دانلود کتاب آموزشی Certified Kubernetes Security Specialist (CKS) جلد دوم

بخش 6. ایمن‌سازی Workloadها

فصل 1. مدیریت دسترسی به Podها

• جلوگیری از دسترسی غیرمجاز به Podها با استفاده از ابزارهای کنترل دسترسی.
• استفاده از ابزارهای امنیتی مانند RBAC برای محدود کردن دسترسی کاربران به منابع.
• بررسی و مدیریت Service Accounts مرتبط با هر Pod.

فصل 2. استفاده از Pod Security Policies (PSP) (برای نسخه‌های قدیمی Kubernetes)

• تعریف سیاست‌های امنیتی برای محدود کردن دسترسی به Podها.
• محدود سازی سطح دسترسی کانتینرها به منابع سیستمی.
• جایگزینی PSP با Pod Security Standards (PSS) برای نسخه‌های جدید Kubernetes.

فصل 3. شناسایی آسیب‌پذیری‌ها در Workloadها

• اجرای تست‌های نفوذ (Penetration Testing) برای شناسایی آسیب‌پذیری‌های Podها و کانتینرها.
• استفاده از ابزارهایی مانند Kube-hunter برای شناسایی ضعف‌های امنیتی کلاستر.
• بررسی امنیتی کانتینرها با ابزارهایی مثل Trivy و Clair.

فصل 4. مدیریت منابع با استفاده از Resource Quotas

• تنظیم محدودیت‌ها برای Podها با Resource Quotas و LimitRanges.
  • کنترل مصرف CPU و RAM برای جلوگیری از Overload شدن کلاستر.
• بهینه‌سازی توزیع منابع بین Workloadها برای کاهش تهدیدات Denial of Service (DoS).

فصل 5. پیاده‌سازی Context-Based Security

• اعمال سیاست‌های امنیتی بر اساس Contextهای خاص:
  • Namespaceهای مختلف.
  • برچسب‌ها (Labels) و انتخابگرها (Selectors) برای جداسازی Workloadها.
• کنترل امنیتی برای Workloadهای Multi-Tenant.

فصل 6. ایمن‌سازی فرآیند Deployment

• استفاده از ابزارهایی مانند Helm برای مدیریت و ایمن‌سازی Deploymentها.
• بررسی فایل‌های YAML برای اطمینان از استفاده از پیکربندی‌های امن.
  • جلوگیری از اجرای کانتینرها با دسترسی Root.
  • استفاده از read-only file system در کانتینرها.

فصل 7. مانیتورینگ و نظارت بر Workloadها

• شناسایی رفتارهای غیرعادی در Podها با استفاده از ابزارهای مانیتورینگ:
  • Prometheus و Grafana برای نظارت بر Metrics.
  • Falco برای نظارت بر زمان اجرا (Runtime).
• بررسی لاگ‌های Podها و شناسایی فعالیت‌های مشکوک.

فصل 8. مدیریت عمر Workloadها

• استفاده از Pod Disruption Budgets (PDB) برای مدیریت Workloadها در حین Maintenance.
• بررسی و بروزرسانی منظم Workloadها برای اطمینان از استفاده از آخرین نسخه‌های ایمن.

فصل 9. جلوگیری از اجرای فرآیندهای مشکوک

• اعمال سیاست‌های محدودکننده برای جلوگیری از اجرای فرآیندهای غیرمجاز در Podها.
• استفاده از ابزارهایی مانند AppArmor یا SELinux برای محدود کردن فرآیندها.

فصل 10. مدیریت و جلوگیری از تهدیدات مرتبط با Workloadها

• محدودسازی ارتباطات بین Podها با استفاده از Network Policies.
• بررسی رفتارهای Workloadها در برابر تهدیدات:
  • حملات Sidecar Injection.
  • سوءاستفاده از ConfigMaps و Secrets.

بخش 7. ایمن‌سازی محیط اجرا (Runtime Security)

فصل 1. استفاده از ابزارهای نظارت بر زمان اجرا

• معرفی ابزارهای Runtime Security:
  • Falco: ابزار متن‌باز برای شناسایی تهدیدات در زمان واقعی.
  • Sysdig: ابزار پیشرفته نظارت و امنیت در محیط‌های کانتینری.
  • Twistlock: پلتفرم پیشرفته برای امنیت کانتینرها و Kubernetes.
• پیکربندی و استفاده از Falco برای:
  • شناسایی فرآیندهای غیرمجاز در Podها.
  • مانیتورینگ فعالیت‌های غیرعادی در سیستم‌عامل میزبان.
• تنظیم Sysdig برای تحلیل داده‌های زمان اجرا و شناسایی نفوذ.

