91精品国产综合久久四虎久久_国产成人午夜高潮毛片_99er视频精品免费观看_2020亚洲熟女在线观看_日本女优人体写真_国内黄色毛片_年轻的老师中文版在线_丰满女邻居做爰_久久久久久精品成人免费图片

 
Kubernetes安全指南
Kubernetes安全指南
Andrew Martin, Michael Hausenblas
劉吉安, 常崢, 成海霞 譯
出版時(shí)間:2023年12月
頁數(shù):324
“這是一本很棒的書,從攻擊者的角度全面介紹了他們可能如何嘗試破壞Kubernetes集群,以及你可以采取哪些措施來阻止他們?!?br /> ——Liz Rice
Isovalent首席開源官
“每個(gè)運(yùn)行基于Kubernetes的工作負(fù)載的團(tuán)隊(duì)的必備讀物?!?br /> ——Bilgin Ibryam
Red Hat產(chǎn)品經(jīng)理和《Kubernetes Patterns》的合著者

想要安全可靠地運(yùn)行你的Kubernetes工作負(fù)載嗎?本書提供了基于威脅的Kubernetes安全指南,每一章都會(huì)檢查特定組件的架構(gòu)和默認(rèn)設(shè)置,并且回顧現(xiàn)有的備受矚目的攻擊和歷史上的通用漏洞披露(CVE)。本書作者分享了最佳實(shí)踐配置,幫助你從可能被攻擊的角度來強(qiáng)化集群。
本書從具有內(nèi)置默認(rèn)設(shè)置的Vanilla Kubernetes開始,你將檢查運(yùn)行任意工作負(fù)載的分布式系統(tǒng)的抽象威脅模型,然后對(duì)安全Kubernetes系統(tǒng)的每個(gè)組件進(jìn)行詳細(xì)評(píng)估。
● 通過威脅建模來了解Kubernetes系統(tǒng)的漏洞。
● 聚焦pod,從配置到攻防。
● 保護(hù)你的集群和工作負(fù)載流量。
● 使用RBAC、OPA和Kyverno定義和實(shí)施策略。
● 深入研究沙箱和隔離技術(shù)。
● 了解如何檢測(cè)和減輕供應(yīng)鏈攻擊。
● 探索靜態(tài)文件系統(tǒng)、卷和敏感信息。
● 發(fā)現(xiàn)在集群中運(yùn)行多租戶工作負(fù)載時(shí)可能出現(xiàn)的問題。
● 了解即使你已采取控制措施,如果有攻擊者闖入,你可以做什么。
  1. 前言
  2. 第1章 概述
  3. 1.1 場景介紹
  4. 1.2 威脅模型
  5. 1.2.1 威脅主體
  6. 1.2.2 第一個(gè)威脅模型
  7. 1.3 關(guān)于攻擊樹
  8. 1.4 攻擊樹案例
  9. 1.5 現(xiàn)有的技術(shù)
  10. 1.6 小結(jié)
  11. 第2章 pod資源詳情
  12. 2.1 默認(rèn)配置
  13. 2.2 威脅模型
  14. 2.3 對(duì)攻擊的剖析
  15. 2.3.1 遠(yuǎn)程代碼執(zhí)行
  16. 2.3.2 網(wǎng)絡(luò)攻擊面
  17. 2.4 Kubernetes工作負(fù)載:pod中的應(yīng)用程序
  18. 2.5 什么是pod?
  19. 2.6 了解容器
  20. 2.6.1 共享網(wǎng)絡(luò)和存儲(chǔ)
  21. 2.6.2 最壞的情況可能會(huì)是什么?
