M08

Docker, Kubernetes & Sicherheit

Lernen von den Profis

Ihre Referenten sind Florian Bausch, Sebastian Funke und Sebastian Sartor

Eine Teilnahme am Workshop und den Übungen ist von jedem PC/Laptop mit stabiler Internetverbindungaus möglich. Es wird keine zusätzliche Software benötigt, ein aktueller Browser genügt (aktueller Microsoft Edge, Google Chrome oder Firefox). Das Workshopmaterial, sowie mögliche Demos und natürlich die Trainer sind stets sichtbar und werden je nach Erfordernis gezeigt bzw. hervorgehoben. Wir senden Ihnen die Kursdokumentation vor Kursbeginn und die Folien nach Kursende zu. Fragen werden direkt von den Trainern beantwortet. Mikrofon und Kamera sind optional, Sie können die Fragen auch über einen Chat stellen.

Kursbeschreibung

Container, Microservices, Kubernetes, CI/CD – all diese Begriffe dominieren stark moderne Anwendungsentwicklungsteams und -prozesse. Im ers¬ten Teil dieses Kurses lernen Sie die technologischen Grundlagen hinter all diesen Begriffen und im zweiten Teil die fortgeschrittene Konzepte im operativen Umgang. Dabei erfahren Sie Antworten auf die folgenden Fragen:

• Wie stark/zuverlässig sind die Isolationsmechanismen hinter Docker/Linux/Betriebssystem-Containern?
• Wie beeinflussen Container typische Applikations- und Netzwerk-Landschaften?
• Wie beeinflusst CI/CD und Kubernetes den Anwendungseinsatz und Abläufe?
• Was sind potenzielle Schnittstellen zwischen „Security“ und diesen Paradigmen?
• Welche zusätzlichen Security-Herausforderungen ergeben sich aus der veränderten Entwicklungslandschaft und neuen Tool-Chains?

Alle Themen werden durch praktische Übungen oder Demonstrationen unterstützt. Am Ende des Workshops werden alle Teilnehmer ein fundiertes Wissen über die beschriebenen Themenbereiche erlernt haben und deren Auswirkung auf Anwendungs¬architekturen, -entwicklung und -sicherheit verstehen. Während des Basis Kurses werden die Teilnehmer ein voll funktionsfähiges Kubernetescluster erstellen und daran erlernte Sicherheitsmaßnahmen selbst implementieren und testen. Im fortgeschrit¬tenen Teil werden die Teilnehmer DevSecOps-Prozesse anhand einer CI/CD Pipeline kennenlernen, sowie den fortgeschrittenen Betrieb von Kubernetes mit Ausblick auf neue Entwicklungen.

13. - 14. Mai 2024
Kurs Grundlagen  Live-Online-Webinar

15. - 16. Mai 2024  
Kurs Fortgeschritten  Live-Online-Webinar

2-tägiger Kurs Grundlagen Seminarinhalte

Tag 1, Container & Container Security

Zum Einstieg blicken wir auf DevOps, agile Soft­wareentwicklung und verwandte Begriffe, um zu verstehen, wie uns letztendlich Container (Docker, Kubernetes, etc.) bei der Umsetzung dieser Konzep­te unterstützen können.

Danach schauen wir uns den Unterschied zwischen Containern und virtuellen Maschinen an und wie Container auf dem Hostsystem realisiert werden. Anschließend besprechen wir die Bestandteile der Docker Engine und wie Container-Images erstellt und bezogen werden. Hier spielen Best Practices eine große Rolle.

Im weiteren Verlauf gehen wir auf die Sicherheits­implikationen ein, die sich durch die Verwendung von Containern ergeben und besprechen daraufhin Härtungsmaßnahmen für Container und Docker.

Tag 2: Kubernetes & Kubernetes Security

Komplexe Infrastrukturen erfordern oft große Mengen an Microservices, die sich in Containern abbilden lassen. Die Verwaltung dieser Vielzahl an Containern kann schnell sehr aufwändig werden. Mit Kubernetes gibt es seit einigen Jahren ein mächtiges Werkzeug, das die Orchestrierung von Containern vereinfacht und viele Aufgaben automatisiert.

Am zweiten Tag des Grundlagen-Trainings werden wir uns zunächst mit den Grundlagen von Kuber­netes beschäftigen und wie die zugrundeliegenden Mechanismen funktionieren.

Dazu werden wir gemeinsam einen Vanilla-Kuber­netes-Cluster aufsetzen und anhand dessen ge­meinsam die Kubernetes Ressourcen besprechen. Anschließend wird ein detaillierter Blick auf die Architektur geworfen, bevor wir das Thema Networ­king in Kubernetes anschauen.

Zum Schluss werden wir grundlegende Sicherheits­features und Best Practices in Kubernetes anschau­en, mit denen eine sichere Baseline im Kubernetes Cluster hergestellt werden kann.

 2-tägiger Kurs Fortgeschritten Seminarinhalte

Tag 1, Cloud-Native K8s & CI/CD Operations

Cloud (native) Dienste, wie z.B. AWS CodePipeline, Elastic Container Registry (ECR) und Elastic Kubernetes Service (EKS) werden immer beliebter und beschleunigen agile Entwicklungs- sowie CI/CD-Prozesse. Anwendungen können dadurch programmatisch in schnelleren Zyklen und skalierbar getestet, ausgeliefert und bereitgestellt werden.

