Безопасность в Kubernetes
2026-03-10 20:54 Diff
https://otus.ru/lessons/kubernetes-security/

Программа

Основы безопасности Kubernetes

В этом модуле вы познакомитесь с моделью угроз Kubernetes и архитектурой его ключевых компонентов. Узнаете, как защитить etcd, kube-apiserver и настроить аутентификацию и авторизацию. Особое внимание будет уделено RBAC, управлению секретами и интеграции с Vault. Вы научитесь применять принцип минимальных прав и защищать конфиденциальные данные приложений. На практике это позволит вам создавать кластеры с базовыми настройками безопасности и исключать критичные ошибки в конфигурации.

Тема 1: Введение в безопасность Kubernetes: модель угроз и векторы атак

Тема 2: Архитектура Kubernetes и точки контроля безопасности

Тема 3: Настройка и защита etcd (аутентификация, шифрование, бэкапы) // ДЗ

Тема 4: Kube-apiserver и механизмы аутентификации и авторизации

Тема 5: RBAC: базовые принципы и применение принципа минимальных прав

Тема 6: Расширенный RBAC, защита Secret и интеграция с Vault // ДЗ

Тема 7: HashiCorp Vault: продвинутые сценарии и типичные ошибки

Защита узлов и контейнеров

В этом модуле вы разберёте, как проводить hardening узлов и контейнеров. Рассмотрите безопасность образов, способы выявления и устранения уязвимостей. Изучите механизмы Security Context, Pod Security Standards и контроллеры admission. Также вы научитесь писать политики безопасности с OPA Gatekeeper и Kyverno. На практике это позволит вам ограничивать действия приложений, снижать риск эксплуатации уязвимостей и автоматизировать проверки в CI/CD.

Тема 1: Повторение основ k8s и теории шифрования

Тема 2: Hardening нод: защита ОС, kubelet и runtime // ДЗ

Тема 3: Контейнерная безопасность: проверка образов, устранение уязвимостей

Тема 4: Security Context и Pod Security Standards (PSS)

Тема 5: Контроль запуска подов: Admission Controllers

Тема 6: Политики безопасности с OPA Gatekeeper и Kyverno // ДЗ

Сеть, Мониторинг и CI/CD

В этом модуле вы освоите управление сетевыми взаимодействиями внутри кластера. Узнаете, как проектировать Network Policies и повышать безопасность сервисной сетки. Также будет рассмотрена защита цепочки поставки в CI/CD и мониторинг активности в кластере. Вы познакомитесь с инструментами логирования, обнаружения аномалий и eBPF-мониторингом. На практике это вам позволит контролировать сетевые связи, предотвращать внедрение вредоносного кода и оперативно выявлять подозрительные действия.

Тема 1: Сканирование уязвимостей и автоматизация проверок в пайплайнах

Тема 2: Network Policies: проектирование сегментации сети в кластере // ДЗ

Тема 3: Service Mesh (Istio/Linkerd) и его безопасность

Тема 4: CI/CD и Supply Chain Security для Kubernetes // ДЗ

Тема 5: Мониторинг, логирование и обнаружение аномалий (EFK, Falco)

Тема 6: eBPF-мониторинг и глубокий анализ активности в кластере

Пентест и демонстрации атак

В этом модуле вы рассмотрите подходы к тестированию безопасности Kubernetes. Освоите инструменты пентеста и научитесь искать слабые места в конфигурациях. Будут разобраны примеры атак - от цепочки поставки до lateral movement внутри кластера. Вы разберёте реальные инциденты и смоделируете их в учебной среде. На практике это даст вам умение выявлять угрозы до злоумышленников и вырабатывать меры защиты.

