В этой части на практических примерах вы изучите как защищать развёртывания/ кластеры Kubernetes двумя способами: вы ознакомитесь как защищать конвейер DevOps на этапах сборки, развёртывания и времени исполнения, а также глубже разберётесь с защитой, рассматривая соответствие, настройку, идентификацию, авторизацию управление ресурсами, ведение журналов и мониторинг, выявление инцидентов и реакцию на них.

Этот раздел включает в свой состав такие главы:

В предыдущих главах мы рассматривали собственно архитектуру кластера Kubernetes. Кластер Kubernetes составляется из компонентов хозяина - включающих kube-apiserver etcd, kube-scheduler, CoreDNS, kube-controller-manager и cloud-controller-manager - а также компонентов узлов, содержащих kubelet, kube-proxy и container-runtime. Компоненты хозяина отвечают за управление кластером. Они формируют основную панель управления кластером. Компоненты узла, в свою очередь, ответственны за работу в этом узле подов и контейнеров.

В Главе 3, Моделирование угроз, мы кратко обсудили какие компоненты Kubernetes надлежит настраивать для обеспечения безопасности всего кластера. Некая компрометация любого из компонентов могут вызывать нарушение данных. Неверная настройка среды это одна из первейших причин нарушения данных в традиционных средах или средах микрослужб. Важно осознавать необходимые настройки для каждого из компонентов и как каждая из настроек способна открывать новую поверхность атак. Поэтому администраторам кластера важно разбираться в различных настройках.

В этой главе мы подробно рассмотрим как защищать каждый компонент в кластере. Во многих случаях не будет возможности следовать всем практическим рекомендациям безопасности, но важно высветить все риски и обладать стратегией смягчения на случай когда злоумышленник попытается воспользоваться уязвимостью конфигурации.

для каждого из компонентов хозяина и узла мы кратко обсудим необходимые функции компонентов в отношении настройки безопасности в кластере Kubernetes и подробно рассмотрим все настройки. Мы рассмотрим возможные установки для этих настроек и высветим рекомендуемые практические примеры. Наконец, мы введём kube-bench и пройдёмся по тому как его применять для оценки состояния безопасности вашего кластера.

В этой главе мы рассмотрим следующие вопросы: