培训对象: 面向云平台运维工程师、安全架构师、DevOps团队及云原生应用开发人员。适合需要深入理解云原生环境安全风险、构建容器与编排系统防护体系的技术人员。
培训目标: 深入理解云原生安全的双重含义(保护云原生环境的安全机制与具备云原生特性的安全机制),掌握容器安全、编排系统安全及云原生攻击路径的防护方法。能够识别云原生环境的典型安全风险,运用多层次安全策略构建融合统一的云原生安全防护体系。
培训内容介绍:
云原生与云原生安全定义:学习云原生技术体系(容器、服务网格、微服务、不可变基础设施、声明式API),理解云原生安全的双重含义——保护云原生环境的安全机制与具备云原生弹性敏捷特性的安全机制。
云原生基础设施安全风险:梳理云原生基础设施安全风险图,掌握主机安全配置、仓库与镜像安全、行为检测和边界安全等基础防护措施。
容器镜像安全:学习容器镜像的安全风险(漏洞、恶意代码),掌握安全扫描工具使用、数字签名验证、镜像签名与加密等防护技术。
容器运行时安全:掌握容器逃逸的预防措施(最小化镜像、Cgroups/Namespaces隔离、内核漏洞防护)、容器内资源耗尽攻击的检测与防御。
容器访问控制与认证:学习容器环境的访问控制策略、认证机制配置,防止攻击者获取容器环境敏感数据或执行恶意操作。
Kubernetes编排系统安全:深入分析编排系统的认证授权漏洞、容器镜像漏洞、网络隔离不足、API接口暴露、容器运行时漏洞及中间人攻击六大典型风险。
K8s认证与授权强化:学习Kubernetes RBAC策略配置、Service Account管理、审计日志启用与分析,加强编排系统的访问控制。
云原生网络隔离策略:掌握容器网络隔离技术(网络策略、CNI插件配置),防止跨容器攻击和横向移动。
API接口安全防护:学习API接口的认证授权、限流熔断、TLS加密及审计监控,防止攻击者通过API执行恶意操作。
云原生攻击路径与模拟演练:学习云原生环境的典型攻击路径(从web渗透到容器逃逸、集群横向移动),通过实验模拟攻防过程。
多云环境统一安全管理:了解多云环境下安全策略的统一管理方法,实现跨云边界的融合安全防护。
云原生安全能力建设展望:探讨云原生安全从合规驱动向能力运营的演进趋势,构建主动防御的云原生安全体系。
