Набір інструментів безпеки

Трек інструментів | 6 модулів | ~5 годин загалом

Огляд

Набір інструментів безпеки (Security Tools Toolkit) охоплює основні засоби для захисту кластерів та навантажень Kubernetes. Від управління секретами до детекції загроз у реальному часі та цілісності ланцюжка поставок — ці інструменти формують ешелонований захист, необхідний для продакшн-кластерів.

Цей набір втілює концепції з Принципів безпеки та Дисципліни DevSecOps.

Передумови

Перед початком цього треку:

Дисципліна DevSecOps — концепції та практики безпеки
Принципи безпеки — фундаментальна теорія
Основи Kubernetes RBAC
Основи контейнеризації

Модулі

#	Модуль	Складність	Час
4.1	Vault та External Secrets	`[COMPLEX]`	45-50 хв
4.2	OPA та Gatekeeper	`[COMPLEX]`	45-50 хв
4.3	Falco	`[COMPLEX]`	45-50 хв
4.4	Безпека ланцюжка поставок	`[COMPLEX]`	45-50 хв
4.5	Tetragon	`[MEDIUM]`	90 хв
4.6	KubeArmor	`[MEDIUM]`	90 хв
4.7	Kyverno	`[MEDIUM]`	35-40 хв
4.8	SPIFFE/SPIRE	`[COMPLEX]`	50 хв

Результати навчання

Після завершення цього треку ви зможете:

Безпечно керувати секретами — Vault + ESO для централізованих секретів з аудитом
Впроваджувати політики на етапі допуску — Gatekeeper/OPA для policy-as-code
Виявляти загрози у реальному часі — Falco для детекції вторгнень на основі системних викликів
Захищати ланцюжок поставок — підписання образів, SBOM, сканування вразливостей
Запобігати атакам з Tetragon — примусове виконання правил на рівні ядра через eBPF
Впроваджувати найменші привілеї з KubeArmor — білі списки (allow-listing) для контейнерів

Гід з вибору інструментів

ЯКИЙ ІНСТРУМЕНТ БЕЗПЕКИ ОБРАТИ?
─────────────────────────────────────────────────────────────────

"Мені потрібно керувати секретами багатьох додатків"
└──▶ Vault + External Secrets Operator
     • Централізовані секрети
     • Автоматична ротація
     • Аудит кожного доступу

"Мені потрібно заборонити небезпечні конфігурації при деплої"
└──▶ OPA/Gatekeeper (або Kyverno)
     • Блокування привілейованих контейнерів
     • Вимога лімітів ресурсів
     • Політики перевірки джерела образів

"Мені потрібно бачити атаки на запущені контейнери"
└──▶ Falco
     • Моніторинг системних викликів
     • Детекція втечі з контейнера
     • Виявлення криптомайнерів

"Мені потрібно захистити образи контейнерів"
└──▶ Sigstore + Trivy + Harbor
     • Підписання образів
     • Сканування вразливостей
     • Генерація SBOM

Шлях вивчення

Модуль 4.1: Vault & External Secrets
     │
     │  Фундамент секретів — почніть з цього
     ▼
Модуль 4.2: OPA & Gatekeeper
     │
     │  Запобігання деплою поганих конфігурацій
     ▼
Модуль 4.3: Falco
     │
     │  Детекція загроз у запущених навантаженнях
     ▼
Модуль 4.4: Безпека ланцюжка поставок
     │
     │  Захист образів від збірки до розгортання
     ▼
[Набір завершено] → Набір інструментів мережі

Пов’язані треки

До: Дисципліна DevSecOps — концепції безпеки
До: Принципи безпеки — теорія
Пов’язано: Набір інструментів GitOps — безпечне розгортання
Пов’язано: Набір інструментів IaC — сканування IaC (Checkov, tfsec)
Після: Набір інструментів мережі — мережева безпека

“Безпека — це не фіча, це властивість. Ці інструменти роблять безпеку властивістю вашої платформи, а не чимось другорядним.”