Container & Kubernetes Defense feat. eBPF
Schulung & Kurs

Dreitägiges Bootcamp zur Verteidigung von Kubernetes auf professionellem Niveau. Erleben Sie wie eBPF Technologien Observability und Security revolutionieren

Security von Container- und Kubernetes-basierten Systeme ist nicht immer leicht unter Kontrolle zu halten. eBPF ist eine Technologie, die es uns ermöglicht, unsere gesamte Infrastruktur und Anwendungen quasi zu röntgen. Erleben Sie eine Kombination aus Observability-, Netzwerk-, Performance- und Sicherheits-eBPF-Tools um Ihre Security Experience in neuem Licht zu sehen. Damit weder Angreifer noch Vendoren Ihnen etwas vormachen können.

Kurse für Teams:

Gerne führen wir zugeschnittene Kurse für euer Team durch - vor Ort, remote oder in unseren Kursräumen.

In-House Kurs Anfragen

 

Kursinhalt:


Das Hauptziel dieses Kurses ist es, schnell das Wesentliche zu finden. Vom Verständnis der 8 grundlegenden Angriffsklassen über die Bekämpfung von Alert-Fatigue durch Anomalie-Detection bis hin zur maximalen Automatisierung.

- Container-Primitive DeepDive: Sicherheit beginnt mit den Grundlagen
- Erstellen von Container-Images: Wie man wahre Qualität misst
- Aufschlüsselung der Angriffsklassen von containerisierten Systemen unter Linux:
... - Container-Escapes
... - Volumes
... - Capabilities
... - Sockets
... - Rollen und Identitäten
... - Token-Impersonation
... - Sonstiges
- Verschiedene Ansätze zum effektiven Threat-Modelling
- Zero-Days und warum Anomalieerkennung wichtig ist
- Networkpolicies automatisiert absichern
- Wie man komplexe Rulesets auf dem neuesten Stand hält
- Entkopplung von Control-Loops und Eindämmung von Breaches
- EU CRA: Wie erreicht man Compliance mit dem vorgeschriebenen 24 Stunden Zeitfenster, einen Breach zu erkennen und melden
- Bedrohungen sichtbar machen:
... - Schwachstellen in Bibliotheken finden
... - Ausführung von verwundbarem Code blockieren
... - Wie man den RAM inspiziert
... - Wie man SSL-Traffic im Klartext mitlesen kann
... - Wie man Datenexfiltration identifiziert
- Forensische Speicherung vs. PII-Konformität
- Self-Audit: kontinuierliches und automatisiertes Hardening
- Optional: Identity federation, Linux Security Modules, "CVE des Tages"

Kernel-Kenntnisse sind NICHT notwendig, gutes allgemeines Linux Verständnis schon.

Der gesamte Kurs ist in live hands-on labs gehostet: Hier ein Beispiel https://labs.iximiuz.com/courses/discoverebpf-0d7c6c54


Disclaimer: Der effektive Kursinhalt kann, abhängig vom Trainer, Durchführung, Dauer und Konstellation der Teilnehmer:innen von obigen Angaben abweichen.

Ob wir es Schulung, Kurs, Workshop, Seminar oder Training nennen, wir möchten Teilnehmer/innen an ihrem Punkt abholen und mit dem nötigen praktischen Wissen ausstatten, damit sie die Technologie nach der Schulung direkt anwenden und eigenständig vertiefen können.

Ziel:

Verteidigen Sie Ihr Kubernetes effizient, konzentrieren Sie sich durch systematisches Verständnis auf das wirklich Relevante und automatisieren Sie den Rest.


Form:

Durch eine ausgewogene Mischung aus Theorie und Praxis führt unser erfahrener Trainer die Teilnehmer durch die verschiedenen Themen, begleitet durch Live-Demos und praktischen Übungen zur Vertiefung des Verständnisses.


Zielgruppe:

Software- oder Systemingenieure, Security Ingenieure, CISOs


Voraussetzungen:

Dieser Kurs ist nicht für Anfänger geeignet. Solide Linux-Kenntnisse sind erforderlich. Kubernetes-Grundlagen sind sehr hilfreich. Kenntnisse von Skriptsprachen und bash sind erforderlich.


Vorbereitung:

Jeder Teilnehmer erhält nach der Anmeldung einen Fragebogen und eine Vorbereitungs-Checkliste zugestellt. Wir stellen pro Teilnehmendem eine umfassende Laborumgebung bereits, so dass alle ihre eigenen Experimente und auch komplexen Szenarien direkt umsetzen können.

In-House Kurs anfragen:

In-House Kurs Anfragen

Trage dich in die Warteliste ein für weitere öffentliche Kurs-Termine. Sobald wir genügend Personen auf der Warteliste haben, klären wir einen möglichst für alle passenden Termin ab und schalten einen neuen Termin auf. Falls du direkt mit zwei Kollegen oder Kolleginnen teilnehmen möchtest, können wir sogar direkt einen öffentlichen Kurs für euch planen.

Warteliste

(Falls ihr bereits mehr 3 Teilnehmer:innen oder mehr habt, klären wir mit euch direkt euren Wunschtermin ab und schreiben den Kurs aus.)

Mehr über Kubernetes Defense und eBPF



Ein verteiltes System aus sich ständig bewegenden Teilen zu verteidigen, kann zur Sisyphus Aufgabe werden. Das Ökosystem der Cloud Native Compute Foundation (CNCF) hat mehrere ausgereifte Projekte hervorgebracht, die wir nutzen, um eine sowohl für Menschen als auch für Maschinen verständliche und umfassende Security Posture zu erreichen.



Dieser Kurs konzentriert hauptsächlich sich auf die Runtime, denn es ist hier wo die Breaches letztendlich passieren. Hierbei zählt die Runtime von Development und Build Componenten natürlich dazu.
Wir werden jedoch auch behandeln, wie die Sicherheit der Lieferkette eine entscheidende Rolle spielt.






Geschichte


eBPF (extended Berkeley Packet Filter) hat seine Wurzeln im klassischen Berkeley Packet Filter (BPF), der in den frühen 1990er Jahren zur effizienten Filterung von Netzwerkpaketen entwickelt wurde. Das moderne eBPF war ein signifikantes Redesign unter der Leitung von Alexei Starovoitov und wurde 2014 in den Linux-Kernel aufgenommen.


Der "erweiterte" Teil ist entscheidend: eBPF entwickelte sich von einem einfachen Paketfilter zu einer allgemeinen, eventdriven virtuellen Maschine im Linux-Kernel. Es ermöglicht das Anhängen von sandboxed Programmen an verschiedene Kernel-Hooks (Systemaufrufe, Netzwerkereignisse, Tracepoints), um die Kernel-Fähigkeiten sicher und effizient zu erweitern, ohne den Kernel-Quellcode zu ändern oder Kernel-Module zu laden.


Diese Programmierbarkeit hat eBPF zur Grundlage für eine neue Generation von Hochleistungs-Netzwerk-, Observability- und Sicherheitstools im Cloud-nativen Ökosystem gemacht, einschließlich Projekten wie Cilium, Falco, Pixie und Kubescape. Es wird jetzt von der eBPF Foundation unter der Linux Foundation verwaltet.