Hacking Kubernetes
Analyse et défense pilotées par la menace
Une visite d'un cluster Kubernetes par modélisation des menaces, composant par composant, qui apprend à durcir les défauts en montrant d'abord comment chacun se casse.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Andrew Martin,Michael Hausenblas
- Publié
- 2021
- Éditeur
- O'Reilly Media
- Pages
- 311
- Langue
- English
Prérequis
Il faut déjà faire tourner Kubernetes. Le livre suppose acquis les pods, les déploiements, le RBAC et kubectl, et ne consacre aucune page à les enseigner.
À lire si
Ingénieurs plateforme et sécurité qui exploitent des clusters en production et veulent la carte d'un attaquant pour repérer les points faibles.
À éviter si
Passez votre chemin si vous débutez avec Kubernetes ou voulez une checklist de durcissement pas à pas ; il explique le pourquoi plus qu'il ne donne des configs à copier-coller.
Points clés
- Kubernetes par défaut est conçu pour la commodité, pas pour la sécurité, et chaque chapitre montre un réglage par défaut dont un attaquant est reconnaissant.
- L'évasion de conteneur, le déplacement latéral et la compromission de la chaîne d'approvisionnement sont les menaces qui comptent vraiment, pas celles que les tableaux de bord mettent en avant.
- La défense est en couches : un seul binding RBAC mal configuré ou un montage hostPath annule tout le reste.
Notes
Le cadrage piloté par la menace est ce qui justifie sa place sur l'étagère : au lieu d'un mur de YAML à appliquer, il déroule d'abord l'attaque et laisse la mitigation en découler, ce qui est la façon dont les leçons s'ancrent vraiment. Le revers est la durée de vie, car certains détails accusent déjà du retard sur les versions rapides de Kubernetes, mais le modèle mental qu'il construit survit aux numéros de version.
Que lire avant
Que lire avant Hacking Kubernetes →Intermédiaire · 2020
Container Security
L'introduction first-principles de Liz Rice à comment fonctionnent réellement les conteneurs Linux — namespaces, cgroups, capabilities, seccomp, layering d'images — et les implications de sécurité qui découlent de cette mécanique.
Intermédiaire · 2018
Kubernetes Security
Le court O'Reilly librement disponible de Liz Rice et Michael Hausenblas sur le modèle de sécurité spécifique à Kubernetes : API server, RBAC, network policy, secrets, et les étapes de durcissement typiques qui font passer un cluster du défaut au défendable.
Intermédiaire · 2018
Pentesting Azure Applications
Matt Burrough sur le comportement attaquant contre les tenants Azure : identité, stockage, VMs, manipulation de matériel de clés et les chemins de recon qui marchent contre de vraies souscriptions.
Que lire ensuite
Que lire après Hacking Kubernetes →Avancé · 2021
Kubernetes Security and Observability
Le traitement combiné de Brendan Creane et Amit Gupta sur la sécurité et l'observabilité Kubernetes — RBAC, network policy, détection runtime et la télémétrie nécessaire pour rendre tout cela opérationnellement réel.
Intermédiaire · 2020
Container Security
L'introduction first-principles de Liz Rice à comment fonctionnent réellement les conteneurs Linux — namespaces, cgroups, capabilities, seccomp, layering d'images — et les implications de sécurité qui découlent de cette mécanique.
Intermédiaire · 2018
Kubernetes Security
Le court O'Reilly librement disponible de Liz Rice et Michael Hausenblas sur le modèle de sécurité spécifique à Kubernetes : API server, RBAC, network policy, secrets, et les étapes de durcissement typiques qui font passer un cluster du défaut au défendable.
Explorer des livres similaires
Alternatives à Hacking Kubernetes →Intermédiaire · 2020
Container Security
L'introduction first-principles de Liz Rice à comment fonctionnent réellement les conteneurs Linux — namespaces, cgroups, capabilities, seccomp, layering d'images — et les implications de sécurité qui découlent de cette mécanique.
Intermédiaire · 2018
Kubernetes Security
Le court O'Reilly librement disponible de Liz Rice et Michael Hausenblas sur le modèle de sécurité spécifique à Kubernetes : API server, RBAC, network policy, secrets, et les étapes de durcissement typiques qui font passer un cluster du défaut au défendable.
Intermédiaire · 2018
Pentesting Azure Applications
Matt Burrough sur le comportement attaquant contre les tenants Azure : identité, stockage, VMs, manipulation de matériel de clés et les chemins de recon qui marchent contre de vraies souscriptions.