Cursul DevOps Artisan – DevSecOps Advanced acoperă noțiuni referitoare la securitatea infrastucturii aplicațiilor containerizate. De asemenea în cadrul cursului se oferă și noțiuni referitoare la recomandări privind bune practici pentru securizarea rețelei și aplicațiilor.
- Tuturor celor care sunt familiarizați cu aplicațiile containerizate și tehnologiile de orchestrare a containerelor și tuturor celor care doresc să sporească securitatea mediului lor
- Inginerilor DevOps
- Administratorilor de sistem Linux
- Inginerilor proiectanți de sisteme
- Arhitecților
În cadrul acestui curs, studenții vor învăța cum să îmbunătățească securitatea infrastructurii aplicațiilor containerizate.
Pentru a participa în cadrul acestui curs, studenții trebuie să:
- aibă cunoștințe avansate despre containere (se recomandă parcurgerea cursului Docker Basic)
- să aibă cunoștințe avansate despre terminologia Kubernetes și funcționarea fundamentală a clusterului Kubernetes ( se recomandă parcurgerea cursului Kubernetes Basic)
Se recomandă ca studentul să aibă cunoștințe de lucru despre următoarele subiecte Kubernetes: Controlul accesului bazat pe roluri (RBAC), controlul resurselor, logarea și monitorizarea (curs recomandat: Kubernetes Advanced)
Module 01: Introduction to Cloud Security
- The 4C’s of Cloud Native Security
- STRIDE Threat Model
- Node Security
- Container Security
Module 02: Cert Manager
- What Cert Manager is
- cert-manager overview
- cert-manager concepts
- Installing cert-manger
- cert-manager walkthrough
Hands-on Lab: Cert Manager
Module 03: RBAC Revisited. External Auth Sources
- RBAC Revisited
- Role and ClusterRole
- RoleBinding and CluterRoleBinding
- OpenID Connect
- OIDC Implicit flow
- OIDC Authentication flow
- JWT Tokens
- Keycloak – K8s integration
Hands-on Lab: RBAC Revisited
Module 04: K8s-Network Policy
- Why use network policies
- What is MetalLB and how it works
- Configuring Layer2 and Layer3 MetalLB
- Additional MetalLB configuration samples
Hands-on Lab: Network Policies
Module 05: K8s-Securing container images
- Tools for securing your container images
- OCI Annotations
- Managing the security of K8s container workloads
- Vulnerability Scanning Tools (Aqua MicroScanner, Anchore)
- Security Context
- Image Security Best Practices
Hands-on Lab: Image Security
Module 06: Istio – Introduction
- What is a service mash
- What is Istio
- Istio architecture and components
- Setting up Istio
Hands-on Lab: Istio – Introduction
Module 07: Istio – Advanced Routing
- Why route traffic?
- Traffic shifting
- Request routing
- External Resources
Hands-on Lab: Istio – Traffic routing
Module 08: Istio – Fault Injection
- Controlling Ingress traffic
- Fault injection
- Circuit breaking
- Traffic mirroring
Hands-on Lab: Istio – Fault injection
Module 09: Istio – mTLS
- Securing pod communication with Istio
- mTLS
- Authorization policies
- Policy target
- Authenticated and unauthenticated identity
Hands-on Lab: Istio – mTLS and Authorization
Module 10: Istio – Observability
- Viewing the mesh with Kiali
- Kiali features
- Generating a service graph
- Tracing Calls with Jaeger
- Observability (Metrics, Distributed Tracers, Access Logs)
Hands-on Lab: Istio – Observability
Module 11: Pod Security Policies
- Enabling Pod Security Policies
- Policy Reference
Hands-on Lab: Pod Security Policies
Module 12: Open Policy Agent
- How OPA works
- OPA and Kubernetes
- Integrating OPA with K8s
Hands-on Lab: OPA Gatekeeper
Module 13: Secret Management. Hashicorp Vault
- Secrets – the theory behind
- Protecting Secrets
- Risks
- Hashicorp Vault
- Running Vault on K8s
- Integrating Vault with K8s
Hands-on Lab: Secret Management
