menu
arrow_back
Retour

Renforcer la sécurité des configurations par défaut des clusters GKE

—/100

Checkpoints

arrow_forward

Create a simple GKE cluster

Deploy a pod that mounts the host filesystem

Deploy a second node pool

Deploy PodSecurityPolicy objects

Deploy a blocked pod that mounts the host filesystem

Renforcer la sécurité des configurations par défaut des clusters GKE

1 heure 30 minutes 9 crédits

GSP496

Google Cloud – Ateliers adaptés au rythme de chacun

Présentation

Cet atelier explique certains problèmes de sécurité posés par la configuration par défaut des clusters GKE. Vous allez voir quelles mesures de renforcement de la sécurité permettent d'éviter d'avoir plusieurs chemins d'échappement des pods ou une élévation des privilèges des clusters. Les possibilités de piratage augmentent dans les scénarios suivants :

  1. Une faille présente dans une application de pod externe, qui ouvre la voie à des attaques telles que la falsification de requête côté serveur (Server Side Request Forgery, SSRF).
  2. Un conteneur entièrement compromis au sein d'un pod et qui rend possible l'exécution de commandes à distance (Remote Command Execution, RCE).
  3. Un utilisateur interne malveillant ou un pirate informatique disposant des identifiants d'un utilisateur interne, ce qui lui permet de créer/mettre à jour un pod dans un espace de noms donné.

Cet atelier a été conçu par les ingénieurs de GKE Helmsman pour vous aider à mieux comprendre comment renforcer la sécurité des configurations par défaut des clusters GKE.

*The example code for this lab is provided as-is without warranty or guarantee*

Objectifs

À l'issue de cet atelier, vous comprendrez la nécessité de protéger les métadonnées de l'instance GKE et de définir des règles PodSecurityPolicy appropriées à votre environnement.

Vous découvrirez comment :

  1. créer un petit cluster GKE à l'aide des paramètres par défaut ;

  2. valider les chemins d'échappement des pods et d'élévation des privilèges des clusters les plus courants pour un utilisateur interne malveillant ;

  3. renforcer le cluster GKE pour corriger ces problèmes ;

  4. vérifier que le cluster ne permet plus ces actions.

Inscrivez-vous sur Qwiklabs pour consulter le reste de cet atelier, et bien plus encore.

  • Obtenez un accès temporaire à Google Cloud Console.
  • Plus de 200 ateliers, du niveau débutant jusqu'au niveau expert.
  • Fractionné pour vous permettre d'apprendre à votre rythme.
Inscrivez-vous pour démarrer cet atelier