  22. 2.6.3 容器逃逸
  23. 2.7 pod配置和威脅
  24. 2.7.1 pod頭部
  25. 2.7.2 反向正常運(yùn)行時(shí)間
  26. 2.7.3 標(biāo)簽
  27. 2.7.4 托管字段
  28. 2.7.5 pod命名空間和所有者
  29. 2.7.6 環(huán)境變量
  30. 2.7.7 容器鏡像
  31. 2.7.8 pod探針
  32. 2.7.9 CPU和內(nèi)存限制和請(qǐng)求
  33. 2.7.10 DNS
  34. 2.7.11 pod securityContext
  35. 2.7.12 pod Sevice Accounts
  36. 2.7.13 調(diào)度器和容忍度
  37. 2.7.14 pod卷定義
  38. 2.7.15 pod網(wǎng)絡(luò)狀態(tài)
  39. 2.8 正確使用securityContext
  40. 2.8.1 使用Kubesec增強(qiáng)securityContext
  41. 2.8.2 強(qiáng)化的securityContext
  42. 2.9 進(jìn)入風(fēng)暴中心
  43. 2.10 小結(jié)
  44. 第3章 容器運(yùn)行時(shí)隔離
  45. 3.1 默認(rèn)配置
  46. 3.2 威脅模型
  47. 3.3 容器,虛擬機(jī)和沙盒
  48. 3.3.1 虛擬機(jī)是如何工作的
  49. 3.3.2 虛擬化的好處
  50. 3.3.3 容器有哪些問題?
  51. 3.3.4 用戶命名空間缺陷
  52. 3.4 沙盒化(sandboxing)
  53. 3.4.1 gVisor
  54. 3.4.2 Firecracker
  55. 3.4.3 Kata Container
  56. 3.4.4 rust-vmm
  57. 3.5 沙盒化的風(fēng)險(xiǎn)
  58. 3.6 Kubernetes運(yùn)行時(shí)類
  59. 3.7 本章小結(jié)
  60. 第4章 應(yīng)用程序和供應(yīng)鏈
  61. 4.1 默認(rèn)配置
  62. 4.2 威脅模型
  63. 4.3 供應(yīng)鏈
  64. 4.3.1 軟件
  65. 4.3.2 掃描CVE
  66. 4.3.3 采用開源軟件
  67. 4.3.4 我們應(yīng)該相信哪些生產(chǎn)商?
  68. 4.4 CNCF安全技術(shù)咨詢組
  69. 4.4.1 架構(gòu)容器化應(yīng)用以提高彈性
  70. 4.4.2 檢測(cè)木馬
  71. 4.5 攻擊供應(yīng)鏈
  72. 4.5.1 攻擊的持續(xù)性
  73. 4.5.2 系統(tǒng)面臨的風(fēng)險(xiǎn)
  74. 4.6 容器鏡像構(gòu)建供應(yīng)鏈
  75. 4.6.1 軟件工廠
  76. 4.6.2 神圣的鏡像工廠
  77. 4.6.3 基礎(chǔ)鏡像
  78. 4.7 容器供應(yīng)鏈的狀態(tài)
  79. 4.7.1 來自第三方代碼的風(fēng)險(xiǎn)
  80. 4.7.2 軟件材料清單
  81. 4.7.3 人類身份和GPG
  82. 4.8 對(duì)構(gòu)建和元數(shù)據(jù)簽名
  83. 4.8.1 Notary v1
  84. 4.8.2 sigstore
  85. 4.8.3 in-toto和TUF
  86. 4.8.4 GCP二進(jìn)制授權(quán)
  87. 4.8.5 Grafeas
  88. 4.9 基礎(chǔ)設(shè)施供應(yīng)鏈
  89. 4.9.1 Operator權(quán)限
  90. 4.9.2 攻擊上游供應(yīng)鏈
  91. 4.10 供應(yīng)鏈攻擊的類型
  92. 4.10.1 攝取開源代碼
  93. 4.10.2 貫穿SDLC的應(yīng)用程序漏洞
  94. 4.11 防御SUNBURST
  95. 4.12 小結(jié)
  96. 第5章 網(wǎng)絡(luò)
  97. 5.1 默認(rèn)配置
  98. 5.1.1 pod內(nèi)網(wǎng)絡(luò)
  99. 5.1.2 pod間通信
  100. 5.1.3 pod與工作節(jié)點(diǎn)間的流量
  101. 5.1.4 集群外部流量
  102. 5.1.5 ARP的狀態(tài)
  103. 5.1.6 無securityContext
  104. 5.1.7 無工作負(fù)載身份
  105. 5.1.8 無網(wǎng)絡(luò)傳輸加密
  106. 5.2 威脅模型
  107. 5.3 流量流向控制
  108. 5.3.1 安裝
  109. 5.3.2 網(wǎng)絡(luò)策略前來救援!
