Cyber Shelf

// Comparaison

Hacking Kubernetes vs Kubernetes Security and Observability : lequel lire ?

Deux livres de cybersécurité sur Containers, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52021
Hacking Kubernetes

Analyse et défense pilotées par la menace

Andrew Martin, Michael Hausenblas

Une visite d'un cluster Kubernetes par modélisation des menaces, composant par composant, qui apprend à durcir les défauts en montrant d'abord comment chacun se casse.

Avancé
3/52021
Kubernetes Security and Observability

A Holistic Approach to Securing Containers and Cloud-Native Applications

Brendan Creane, Amit Gupta

Le traitement combiné de Brendan Creane et Amit Gupta sur la sécurité et l'observabilité Kubernetes — RBAC, network policy, détection runtime et la télémétrie nécessaire pour rendre tout cela opérationnellement réel.

À lire si

Ingénieurs plateforme et sécurité qui exploitent des clusters en production et veulent la carte d'un attaquant pour repérer les points faibles.
Ingénieurs plateforme et hybrides SRE-sécurité qui font tourner Kubernetes en production et veulent une référence unique pour la frontière sécurité-et-observabilité. Le plus fort sur les sections network policy et détection runtime, où la plupart des équipes sont les plus faibles en pratique.

À éviter si

Passez votre chemin si vous débutez avec Kubernetes ou voulez une checklist de durcissement pas à pas ; il explique le pourquoi plus qu'il ne donne des configs à copier-coller.
Lecteurs voulant de la profondeur sur l'architecture Kubernetes elle-même, les patterns multi-tenancy ou le détail supply-chain (SLSA, images signées). Aussi un peu coloré Calico — les auteurs viennent de Tigera — ce qui est correct si vous savez lire au-delà du marketing.

Points clés

  • Kubernetes par défaut est conçu pour la commodité, pas pour la sécurité, et chaque chapitre montre un réglage par défaut dont un attaquant est reconnaissant.
  • L'évasion de conteneur, le déplacement latéral et la compromission de la chaîne d'approvisionnement sont les menaces qui comptent vraiment, pas celles que les tableaux de bord mettent en avant.
  • La défense est en couches : un seul binding RBAC mal configuré ou un montage hostPath annule tout le reste.
  • La sécurité sans observabilité est non falsifiable ; l'argument central du livre est que ce sont un seul flux de travail, pas deux.
  • La network policy est opérationnellement difficile, pas conceptuellement difficile — les chapitres sur le déploiement default-deny en production sont les plus utiles.
  • La détection runtime est nécessaire parce que les admission controllers ne peuvent pas tout attraper ; le livre traite le compromis honnêtement.

Comment ils se comparent

Nous notons Hacking Kubernetes plus haut (4/5 contre 3/5 pour Kubernetes Security and Observability). Pour la plupart des lecteurs, Hacking Kubernetes est le choix principal et Kubernetes Security and Observability un complément utile.

Hacking Kubernetes vise le niveau intermédiaire. Kubernetes Security and Observability vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Hacking Kubernetes et Kubernetes Security and Observability couvrent tous les deux Containers, Cloud : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Hacking Kubernetes

Alternatives à Hacking KubernetesQue lire après Hacking Kubernetes

Kubernetes Security and Observability

Alternatives à Kubernetes Security and ObservabilityQue lire après Kubernetes Security and Observability

Thématiques liées

ContainersCloud