Formation OpenShift Avancé : La Sécurité de Kubernetes

Programme de notre formation OpenShift Avancé

Administration de Kubernetes en Production

• Fonctionnement interne du Control-Plane Kubernetes/OpenShift
• Configuration avancée de Kubernetes/OpenShift pour la production, avec un accent sur la sécurité des pods.
• Configuration semi-automatisée d’un cluster Kubernetes On-Premise
• Haute disponibilité et Rolling Upgrade du Control-Plane
• L’opérateur OpenShift Machine API et le ClusterAutoscaler

Architecture de Kubernetes

• Les composants du Control Plane et des nœuds de travail
• Fonctionnement de la boucle de réconciliation et du Controller Kubernetes
• Fonctionnement de etcd en mode haute-disponibilité
• Fonctionnement interne de l’API server: authentification, autorisation et Admission Control
• Les contrôleurs d’admission (MutatingWebhook et ValidatingWebhook)
• Description de l’algorithme du Scheduler Kubernetes, prédicats et priorités
• Configuration déclarative
• Cinématique de création d’un Pod à partir d’un Deployment
• Kube-proxy : fonctionnement avancé du réseau virtuel des Services
• Service discovery avec CoreDNS
• Description de la structure interne d’un Pod et du conteneur d’infrastructure

Sécurisation du serveur d’API

• Authentification : ServiceAccount, certificats, tokens, et Dex
• Paramétrage du fichier Kubeconfig avec les Configuration Contexts
• Sécurisation de l’API Kubernetes : authentification, autorisation et Admission Control. Mise en perspective avec la configuration OpenShift
• Droits d’accès à l’API avec RBAC: Role And ClusterRole, RoleBinding And ClusterRoleBinding
• Cas pratiques

Sécurité système

• Sécurisation de l’exécution des processus Unix dans les Pods (SecurityContex)
• Industrialisation de la sécurisation des Pods avecPodSecurity et/ou OPA GateKeeper.
• Niveaux de sécurité par défaut : Kubernetes vs OpenShift (SecurityContextConstraints)
• Distroless et rootless containers

Sécurité réseau

• Choix d’un plug-in réseau CNI sécurisé et efficace
• Industrialisation de la sécurité réseau (L4) avec les NetworkPolicies (ingress et egress) et TLS

Qualité de réseau

• Utilisation optimale des ressources matérielles grâce aux Requests et Limits,  ResourceQuota et LimitRanges
• Classes de QoS: Guaranteed, Burstable et BestEffort
• Configuration du scheduler Kubernetes avec les Taints et les Affinities

Cas pratiques

• Etude de cas de pentesting Kubernetes.
• Gestion sécurisée des applications, avec une CI/CD orientée GitOps
• Gestion sécurisée du stockage (PersistentVolume, PersistentVolumesClaim, StorageClass), et provisionnement dynamique de volumes.
• Présentation des fonctionnalités avancées de Sysdig et/ou Calico (en option)

Monitoring

• Objectifs de surveillance et de journalisation
• Automatiser le monitoring avec l’opérateur Prometheus
• Obtenir et agréger les métriques de votre cluster et de vos applications
• AlertManager: gestion et routage des alertes
• Visualiser et interagir avec vos données avec Grafana

Module complémentaire (+1 jour)