Kubernetes安全指南

定　價：￥98.00

作　者：	[英]安德魯馬丁(Andrew Martin）,[奧地利]邁克爾豪森布拉斯(Michael Hausenblas）
出版社：	中國電力出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購買這本書可以去

當(dāng)當(dāng)網(wǎng) (￥67.60)

ISBN：	9787519883737	出版時間：	2023-12-01	包裝：	平裝-膠訂
開本：	16開	頁數(shù)：		字?jǐn)?shù)：

內(nèi)容簡介

　　本書從具有內(nèi)置默認(rèn)設(shè)置的Vanilla Kubernetes開始，你將檢查運(yùn)行任意工作負(fù)載的分布式系統(tǒng)的抽象威脅模型，然后對安全Kubernetes系統(tǒng)的每個組件進(jìn)行詳細(xì)評估。本書的主要內(nèi)容有：通過威脅建模來了解Kubernetes系統(tǒng)的漏洞。聚焦pod，從配置到攻防。保護(hù)你的集群和工作負(fù)載流量。使用RBAC、OPA和Kyverno定義和實(shí)施策略。深入研究沙箱和隔離技術(shù)。了解如何檢測和減輕供應(yīng)鏈攻擊。探索靜態(tài)文件系統(tǒng)、卷和敏感信息。發(fā)現(xiàn)在集群中運(yùn)行多租戶工作負(fù)載時可能出現(xiàn)的問題。了解即使你已采取控制措施，如果有攻擊者闖入，你可以做什么。

