДЗ

Тема 5: Мониторинг, логирование и обнаружение аномалий (EFK, Falco)

Тема 6: eBPF-мониторинг и глубокий анализ активности в кластере

В этом модуле вы рассмотрите подходы к тестированию безопасности Kubernetes. Освоите инструменты пентеста и научитесь искать слабые места в конфигурациях. Будут разобраны примеры атак - от цепочки поставки до lateral movement внутри кластера. Вы разберёте реальные инциденты и смоделируете их в учебной среде. На практике это даст вам умение выявлять угрозы до злоумышленников и вырабатывать меры защиты.

Тема 1: Инструменты пентеста Kubernetes: kube-hunter, kube-bench // ДЗ

Тема 2: Атака на цепочку поставки: от уязвимого кода до кластера

Тема 3: Демонстрация lateral movement в Kubernetes

Тема 4: Разбор реальных инцидентов и уязвимостей в продакшене

В этом модуле вы познакомитесь с концепцией Zero Trust и её применением в Kubernetes. Рассмотрите многоарендность и способы защиты кластеров в таких условиях. Будут рассмотрены коммерческие решения, Policy-as-Code и GitOps-подходы. Также вы изучите интеграцию SAST/DAST и разработку планов реагирования на инциденты. На практике это позволит вам строить комплексную стратегию безопасности и внедрять её в производственной среде.

Тема 1: Zero Trust и BeyondCorp в Kubernetes // ДЗ

Тема 2: Multi-tenancy и защита в многоарендных кластерах

Тема 3: Коммерческие решения для безопасности (NeuVector, Prisma Cloud и др.)

Тема 4: Policy-as-Code и GitOps-подход к безопасности

Тема 5: Интеграция SAST и DAST для микросервисов

Тема 6: Инцидент-менеджмент и план реагирования // ДЗ

Заключительный месяц курса посвящен проектной работе. Проект – это самая интересная часть обучения. Вы будете разрабатывать его на основе полученных на курсе навыков и компетенций. В процессе работы над проектом можно получить консультацию преподавателей.

Тема 1: Выбор темы и организация проектной работы // Проектная работа

Тема 2: Консультация по проектам и домашним заданиям

Тема 3: Защита проектных работ

Тема 4: Подведение итогов курса