Nach einer kurzen Rekapitulation der Docker- und Kubernetes-Grundlagen, verschaffen wir uns einen Überblick über die cloudbasierten Kubernetes Lösungen. Anschließend widmen wir uns den operativen Kubernetes-Prozessen, wie z.B. Monitoring, Logging, Skalierung, Secret Management und Governance.

Anhand dessen bauen und verbessern wir Schritt für Schritt eine CI/CD-Pipeline mit Supply-Chain Sicherheitsmaßnahmen für eine Beispielanwendung, die innerhalb der Managed K8s Distribution EKS bereitgestellt wird. Dabei werden wir die Containerimages bauen, Artifakte generieren, signieren und auf Schwachstellen untersuchen.

Tag 2: Attack and Defend - Fortgeschrittene Sicherheitsmaßnahmen und Härtung

Zu Beginn werden Docker und Kubernetes Container Härtungsmaßnahmen,sowie erweiterte Sicherheitsaspekte, wie z.B. sichere Schlüsselverwaltung, erläutert. Dabei werden ein Vielzahl unterstützter Werkzeuge vorgestellt.

Danach schlüpfen wir in die Rolle eines Angreifers, kompromitieren die Beispielanwendung und das Cluster über einen Container Breakout.

Anhand der mittels CI/CD-Pipeline in Kubernetes bereitgestellten Anwendung, wird die frühzeitige Erkennung von Schwachstellen und Misskonfigurationen via DevSecOps Werkzeugen demonstriert.

Abschließend wird ein Ausblick zu neuen Entwicklungen in der Kubernetes Sicherheit gegeben und die Möglichkeit eröffnet die Schwachstellen in der Beispielanwendung als Hausaufgabe zu beheben."

HM TRAINING SOLUTIONS ON-SITE SERVICE

Alle HM Training Solutions Seminare stehen auch firmenintern zur Verfügung.Sie können auf den Bedarf Ihrer Organisation zugeschnitten werden.

Weitere Details erhalten Sie unter Telefonnummer +49 (0) 6022 508 200.

Wer sollte dieses Training besuchen und warum?

IT Security Professionals, die
- die Technologie hinter den oben genannten Schlagworten verstehen möchten.
- den Grad der Isolation durch Containerlösungen bewerten können möchten.
- Ideen mitnehmen möchten, wie Sicherheit in typische DevOps Umgebungen und „Continuous Workflows“ integriert werden kann.

Softwarearchitekten und -entwickler, die- über potenzielle Schwachstellen in gängigen Werkzeugen und Abläufen lernen möchten.
- die Bedenken und Anliegen der Security-Abteilung verstehen möchten.
- Entwicklungsabläufe durch automatisierte Security-Checks verbessern möchten.

Auf Grund der hohen Anzahl verfügbarer Werkzeuge und Technologien werden nicht alle Aspekte dieser im Detail beleuchtet werden können. Wir freuen uns allerdings über die Zusendung konkreter Fragen vorab, um diese in den Kurs einbauen zu können. In jedem Fall wird ein Ansatz vermittelt, wie eine Security-Bewertung neuer/unbekannter Tools/Tech­nologien angegangen werden kann.

Voraussetzungen

Die Teilnehmer müssen grundlegende Kenntnisse auf der Linux Kom­mandozeile (bash) sowie einem Kommandozeilen-basierten Texteditor, haben und einem Browser, um sich mit dem Internet zu verbinden. Die Übungen werden auf zentral bereitgestellten Systemen durchgeführt, die über den Browser im Interneterreichbar sind. Die Übungen werden auf zentral bereitgestellten Systemen durchgeführt, die per SSH im Internet erreichbar sind.

Um die Inhalte des fortgeschrittenen Kurses zu verstehen und die Übungen durchführen zu können, sollten den Teilnehmern die im Grundlagenkurs ver­mittelten Inhalte bekannt sein.

Profil der Seminarleiter

Florian Bausch studierte Digital Forensics und schrieb seine Masterthesis über forensische Analyse von verteiltem Ceph-Speicher. Seit 2019 arbeitet er bei ERNW Research GmbH als Pentester und Incident Analyst.

Sebastian Sartor ist ein IT Security Consultant und Researcher bei ERNW Enno Rey Netzwerke GmbH. Während seines Studiums beschäftigte er sich hauptsächlich mit Netzwerksicherheit und führte dies bei ERNW fort, wo er neben anderen Aufgabenbereichen Cloud- und Kubernetes-Sicherheitsassessments durchführt. Er hat einen Abschluss als M.Sc. in IT Security an der Technischen Universität Darmstadt.

Sebastian Funke ist ein IT Security Analyst und Researcher bei ERNW Enno Rey Netzwerke GmbH mit über 6 Jahren Expertise. Seine alltägliche Arbeit umfasst ein großes Themenfeld von Sicherheitsüberprüfungen in komplexen Unternehmenslandschaften mit Fokus auf klassischen Penetrationstests von Netzwerken, Desktop- und Webanwendungen bis hin zu Container und (Multi-)Cloud Umgebungen. In seiner Forschungszeit beschäftigt(e) er sich mit Privacy Enhancing Technologies im Internet der Dinge, Automatisierung von Sicherheitungsüberprüfungen in High-Level Cloud Umgebungen (Azure und Kubernetes), sowie der generellen Optimierung von Tools Tactics und Procedures (TTPs) in Penetrationstests. Aus akademischer Sicht hat er einen Abschluss als M.Sc. in IT-Security von der Technischen Universität Darmstadt.