فصل 2. مدیریت رخدادها و پاسخ به تهدیدات

• شناسایی و اولویت‌بندی رخدادهای امنیتی.
• تعریف فرآیندهای پاسخگویی به رخدادها:
  • ارسال هشدارها به تیم‌های امنیتی.
  • مستندسازی رخدادها برای تحلیل و جلوگیری از تکرار.
• یکپارچه‌سازی ابزارهای نظارتی با سیستم‌های هشداردهی (مانند Slack یا PagerDuty).

فصل 3. مانیتورینگ و تحلیل لاگ‌ها

• ابزارهای جمع‌آوری و تحلیل لاگ:
  • ELK Stack (Elasticsearch, Logstash, Kibana) برای جمع‌آوری و تحلیل لاگ‌ها.
  • Fluentd: ابزار سبک برای جمع‌آوری و ارسال لاگ‌ها.
• تحلیل لاگ‌های Kubernetes Audit برای:
  • شناسایی فعالیت‌های غیرمجاز.
  • ردیابی تغییرات در کلاستر.
• مانیتورینگ زمان اجرا برای رفتارهای غیرعادی:
  • تشخیص الگوهای حمله مانند دسترسی‌های غیرمجاز.

فصل 4. جلوگیری از اجرای فرآیندهای مشکوک

• تعریف قوانین و سیاست‌ها برای جلوگیری از اجرای فرآیندهای غیرمجاز در Podها.
• استفاده از ابزارهایی مانند:
  • AppArmor یا SELinux برای کنترل سطح دسترسی فرآیندها.
• اجرای محدودیت‌های امنیتی در سطح Node:
  • جلوگیری از استفاده از منابع غیرمجاز.
  • محدود کردن دسترسی به فایل‌های سیستمی حساس.

فصل 5. شناسایی تهدیدات زمان واقعی

• استفاده از سیاست‌های امنیتی برای:
  • محدود کردن رفتارهای غیرعادی.
  • اعمال محدودیت‌ها بر اساس داده‌های تاریخی و رفتارهای پیش‌بینی‌شده.
• یکپارچه‌سازی ابزارهای شناسایی تهدید با Kubernetes Dashboard.

فصل 6. جلوگیری از فعالیت‌های مخرب در سطح Pod

• جلوگیری از حملات Sidecar:
  • شناسایی و مسدود سازی کانتینرهای مشکوک.
• بررسی و محدود سازی دسترسی Podها به منابع خارجی.
• استفاده از ابزارهای مانیتورینگ شبکه برای جلوگیری از نفوذ به محیط زمان اجرا.

فصل 7. ارتباط با تیم‌های Dev SecOps

• معرفی فرآیندهای Dev SecOps برای:
  • یکپارچه‌سازی امنیت در زمان اجرا.
  • تعریف چک‌لیست‌های امنیتی برای Runtime Security.
• خودکارسازی شناسایی و پاسخ به رخدادها در زمان اجرا.

بخش 8. ایمن‌سازی زنجیره تامین نرم‌افزار (Supply Chain Security)

فصل 1. بررسی امنیت کد منبع

• ابزارهای تحلیل کد: بررسی آسیب‌پذیری‌های موجود در کد منبع.
• استفاده از SonarQube، Snyk و ابزارهای مشابه.
• شناسایی آسیب‌پذیری‌های امنیتی در کتابخانه‌های شخص ثالث.

فصل 2. مدیریت امنیت تصاویر کانتینر

• اسکن تصاویر کانتینر برای شناسایی آسیب‌پذیری‌ها:
  • ابزارها: Trivy، Clair، Anchore.
• کاهش سطح حمله:
  • حداقل‌سازی لایه‌های تصاویر کانتینر.
  • استفاده از تصاویر رسمی و معتبر.
• جلوگیری از اجرای کانتینرهای ناسازگار یا بدون تأیید.

فصل 3. تأیید اعتبار و امضای تصاویر کانتینر

• ابزارها:
  • Cosign: امضای دیجیتال تصاویر.
  • Notary: تأیید صحت و اعتبار تصاویر کانتینر.
• ایجاد یک خط لوله تأیید اعتبار در فرآیند CI/CD.

فصل 4. مدیریت بسته‌ها و وابستگی‌ها

• استفاده از ابزارهای مدیریت بسته:
  • Dependabot: شناسایی آسیب‌پذیری‌های وابستگی‌ها.
  • OWASP Dependency-Check.
• کنترل نسخه و به‌روزرسانی امن کتابخانه‌های شخص ثالث.