作者簡介

　　Andrew Martin是ControlPlane的CEO。Machael Hausenblas是AWS的解決方案工程主管。

圖書目錄

目錄
前言 1
目錄
第1 章概述 9
1.1 場景介紹10
1.2 威脅模型12
1.2.1 威脅主體 .13
1.2.2 第一個威脅模型 16
1.3 關(guān)于攻擊樹 19
1.4 攻擊樹案例 20
1.5 現(xiàn)有的技術(shù) 23
1.6 小結(jié) .24
第2 章 pod 資源詳情 25
2.1 默認(rèn)配置25
2.2 威脅模型27
2.3 對攻擊的剖析 .28
2.3.1 遠(yuǎn)程代碼執(zhí)行 28
2.3.2 網(wǎng)絡(luò)攻擊面 29
2.4 Kubernetes 工作負(fù)載：pod 中的應(yīng)用程序 31
2.5 什么是pod ？ .33
2.6 了解容器37
2.6.1 共享網(wǎng)絡(luò)和存儲 39
2.6.2 最壞的情況可能會是什么？ .40
2.6.3 容器逃逸 .44
2.7 pod 配置和威脅 .47
2.7.1 pod 頭部 48
2.7.2 反向正常運(yùn)行時間 .49
2.7.3 標(biāo)簽 50
2.7.4 托管字段 .50
2.7.5 pod 命名空間和所有者 .51
2.7.6 環(huán)境變量 .51
2.7.7 容器鏡像 .52
2.7.8 pod 探針 55
2.7.9 CPU 和內(nèi)存限制和請求 55
2.7.10 DNS .56
2.7.11 pod securityContext .59
2.7.12 pod Sevice Accounts 61
2.7.13 調(diào)度器和容忍度 61
2.7.14 pod 卷定義 62
2.7.15 pod 網(wǎng)絡(luò)狀態(tài) 63
2.8 正確使用securityContext .63
2.8.1 使用Kubesec 增強(qiáng)securityContext 65
2.8.2 強(qiáng)化的securityContext .66
2.9 進(jìn)入風(fēng)暴中心 .72
2.10 小結(jié) 72
第3 章容器運(yùn)行時隔離 .75
3.1 默認(rèn)配置76
3.2 威脅模型76
3.3 容器，虛擬機(jī)和沙盒 79
3.3.1 虛擬機(jī)是如何工作的.81
3.3.2 虛擬化的好處 84
3.3.3 容器有哪些問題？ .85
3.3.4 用戶命名空間缺陷 .86
3.4 沙盒化（sandboxing） 91
3.4.1 gVisor 94
3.4.2 Firecracker 102
3.4.3 Kata Container 103
3.4.4 rust-vmm 105
3.5 沙盒化的風(fēng)險 107
3.6 Kubernetes 運(yùn)行時類 107
3.7 本章小結(jié). 108
第4 章應(yīng)用程序和供應(yīng)鏈 111
4.1 默認(rèn)配置. 112
4.2 威脅模型. 112
4.3 供應(yīng)鏈 . 113
4.3.1 軟件 . 117
4.3.2 掃描CVE . 118
4.3.3 采用開源軟件 . 119
4.3.4 我們應(yīng)該相信哪些生產(chǎn)商？ 120
4.4 CNCF 安全技術(shù)咨詢組 122
4.4.1 架構(gòu)容器化應(yīng)用以提高彈性 122
4.4.2 檢測木馬 123
4.5 攻擊供應(yīng)鏈 124
4.5.1 攻擊的持續(xù)性 . 126
4.5.2 系統(tǒng)面臨的風(fēng)險 127
4.6 容器鏡像構(gòu)建供應(yīng)鏈 128
4.6.1 軟件工廠 128
4.6.2 神圣的鏡像工廠 129
4.6.3 基礎(chǔ)鏡像 130
4.7 容器供應(yīng)鏈的狀態(tài) . 132
4.7.1 來自第三方代碼的風(fēng)險 . 133
4.7.2 軟件材料清單 . 134
4.7.3 人類身份和GPG 136
4.8 對構(gòu)建和元數(shù)據(jù)簽名 137
4.8.1 Notary v1 137
4.8.2 sigstore 137
4.8.3 in-toto 和TUF 139
4.8.4 GCP 二進(jìn)制授權(quán) 140
4.8.5 Grafeas 140
4.9 基礎(chǔ)設(shè)施供應(yīng)鏈 . 140
4.9.1 Operator 權(quán)限 .140
4.9.2 攻擊上游供應(yīng)鏈 141
4.10 供應(yīng)鏈攻擊的類型 142
4.10.1 攝取開源代碼 144
4.10.2 貫穿SDLC 的應(yīng)用程序漏洞 146
4.11 防御SUNBURST .147
4.12 小結(jié) 150
第5 章網(wǎng)絡(luò) . 151
5.1 默認(rèn)配置. 152
5.1.1 pod 內(nèi)網(wǎng)絡(luò) 154
5.1.2 pod 間通信 155
5.1.3 pod 與工作節(jié)點(diǎn)間的流量 . 155
5.1.4 集群外部流量 . 156
5.1.5 ARP 的狀態(tài) .157
