Sécuriser son cluster Kubernetes on-premise from scratch (L.Toison, E.Lancelot et M.Nicolé)
2.1 هزار بار بازدید -
2 سال پیش
-
Résumé : "Vous venez de
Résumé :
"Vous venez de déployer votre premier cluster Kubernetes. Vous vous apprêtez à le rendre accessible à vos développeurs mais votre RSSI vous tombe dessus : il vous demande de lui présenter l'ensemble des mesures prises pour sécuriser le cluster." Nous commencerons par auditer la configuration technique d'un cluster Kubernetes afin d'identifier les vulnérabilités et appliquer les correctifs sur les composants techniques. Nous poursuivrons par l'exploitation des primitives de Kubernetes permettant de mettre en œuvre les mécanismes de sécurité (RBAC, AdmissionController, NetworkPolicy, SecurityContext, ...). Nous enrichirons ensuite le cluster avec Open Policy Agent, un moteur de règles permettant d'appliquer un contrôle plus fin que les primitives Kubernetes. Nous intégrerons également Falco, un analyseur de comportement permettant de détecter des actions suspectes réalisées au sein de conteneurs et au niveau de l'API Server Kubernetes. Nous terminerons par l'implémentation d'une pipeline CI/CD intégrant une analyse de vulnérabilités réalisée avec Clair afin de détecter les images compromises lors du build.
Les orateurs :
Ludovic TOISON
Passionné par l'informatique depuis mon enfance, j'ai développé mon premier site internet à 12 ans et je n'ai jamais arrêté de coder depuis. Après un passage par le développement d'applications distribuées en Java (Spring Boot/Integration + RabbitMQ), je me suis intéressé à la manière de déployer et d'exploiter ces applications en production. J'interviens depuis plusieurs années sur les technologies Docker, Mesos/Marathon, Kubernetes et Istio en tant qu'Architecte Technique afin d'accompagner des organisations à mettre en œuvre ces solutions.
Emilien Lancelot
Passionné d'informatique du jour où j'ai trouvé la fenêtre d'invité de commande de Windows, j'ai fait du développement logiciel mon activité principal dans la vie de tous les jours, à la fois au sein des multiples entreprises dans lesquelles j'ai travaillé et par plaisir dans mon temps libre (C++, JS, Python, Java). Aujourd'hui je m'éloigne un peu de ce monde et explore de nouveaux territoires avec Kubernetes, Istio, Kubefed et plein d'autres encore.
Marion Nicolé
Initialement formée en géosciences, j'ai atterri dans les filets de l'abstraction informatique presque par hasard pour y découvrir tout un monde : celui de Kubernetes et du DevSecOps. Je travaille sur ces sujets depuis plusieurs années maintenant, avec une approche architecturale forte et toujours la même envie d'en faire enfin le tour. Quelle présomption au royaume de l'opensource !
"Vous venez de déployer votre premier cluster Kubernetes. Vous vous apprêtez à le rendre accessible à vos développeurs mais votre RSSI vous tombe dessus : il vous demande de lui présenter l'ensemble des mesures prises pour sécuriser le cluster." Nous commencerons par auditer la configuration technique d'un cluster Kubernetes afin d'identifier les vulnérabilités et appliquer les correctifs sur les composants techniques. Nous poursuivrons par l'exploitation des primitives de Kubernetes permettant de mettre en œuvre les mécanismes de sécurité (RBAC, AdmissionController, NetworkPolicy, SecurityContext, ...). Nous enrichirons ensuite le cluster avec Open Policy Agent, un moteur de règles permettant d'appliquer un contrôle plus fin que les primitives Kubernetes. Nous intégrerons également Falco, un analyseur de comportement permettant de détecter des actions suspectes réalisées au sein de conteneurs et au niveau de l'API Server Kubernetes. Nous terminerons par l'implémentation d'une pipeline CI/CD intégrant une analyse de vulnérabilités réalisée avec Clair afin de détecter les images compromises lors du build.
Les orateurs :
Ludovic TOISON
Passionné par l'informatique depuis mon enfance, j'ai développé mon premier site internet à 12 ans et je n'ai jamais arrêté de coder depuis. Après un passage par le développement d'applications distribuées en Java (Spring Boot/Integration + RabbitMQ), je me suis intéressé à la manière de déployer et d'exploiter ces applications en production. J'interviens depuis plusieurs années sur les technologies Docker, Mesos/Marathon, Kubernetes et Istio en tant qu'Architecte Technique afin d'accompagner des organisations à mettre en œuvre ces solutions.
Emilien Lancelot
Passionné d'informatique du jour où j'ai trouvé la fenêtre d'invité de commande de Windows, j'ai fait du développement logiciel mon activité principal dans la vie de tous les jours, à la fois au sein des multiples entreprises dans lesquelles j'ai travaillé et par plaisir dans mon temps libre (C++, JS, Python, Java). Aujourd'hui je m'éloigne un peu de ce monde et explore de nouveaux territoires avec Kubernetes, Istio, Kubefed et plein d'autres encore.
Marion Nicolé
Initialement formée en géosciences, j'ai atterri dans les filets de l'abstraction informatique presque par hasard pour y découvrir tout un monde : celui de Kubernetes et du DevSecOps. Je travaille sur ces sujets depuis plusieurs années maintenant, avec une approche architecturale forte et toujours la même envie d'en faire enfin le tour. Quelle présomption au royaume de l'opensource !
2 سال پیش
در تاریخ 1401/02/14 منتشر شده
است.
2,186
بـار بازدید شده