Cyber Shelf

// Comparaison

Container Security vs Hacking Kubernetes : lequel lire ?

Deux livres de cybersécurité sur Cloud, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52020
Container Security

Fundamentals for Securing Containerized Applications

Liz Rice

L'introduction first-principles de Liz Rice à comment fonctionnent réellement les conteneurs Linux — namespaces, cgroups, capabilities, seccomp, layering d'images — et les implications de sécurité qui découlent de cette mécanique.

Intermédiaire
4/52021
Hacking Kubernetes

Analyse et défense pilotées par la menace

Andrew Martin, Michael Hausenblas

Une visite d'un cluster Kubernetes par modélisation des menaces, composant par composant, qui apprend à durcir les défauts en montrant d'abord comment chacun se casse.

À lire si

Ingénieurs et gens de sécurité qui utilisent les conteneurs au quotidien mais les traitent comme des boîtes. Le livre est la rare introduction qui explique les conteneurs comme compositions de primitives Linux plutôt que comme produit Docker, et c'est exactement ce qui rend l'argument sécurité lisible.
Ingénieurs plateforme et sécurité qui exploitent des clusters en production et veulent la carte d'un attaquant pour repérer les points faibles.

À éviter si

Lecteurs ayant besoin de couverture en profondeur Kubernetes, supply-chain (SLSA, in-toto, Sigstore) ou cloud-runtime spécifique (Fargate, Cloud Run, ECS) ; à coupler avec les livres Kubernetes et la documentation SLSA actuelle. Léger aussi sur les alternatives runtime Wasm, qui sont une fraction croissante du champ.
Passez votre chemin si vous débutez avec Kubernetes ou voulez une checklist de durcissement pas à pas ; il explique le pourquoi plus qu'il ne donne des configs à copier-coller.

Points clés

  • Un conteneur n'est pas une boîte ; c'est un processus avec des vues curatées de namespaces et de ressources, et la plupart des vulnérabilités conteneurs vivent dans l'écart entre ce modèle mental et le modèle boîte.
  • Le drop de capabilities, les filesystems racine en lecture seule et les profils seccomp ne sont pas optionnels — Rice fait l'argument de manière convaincante avec des exemples concrets.
  • L'hygiène supply-chain image est la moitié de l'histoire sécurité ; le livre précède SLSA mais le motive proprement.
  • Kubernetes par défaut est conçu pour la commodité, pas pour la sécurité, et chaque chapitre montre un réglage par défaut dont un attaquant est reconnaissant.
  • L'évasion de conteneur, le déplacement latéral et la compromission de la chaîne d'approvisionnement sont les menaces qui comptent vraiment, pas celles que les tableaux de bord mettent en avant.
  • La défense est en couches : un seul binding RBAC mal configuré ou un montage hostPath annule tout le reste.

Comment ils se comparent

Container Security et Hacking Kubernetes sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Container Security et Hacking Kubernetes couvrent tous les deux Cloud, Containers : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Container Security

Alternatives à Container SecurityQue lire après Container Security

Hacking Kubernetes

Alternatives à Hacking KubernetesQue lire après Hacking Kubernetes

Thématiques liées

CloudContainers