Тема 1: Инструменты пентеста Kubernetes: kube-hunter, kube-bench // ДЗ

Тема 2: Атака на цепочку поставки: от уязвимого кода до кластера

Тема 3: Демонстрация lateral movement в Kubernetes

Тема 4: Разбор реальных инцидентов и уязвимостей в продакшене

Стратегии и инструменты безопасности в Kubernetes

В этом модуле вы познакомитесь с концепцией Zero Trust и её применением в Kubernetes. Рассмотрите многоарендность и способы защиты кластеров в таких условиях. Будут рассмотрены коммерческие решения, Policy-as-Code и GitOps-подходы. Также вы изучите интеграцию SAST/DAST и разработку планов реагирования на инциденты. На практике это позволит вам строить комплексную стратегию безопасности и внедрять её в производственной среде.

Тема 1: Zero Trust и BeyondCorp в Kubernetes // ДЗ

Тема 2: Multi-tenancy и защита в многоарендных кластерах

Тема 3: Коммерческие решения для безопасности (NeuVector, Prisma Cloud и др.)

Тема 4: Policy-as-Code и GitOps-подход к безопасности

Тема 5: Интеграция SAST и DAST для микросервисов

Тема 6: Инцидент-менеджмент и план реагирования // ДЗ

Проектная работа

Заключительный месяц курса посвящен проектной работе. Проект – это самая интересная часть обучения. Вы будете разрабатывать его на основе полученных на курсе навыков и компетенций. В процессе работы над проектом можно получить консультацию преподавателей.

Тема 1: Выбор темы и организация проектной работы // Проектная работа

Тема 2: Консультация по проектам и домашним заданиям

Тема 3: Защита проектных работ

Тема 4: Подведение итогов курса

Также вы можете получить полную программу, чтобы убедиться, что обучение вам подходит

Преподаватели

Дмитрий Кленин

Архитектор по информационной безопасности

Максим Чащин

Директор по информационной безопасности (ГК «Девелоника»)

Эксперты-практики делятся опытом, разбирают кейсы студентов и дают развернутый фидбэк на домашние задания

Подтверждение знаний и навыков

OTUS осуществляет лицензированную образовательную деятельность.
В конце прохождения специализации вы получите сертификат OTUS и официальный диплом о получении новой специальности

После обучения вы:

  • Получите материалы по пройденным занятиям (видеозаписи курса и дoполнительные материалы)
  • Создадите свой проект, который поможет в повышении вашей квалификации
  • Повысите свою ценность и конкурентоспособность
  • Получите сертификат об окончании курса

Частые вопросы

Почему OTUS?

Мы обучаем IT-сотрудников уже 6 лет, через OTUS прошли 20 000 студентов. Специализируемся на программах для людей с опытом, а ещё – быстро переформатируем учебные программы под изменения в сфере информационных технологий.

Обязательно ли выполнять и защищать выпускной проект?

Для получения сертификата OTUS и УПК (удостоверение повышения квалификации государственного образца) необходимо сдать проект. Кроме того, проект необязательно защищать перед аудиторией, а можно сдать в чате с преподавателем. Для получения УПК также понадобится предъявить документ об образовании.

Обязательно ли выполнять все домашние задания?

Да, если хотите хорошо отточить навыки. На курсе будут практические домашние задания, их выполнение занимает примерно 2-3 часа.

Смогу ли я совмещать учебу с работой?

Да. Программа курса рассчитана на студентов, у которых мало времени. Лекции проводим дважды в неделю, домашние задания — не чаще 1 раза в неделю.

Что, если в середине курса я не смогу продолжать обучение?

Вы можете бесплатно перейти в другую группу. Но только один раз.

Я могу вернуть деньги?

Да, мы можем вернуть деньги за то время курса, которое вы ещё не успели отучиться. Например, если курс длится пять месяцев, а вы отучились один, мы вернём деньги за оставшиеся четыре месяца.

Может ли мой работодатель оплатить курс?

Да. Когда свяжетесь с нашим менеджером, уточните, что оплачивать курс будет ваш работодатель.

Остались вопросы?

Оставляйте заявку и задавайте вопросы менеджеру, команда курса с ним на связи и постарается дать вам исчерпывающую информацию.