Cyber Shelf

// Comparaison

Container Security vs Kubernetes Security and Observability : lequel lire ?

Deux livres de cybersécurité sur Cloud, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52020
Container Security

Fundamentals for Securing Containerized Applications

Liz Rice

L'introduction first-principles de Liz Rice à comment fonctionnent réellement les conteneurs Linux — namespaces, cgroups, capabilities, seccomp, layering d'images — et les implications de sécurité qui découlent de cette mécanique.

Avancé
3/52021
Kubernetes Security and Observability

A Holistic Approach to Securing Containers and Cloud-Native Applications

Brendan Creane, Amit Gupta

Le traitement combiné de Brendan Creane et Amit Gupta sur la sécurité et l'observabilité Kubernetes — RBAC, network policy, détection runtime et la télémétrie nécessaire pour rendre tout cela opérationnellement réel.

À lire si

Ingénieurs et gens de sécurité qui utilisent les conteneurs au quotidien mais les traitent comme des boîtes. Le livre est la rare introduction qui explique les conteneurs comme compositions de primitives Linux plutôt que comme produit Docker, et c'est exactement ce qui rend l'argument sécurité lisible.
Ingénieurs plateforme et hybrides SRE-sécurité qui font tourner Kubernetes en production et veulent une référence unique pour la frontière sécurité-et-observabilité. Le plus fort sur les sections network policy et détection runtime, où la plupart des équipes sont les plus faibles en pratique.

À éviter si

Lecteurs ayant besoin de couverture en profondeur Kubernetes, supply-chain (SLSA, in-toto, Sigstore) ou cloud-runtime spécifique (Fargate, Cloud Run, ECS) ; à coupler avec les livres Kubernetes et la documentation SLSA actuelle. Léger aussi sur les alternatives runtime Wasm, qui sont une fraction croissante du champ.
Lecteurs voulant de la profondeur sur l'architecture Kubernetes elle-même, les patterns multi-tenancy ou le détail supply-chain (SLSA, images signées). Aussi un peu coloré Calico — les auteurs viennent de Tigera — ce qui est correct si vous savez lire au-delà du marketing.

Points clés

  • Un conteneur n'est pas une boîte ; c'est un processus avec des vues curatées de namespaces et de ressources, et la plupart des vulnérabilités conteneurs vivent dans l'écart entre ce modèle mental et le modèle boîte.
  • Le drop de capabilities, les filesystems racine en lecture seule et les profils seccomp ne sont pas optionnels — Rice fait l'argument de manière convaincante avec des exemples concrets.
  • L'hygiène supply-chain image est la moitié de l'histoire sécurité ; le livre précède SLSA mais le motive proprement.
  • La sécurité sans observabilité est non falsifiable ; l'argument central du livre est que ce sont un seul flux de travail, pas deux.
  • La network policy est opérationnellement difficile, pas conceptuellement difficile — les chapitres sur le déploiement default-deny en production sont les plus utiles.
  • La détection runtime est nécessaire parce que les admission controllers ne peuvent pas tout attraper ; le livre traite le compromis honnêtement.

Comment ils se comparent

Nous notons Container Security plus haut (4/5 contre 3/5 pour Kubernetes Security and Observability). Pour la plupart des lecteurs, Container Security est le choix principal et Kubernetes Security and Observability un complément utile.

Container Security vise le niveau intermédiaire. Kubernetes Security and Observability vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Container Security et Kubernetes Security and Observability couvrent tous les deux Cloud, Containers : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Container Security

Alternatives à Container SecurityQue lire après Container Security

Kubernetes Security and Observability

Alternatives à Kubernetes Security and ObservabilityQue lire après Kubernetes Security and Observability

Thématiques liées

CloudContainers