CKS与云原生PaaS平台建设培训

Kubernetes安全专家认证（Certified Kubernetes Security Specialist），简称CKS。获得认证的Kubernetes安全专家具备丰富的知识、技能及最佳实践能力，能够在构建、部署和运行Kubernetes过程中保护基于容器的应用程序和Kubernetes平台。

PaaS课程讲师结合自身工作经验，带领学员深入理解云原生的本质及价值，学习整个生态产品，规划构建PaaS平台所需的全部知识，通过学习本课程，学员可以结合企业业务场景，组织架构，输出云原生应用架构升级，数字化转型方案设计能力。

第一天

CKS最新考纲解读与如何保护Kubernetes集群

• CKS考试大纲解读
• 概览：Kubernetes集群组件架构
• 概览：保护Kubernetes集群安全

Kubernetes安全领域知识介绍

• Kubernetes的威胁模型/Kubernetes Threat modeling
• 什么是威胁模型/Threat modeling
• Kubernetes集群中的威胁源
• Kubernetes集群中的主要威胁
• 
  Kubernetes安全边界
  
  • 什么是安全边界（security boundaries）
  • 安全边界（security boundaries）和信任边界（trust boundaries）
  • Kubernetes的安全边界
  • Linux系统的安全边界
  • 网络的安全边界
• 
  纵深防御/Defense in Depth
  
  • Kubernetes审计介绍
  • Kubernetes集群的高可用性
  • 管理Kubernetes秘钥
  • 使用Vault管理秘钥
  • 用Falco探测Kubernetes集群异常
  • Sysdig介绍

Kubernetes集群搭建/Cluster Setup

• 
  使用网络策略NetworkPolicy限制集群网络访问
  
  • 实战：使用网络插件Calico，实现NetworkPolicy
• 
  使用CIS基准来检查Kubernetes组件（kube-api-server、kube-scheduler、kubelet、etcd）的安全配置
  
  • 了解什么是CIS（Center for Internet Security）基准
  • 安装和使用CIS Kubernetes Benchmark测试工具：kube-bench
  • 使用kube-bench检测master及worker nodes的安全隐患配置
• 
  Ingress的安全配置
  
  • 了解什么是Ingress
  • 为Ingress配置自签名证书，建立TLS安全通信
• 
  部署前验证Kubernetes二进制文件
  
  • 通过sha512sum验证Kubernetes二进制文件

Kubernetes集群安全强化/Cluster Hardening

• 
  限制对Kubernetes API的访问
  
  • Kubernetes的鉴权/Kubernetes authentication
  • Kubernetes的授权/Kubernetes authorization
  • Kubernetes的准入控制/Kubernetes Admission Control
• 
  RBAC（基于角色的访问控制）
  
  • 了解什么是RBAC
  • RBAC的使用，创建ServiceAccount，Role/ClusterRole和RoleBinding/ClusterRoleBinding
• 
  ServiceAccount的最佳安全实践
  
  • 禁用默认的ServiceAccount
  • 对新创建的ServiceAccount应用最小权限原则
• 
  升级Kubernetes
  
  • 使用kubeadm升级Kubernetes集群

第二天

系统强化/System Hardening

• 
  减小系统的被攻击面
  
  • 去除不需要的系统软件模块
• 
  限制对外网的访问
  
  • 使用防火墙保护主机
  • 使用NetworkPolicy限制对外网的访问
• 
  使用Linux系统安全模块
  
  • 使用AppArmor限制容器对资源的访问
  • 使用Seccomp限制容器内进程的系统调用

最小化微服务漏洞/Minimize Microservice Vulnerabilities

• 
  使用PSP，OPA，安全上下文提高安全性
  
  • 了解并配置Pod安全策略（PSP）
  • 了解并配置OPA Gatekeeper
  • 了解并配置Pod或容器安全上下文（securityContext）
• 
  管理Kubernetes Secret
  
  • 使用Kubernetes Secret存储敏感信息
• 
  在多租户环境中使用沙箱运行容器（例如gVisor，kata容器）
  
  • 了解为什么要部署沙箱
  • 什么是gVisor？安装gVisor
  • 配置RuntimeClass，使用gVisor运行Pod
• 
  实现Pod和Pod之间的双向TLS认证
  
  • 了解什么是mTLS（mutual TLS）
  • 使用mTLS进行安全通信

供应链安全

• 
  容器安全
  
  • 选择尽可能小的基础镜像
  • 对容器镜像进行签名和验证
• 
  防止恶意容器创建
  
  • 通过黑名单/白名单来限制访问容器镜像仓库
  • 了解准入控制器 Admission Control
  • 了解并配置ImagePolicyWebhook
• 
  分析文件及镜像安全隐患
  
  • 分析Dockerfile、Kubernetes yaml文件的安全隐患
  • 使用工具扫描镜像漏洞，如trivy

监控、审计和运行时安全

• 
  分析容器系统调用，检测恶意进程
  
  • 安装并使用Falco，进行运行时安全监控
• 
  构建不可变容器（Immutable container）
• 
  Kubernetes审计
  
  • 开启Kubernetes审计日志
  • 分析Kubernetes审计日志

第三天

Kubernetes常见漏洞/Kubernetes CVEs（Common Vulnerabilities and Exposures）

• 检测和分析加密货币挖矿攻击（Crypto-Mining Attacks）
• Kubernetes常见漏洞分析及应对方法
• 使用第三方工具扫描Kubernetes常见漏洞
• CKS模拟题演练与解析

第四天：PaaS能力建设

• 制品管理
• 资源网络规划
• 编排部署
• 部署策略
• 灰度发布
• 监控日志
• 链路跟踪
• 运维平台
• 双活灾备
• 应用迁移

第五天：高级特性&解决方案

• 云原生价值
• 开放应用模型【OAM】
• 服务网格【Istio】
• 发布策略【OpenKruise】
• PaaS平台建设实践
• 应用市场&模板商店
• Serverless
• 
  主流大厂云原生能力全景
  
  • 阿里&华为&腾讯
• 
  解决方案
  
  • 云原生应用上云方案
  • 资源弹性及调度方案
  • 云原生AI方案
• 
  技术方案交流【Q&A】

培训方式：线下授课

培训费用：19435元/人