5.1.6 無securityContext 158
5.1.7 無工作負(fù)載身份 159
5.1.8 無網(wǎng)絡(luò)傳輸加密 159
5.2 威脅模型. 160
5.3 流量流向控制 161
5.3.1 安裝 . 161
5.3.2 網(wǎng)絡(luò)策略前來救援！ 165
5.4 服務(wù)網(wǎng)格. 168
5.4.1 概念 . 168
5.4.2 選項(xiàng)和采用 . 168
5.4.3 案例研究：使用Linkerd 的mTLS 170
5.5 eBPF . 173
5.5.1 概念 . 173
5.5.2 選項(xiàng)和采用 . 174
5.5.3 案例研究：將探針附加到Go 程序 . 175
5.6 小結(jié) 177
第6 章存儲 . 179
6.1 默認(rèn)配置. 180
6.2 威脅模型. 180
6.3 卷和數(shù)據(jù)存儲 183
6.3.1 一切皆是字節(jié)流 183
6.3.2 何為文件系統(tǒng)？ 184
6.3.3 容器中的卷和掛載 186
6.3.4 OverlayFS 186
6.3.5 tmpfs 188
6.3.6 掛載卷打破了容器隔離 . 190
6.3.7 基于/proc/self/exe 的漏洞 193
6.4 靜態(tài)的敏感信息 . 195
6.4.1 Secret 掛載 195
6.4.2 攻擊掛載的Secret 196
6.5 Kubernetes 存儲 197
6.5.1 容器存儲接口 . 197
6.5.2 投射卷 198
6.5.3 攻擊卷 200
6.5.4 主機(jī)目錄掛載的風(fēng)險 202
6.5.5 從數(shù)據(jù)存儲中泄露的其他Secret 203
6.6 小結(jié) 203
第7 章硬性多租戶 205
7.1 默認(rèn)配置. 206
7.2 威脅模型. 206
7.3 命名空間資源 207
7.3.1 節(jié)點(diǎn)池 208
7.3.2 節(jié)點(diǎn)污點(diǎn) 210
7.4 軟性多租戶 212
7.5 硬性多租戶 213
7.5.1 敵對租戶 213
7.5.2 沙盒和策略 . 214
7.5.3 公有云多租戶 . 215
7.6 控制平面. 216
7.6.1 API server 和etcd .218
7.6.2 調(diào)度器和控制器管理器 . 220
7.7 數(shù)據(jù)平面. 223
7.8 集群隔離架構(gòu) 225
7.9 集群支持服務(wù)和工具環(huán)境 . 227
7.10 安全監(jiān)控和可見性 227
7.11 小結(jié) 228
第8 章策略 . 229
8.1 策略的類型 230
8.2 云服務(wù)提供商 230
8.2.1 網(wǎng)絡(luò)流量 232
8.2.2 限制資源分配 . 232
8.2.3 資源配額 232
8.2.4 運(yùn)行時策略 . 233
8.2.5 訪問控制策略 . 234
8.3 威脅模型. 234
8.4 普遍預(yù)期. 235
8.4.1 碎玻璃場景 . 235
8.4.2 審計(jì) . 236
8.5 認(rèn)證和授權(quán) 236
8.5.1 人類用戶 238
8.5.2 工作負(fù)載身份 . 238
8.6 基于角色的訪問控制（RBAC） 242
8.6.1 RBAC 回顧 . 242
8.6.2 一個簡單的RBAC 例子 243
8.6.3 創(chuàng)建RBAC . 245
8.6.4 分析和可視化RBAC 248
8.6.5 RBAC 相關(guān)的攻擊 250
8.7 通用策略引擎 251
8.7.1 開放策略代理（OPA） .251
8.7.2 Kyverno . 258
8.7.3 其他策略方案 . 260
8.8 小結(jié) 261
第9 章入侵檢測 . 263
9.1 默認(rèn)配置. 264
9.2 威脅模型. 264
9.3 傳統(tǒng)的IDS 265
9.4 基于eBPF 的IDS 267
9.4.1 Kubernetes 和容器入侵檢測 268
9.4.2 Falco 268
9.5 基于機(jī)器學(xué)習(xí)方法的IDS 271
9.6 容器取證. 271
9.7 蜜罐技術(shù). 274
9.8 審計(jì) 276
9.9 檢測規(guī)避. 277
9.10 安全運(yùn)營中心 279
9.11 小結(jié) 279
第10 章組織 281
10.1 最薄弱的連接點(diǎn) 282
10.2 云服務(wù)提供商 284
10.2.1 責(zé)任共擔(dān) 285
10.2.2 賬戶衛(wèi)生 286
10.2.3 對人員和資源進(jìn)行分組 287
10.2.4 其他注意事項(xiàng) 289
10.3 本地環(huán)境 290
10.4 常見注意事項(xiàng) 292
10.4.1 威脅模型爆炸 292
10.4.2 SLO 如何給你帶來額外的壓力 295
10.4.3 社會工程 295
10.4.4 隱私和監(jiān)管問題 . 298
10.5 小結(jié) 298
附錄A pod 級攻擊 . 299
附錄B 資源 315