CERTIFICACIÓN INCLUIDA
Para miembros del colectivo PUE Alumni
Acerca de este curso
Este curso te proporciona los conocimientos y habilidades necesarios para mantener la seguridad en entornos dinámicos y multiproyecto. Aborda las preocupaciones de seguridad en entornos de producción en la nube y cubre temas relacionados con la seguridad de la cadena de suministro de contenedores: desde antes de la configuración de un clúster hasta su despliegue y uso continuo, pasando por prácticas ágiles e información actualizada sobre seguridad y vulnerabilidades. El curso incluye laboratorios prácticos para construir y asegurar un clúster de Kubernetes, así como para monitorizar y registrar eventos de seguridad.
Valor añadido de PUE
Como complemento a la presente formación, los alumnos tendrán acceso de manera totalmente gratuita a unos laboratorios diseñados para practicar los conceptos y las herramientas presentadas durante la formación. La temática de los laboratorios es la siguiente:
Configuración del Cluster
- Usar políticas de seguridad de red para restringir el acceso a nivel de clúster.
- Usar el benchmark de CIS para revisar la configuración de seguridad de los componentes de Kubernetes (etcd, kubelet, kubedns, kubeapi).
- Configurar correctamente los objetos Ingress para mejorar la seguridad.
- Proteger los metadatos y puntos finales de los nodos.
- Minimizar el uso y el acceso a los elementos de la GUI.
- Verificar los binarios de la plataforma antes de desplegar.
Cluster Hardening
- Restringir el acceso a la API de Kubernetes.
- Usar controles de acceso basados en roles (Role Based Access Controls).
- Tener precaución al usar cuentas de servicio, por ejemplo, deshabilitar las predeterminadas y minimizar permisos en las cuentas recién creadas.
- Actualizar Kubernetes con frecuencia en los nodos master y worker.
Endurecimiento del Sistema
- Minimizar la huella del sistema operativo host (reducir la superficie de ataque).
- Minimizar el acceso externo a la red.
- Usar adecuadamente herramientas de endurecimiento del kernel, como AppArmor y seccomp.
Minimización de Vulnerabilidades en Microservicios
- SecurityContext.
- Gestionar secretos de Kubernetes.
- Usar sandbox de tiempo de ejecución de contenedores en entornos multi-tenant (por ejemplo, gvisor).
- etcdctl secrets.
- PSA Pod Security Admission.
Seguridad de la Cadena de Suministro
- Minimizar la huella de la imagen base.
- Asegurar tu cadena de suministro: lista blanca de registros permitidos, firmar y validar imágenes.
- Usar análisis estático de cargas de trabajo de usuarios (por ejemplo, recursos de Kubernetes, archivos Docker).
- Escanear imágenes en busca de vulnerabilidades conocidas.
- slim, hadolint, kubesec, trivy.
Monitoreo, Registro y Seguridad en Tiempo de Ejecución
- Distroless.
- Habilitar la política de auditoría.
A quién va dirigido
El curso está dirigido a personas que desempeñen responsabilidades en la seguridad en la nube o tengan interés en el área, así como a quienes posean la certificación CKA.
Prerrequisitos
Para aprovechar al máximo este curso, es recomendable que el alumno tenga conocimientos previos en administración de sistemas y gestión de contenedores con Kubernetes.
Objetivos del curso
Una vez finalizado el curso el alumno habrá adquirido los conocimientos y habilidades necesarios para proteger aplicaciones basadas en contenedores y plataformas Kubernetes a lo largo de todas las fases: construcción, implementación y tiempo de ejecución.
Certificación asociada
Este curso es el recomendado por PUE para la preparación del siguiente examen de certificación oficial valorado en 499,73€ (IVA incl.), cuyo coste (una convocatoria) está incluido en el precio del curso para todos los miembros del programa PUE Alumni:
- Título del examen: Certified Kubernetes Security Specialist (CKS)
- Idioma: Inglés
- Duración: 120 minutos
- Número de preguntas: 15-20 performance-based tasks
- Disponibilidad: Online Proctored
- Prerequisito: Certified Kubernetes Administrator (CKA)
La superación de este examen es requisito imprescindible para obtener la certificación Certified Kubernetes Security Specialist (CKS).
PUE es centro certificador oficial, facilitando la gestión del examen al candidato. El alumno podrá realizar su certificación a través de la opción Online Proctored, que permite atender esta certificación oficial desde cualquier ubicación con una simple conexión a internet
Contenidos
Módulo 1: Introducción
- Introducción a la certificación CKS, documentación, laboratorios, recursos.
- Cómo preparar un entorno de laboratorio en local para el entrenamiento y para la certificación.
- Repaso general a Kubernetes, orientado a CKS.
Módulo 2: Cluster Setup
- Usar políticas de seguridad de red para restringir el acceso a nivel de clúster.
- Usar el benchmark de CIS para revisar la configuración de seguridad de los componentes de Kubernetes (etcd, kubelet, kubedns, kubeapi).
- Configurar correctamente los objetos Ingress con control de seguridad.
- Proteger los metadatos y puntos finales de los nodos.
- Minimizar el uso y el acceso a los elementos de la GUI.
- Verificar los binarios de la plataforma antes de desplegar.
Módulo 3: Cluster Hardening
- Restringir el acceso a la API de Kubernetes.
- Usar controles de acceso basados en roles (Role Based Access Controls) para minimizar la exposición.
- Tener precaución al usar cuentas de servicio, por ejemplo, deshabilitar las predeterminadas y minimizar permisos en las cuentas recién creadas.
- Actualizar Kubernetes con frecuencia.
Módulo 4: System Hardening
- Minimizar la huella del sistema operativo host (reducir la superficie de ataque).
- Minimizar roles de Minimizar roles de IAM (Identity and Access Management).
- Minimizar el acceso externo a la red.
- Usar adecuadamente herramientas de endurecimiento del kernel, como AppArmor y seccomp.
Módulo 5: Minimize Microservice Vulnerabilities
- Configurar dominios de seguridad a nivel de sistema operativo apropiados.
- Gestionar secretos de Kubernetes.
- Usar sandbox de tiempo de ejecución de contenedores en entornos multi-tenant (por ejemplo, gvisor, kata containers).
- Implementar cifrado de pod a pod mediante mTLS.
Módulo 6: Supply Chain Security
- Minimizar la huella de la imagen base.
- Asegurar tu cadena de suministro: lista blanca de registros permitidos, firmar y validar imágenes.
- Usar análisis estático de cargas de trabajo de usuarios (por ejemplo, recursos de Kubernetes, archivos Docker).
- Escanear imágenes en busca de vulnerabilidades conocidas.
Módulo 7: Monitoring, Logging and Runtime Security
- Realizar análisis de comportamiento de las actividades de procesos y archivos de syscall a nivel de host y contenedor para detectar actividades maliciosas.
- Detectar amenazas dentro de la infraestructura física, aplicaciones, redes, datos, usuarios y cargas de trabajo.
- Detectar todas las fases de ataque, independientemente de dónde ocurra y cómo se propague.
- Realizar investigaciones analíticas profundas e identificación de actores maliciosos dentro del entorno.
- Asegurar la inmutabilidad de los contenedores en tiempo de ejecución.
- Usar registros de auditoría para monitorizar el acceso.