فصل 5. پیاده‌سازی DevSecOps

• ادغام امنیت در چرخه توسعه نرم‌افزار:
  • بررسی خودکار آسیب‌پذیری‌ها در هر مرحله از CI/CD.
• استفاده از سیاست‌های امنیتی خودکار:
  • ابزارهایی مانند OPA/Gatekeeper.
• آموزش تیم توسعه در مورد اصول امنیت سایبری.

فصل 6. مقابله با تهدیدات در زنجیره تأمین

• جلوگیری از تزریق کد مخرب:
  • استفاده از امضاهای دیجیتال برای کد منبع.
• مقابله با حملات Supply Chain:
  • شناسایی منابع غیر معتبر و تأمین‌کنندگان مشکوک.
• کنترل دسترسی به سیستم‌های توسعه و انتشار.

فصل 7. مستندسازی و ارزیابی امنیتی زنجیره تأمین

• ایجاد سیاست‌های امنیتی شفاف برای توسعه‌دهندگان و تیم‌های DevOps.
• ارزیابی دوره‌ای امنیت زنجیره تأمین:
  • استفاده از Kube-bench برای بررسی امنیتی Kubernetes.
• اجرای تست‌های نفوذ برای شناسایی آسیب‌پذیری‌ها.

فصل 8. نظارت و گزارش‌دهی

• ابزارهای مانیتورینگ زنجیره تأمین:
  • Prometheus و Grafana برای مشاهده رفتارهای مشکوک.
• مدیریت رخدادهای امنیتی:
  • لاگ‌گیری و تجزیه‌وتحلیل با ابزارهایی مانند Fluentd و ELK Stack.

بخش 9. شناسایی و پاسخ به رخدادها

فصل 1. مدیریت رخدادهای امنیتی

• شناسایی انواع رخدادهای امنیتی در کلاستر Kubernetes.
• طبقه‌بندی رخدادها بر اساس شدت و اولویت.
• استفاده از ابزارهای مدیریت رخداد (Incident Response Tools).

فصل 2. ابزارهای مانیتورینگ و لاگ‌گیری

• Prometheus و Grafana:
  • مانیتورینگ منابع و رفتارهای سیستم.
  • ایجاد هشدارهای پیشرفته برای رخدادهای غیرعادی.
• Kubernetes Audit Logs:
  • پیگیری عملیات کاربرها، Podها، و دیگر منابع Kubernetes.
  • بررسی تغییرات غیرمجاز و شناسایی اقدامات مشکوک.
• ELK Stack (Elasticsearch, Logstash, Kibana):
  • جمع‌آوری و تحلیل لاگ‌ها برای شناسایی رخدادها.
• Fluentd:
  • مدیریت جریان داده‌های لاگ و ارسال به سیستم‌های تحلیل.

فصل 3. شناسایی رفتارهای غیرعادی در کلاستر

• استفاده از ابزارهای شناسایی تهدیدات:
  • Falco: شناسایی فعالیت‌های غیرعادی در زمان اجرا.
  • Sysdig: تحلیل رفتار کانتینرها و Podها.
• مانیتورینگ منابع کلاستر (CPU، RAM، شبکه) برای شناسایی استفاده غیرعادی.

فصل 4. بررسی رخدادهای مشکوک

• تجزیه و تحلیل لاگ‌های Podها و سرویس‌ها.
• شناسایی تغییرات ناخواسته در Config Maps، Secrets، و منابع دیگر.
• استفاده از ابزارهایی مانند kube-hunter برای ارزیابی آسیب‌پذیری‌های امنیتی.

فصل 5. اقدامات مقابله‌ای (Countermeasures)

• مسدود کردن دسترسی منابع مشکوک:
  • اعمال تغییرات فوری در RBAC برای محدود کردن دسترسی.
  • غیرفعال کردن سرویس‌ها یا Podهای آلوده.
• ایمن‌سازی دوباره کلاستر:
  • بازبینی و اعمال سیاست‌های امنیتی.
  • به‌روزرسانی سریع تصاویر کانتینر و Patchهای امنیتی.

فصل 6. پاسخ به رخدادهای سایبری (Cyber Incident Response)

• ایجاد تیم پاسخگویی (Incident Response Team).
• مستندسازی رخدادها:
  • ثبت زمان، علت، و مراحل انجام‌شده برای پاسخگویی.
• پیاده‌سازی برنامه‌های بازیابی برای بازگرداندن عملکرد کلاستر به حالت پایدار.

فصل 7. آموزش و آماده‌سازی تیم‌ها

• شبیه‌سازی سناریوهای حملات برای آمادگی بهتر.
• آموزش تیم‌ها برای استفاده از ابزارهای شناسایی و پاسخ.

فصل 8. اقدامات پیشگیرانه برای آینده

• بازبینی منظم زیرساخت‌های امنیتی کلاستر.
• به‌روزرسانی مستمر سیاست‌ها و ابزارهای امنیتی.
• پیاده‌سازی نظارت 24/7 برای جلوگیری از رخدادهای احتمالی

بخش 10. برنامه‌ریزی برای بازیابی و ادامه کار (Disaster Recovery)

فصل 1. مقدمه به Disaster Recovery در Kubernetes

• اهمیت بازیابی داده‌ها و خدمات در محیط‌های تولیدی
• اصول طراحی استراتژی بازیابی و ادامه کار
• ارزیابی ریسک‌ها و تعریف سناریوهای خرابی

فصل 2. پشتیبان‌گیری داده‌ها

• معرفی ابزارهای پشتیبان‌گیری:
  • Velero
  • Stash
  • Restic
• بهترین روش‌ها برای پشتیبان‌گیری منابع Kubernetes:
  • ConfigMaps
  • Secrets
  • Persistent Volume Claims (PVCs)
• خودکارسازی فرآیند پشتیبان‌گیری:
  • زمان‌بندی پشتیبان‌گیری‌ها
  • اسکریپت‌های Bash یا CI/CD Pipelines

فصل 3. بازیابی کلاستر (Cluster Recovery)

• بازیابی از پشتیبان‌ها:
  • مراحل بازیابی با Velero یا Stash
• بازسازی Control Plane:
  • استفاده از etcd snapshots
  • بازسازی کامل Master Nodes
• بازیابی Data Plane:
  • بازسازی Worker Nodes و Pods
• بررسی سلامت و سازگاری کلاستر پس از بازیابی

فصل 4. استراتژی‌های بازیابی

• Active-Passive Disaster Recovery:
  • تعریف یک کلاستر پشتیبان (Standby Cluster)
• Active-Active Disaster Recovery:
  • کلاسترهای همزمان و توزیع بار
• Failover Scenarios:
  • طراحی و اجرای Failover برای دسترسی مداوم
• Hybrid Cloud Recovery:
  • استفاده از چندین ارائه‌دهنده ابر برای بازیابی

فصل 5. رمزنگاری و حفاظت از داده‌ها

• اطمینان از رمزنگاری داده‌ها در پشتیبان‌ها:
  • Encryption at Rest
  • Encryption in Transit
• مدیریت امنیت پشتیبان‌ها:
  • نگهداری امن فایل‌های پشتیبان در Object Storage

فصل 6. مدیریت بحران و برنامه‌ریزی عملیاتی

• طراحی فرآیندهای مدیریت بحران:
  • تخصیص نقش‌ها و مسئولیت‌ها
  • استفاده از Incident Response Playbooks
• شبیه‌سازی سناریوهای خرابی:
  • Chaos Engineering
  • ابزارهایی مانند Litmus Chaos یا Gremlin
• مستند سازی مراحل بازیابی:
  • ایجاد Checklists و Guidelines

فصل 7. آزمایش و بهبود فرآیند بازیابی

• آزمایش دوره‌ای پشتیبان‌ها:
  • اطمینان از سالم بودن نسخه‌های پشتیبان
  • زمان‌بندی تست‌های بازیابی
• نظارت بر فرآیند بازیابی:
  • ابزارهای لاگ‌گیری و مانیتورینگ (Prometheus، Grafana)
• بهینه‌سازی فرآیندها پس از هر آزمایش

فصل 8. ابزارهای متن‌باز مرتبط

• Velero: ابزار پشتیبان‌گیری و بازیابی
• Stash: پشتیبان‌گیری برای Kubernetes
• LitmusChaos: آزمایش خرابی‌ها
• etcdctl: مدیریت داده‌های etcd
• Fluentd/ELK: مانیتورینگ لاگ‌های بازیابی

فصل 9. ارزیابی و طراحی برنامه‌های بازیابی

• تعریف Recovery Point Objective (RPO) و Recovery Time Objective (RTO)
• ارزیابی هزینه‌ها و زمان‌بندی برای بازیابی در سناریوهای مختلف
• طراحی یک سیستم هشدار برای مشکلات احتمالی در فرآیند بازیابی

جمع‌بندی

این دوره به شما کمک می‌کند مهارت‌های لازم برای محافظت از کلاسترهای Kubernetes در برابر تهدیدات مختلف را کسب کنید. همچنین توانایی استفاده از ابزارهای پیشرفته و به‌روز امنیتی را خواهید داشت. دریافت مدرک CKS شما را به یک متخصص معتبر در زمینه امنیت Kubernetes تبدیل می‌کند که توانایی مدیریت امنیت در محیط‌های پیچیده تولیدی را دارد.