  110. 5.4 服務(wù)網(wǎng)格
  111. 5.4.1 概念
  112. 5.4.2 選項(xiàng)和采用
  113. 5.4.3 案例研究:使用Linkerd的mTLS
  114. 5.5 eBPF
  115. 5.5.1 概念
  116. 5.5.2 選項(xiàng)和采用
  117. 5.5.3 案例研究:將探針附加到Go程序
  118. 5.6 小結(jié)
  119. 第6章 存儲(chǔ)
  120. 6.1 默認(rèn)配置
  121. 6.2 威脅模型
  122. 6.3 卷和數(shù)據(jù)存儲(chǔ)
  123. 6.3.1 一切皆是字節(jié)流
  124. 6.3.2 何為文件系統(tǒng)?
  125. 6.3.3 容器中的卷和掛載
  126. 6.3.4 OverlayFS
  127. 6.3.5 tmpfs
  128. 6.3.6 掛載卷打破了容器隔離
  129. 6.3.7 基于/proc/self/exe的漏洞
  130. 6.4 靜態(tài)的敏感信息
  131. 6.4.1 Secret掛載
  132. 6.4.2 攻擊掛載的Secret
  133. 6.5 Kubernetes存儲(chǔ)
  134. 6.5.1 容器存儲(chǔ)接口
  135. 6.5.2 投射卷
  136. 6.5.3 攻擊卷
  137. 6.5.4 主機(jī)目錄掛載的風(fēng)險(xiǎn)
  138. 6.5.5 從數(shù)據(jù)存儲(chǔ)中泄露的其他Secret
  139. 6.6 小結(jié)
  140. 第7章 硬性多租戶
  141. 7.1 默認(rèn)配置
  142. 7.2 威脅模型
  143. 7.3 命名空間資源
  144. 7.3.1 節(jié)點(diǎn)池
  145. 7.3.2 節(jié)點(diǎn)污點(diǎn)
  146. 7.4 軟性多租戶
  147. 7.5 硬性多租戶
  148. 7.5.1 敵對(duì)租戶
  149. 7.5.2 沙盒和策略
  150. 7.5.3 公有云多租戶
  151. 7.6 控制平面
  152. 7.6.1 API server和etcd
  153. 7.6.2 調(diào)度器和控制器管理器
  154. 7.7 數(shù)據(jù)平面
  155. 7.8 集群隔離架構(gòu)
  156. 7.9 集群支持服務(wù)和工具環(huán)境
  157. 7.10 安全監(jiān)控和可見性
  158. 7.11 小結(jié)
  159. 第8章 策略
  160. 8.1 策略的類型
  161. 8.2 云服務(wù)提供商
  162. 8.2.1 網(wǎng)絡(luò)流量
  163. 8.2.2 限制資源分配
  164. 8.2.3 資源配額
  165. 8.2.4 運(yùn)行時(shí)策略
  166. 8.2.5 訪問控制策略
  167. 8.3 威脅模型
  168. 8.4 普遍預(yù)期
  169. 8.4.1 碎玻璃場景
  170. 8.4.2 審計(jì)
  171. 8.5 認(rèn)證和授權(quán)
  172. 8.5.1 人類用戶
  173. 8.5.2 工作負(fù)載身份
  174. 8.6 基于角色的訪問控制(RBAC)
  175. 8.6.1 RBAC回顧
  176. 8.6.2 一個(gè)簡單的RBAC例子
  177. 8.6.3 創(chuàng)建RBAC
  178. 8.6.4 分析和可視化RBAC
  179. 8.6.5 RBAC相關(guān)的攻擊
  180. 8.7 通用策略引擎
  181. 8.7.1 開放策略代理(OPA)
  182. 8.7.2 Kyverno
  183. 8.7.3 其他策略方案
  184. 8.8 小結(jié)
  185. 第9章 入侵檢測(cè)
  186. 9.1 默認(rèn)配置
  187. 9.2 威脅模型
  188. 9.3 傳統(tǒng)的IDS
  189. 9.4 基于eBPF的IDS
  190. 9.4.1 Kubernetes和容器入侵檢測(cè)
  191. 9.4.2 Falco
  192. 9.5 基于機(jī)器學(xué)習(xí)方法的IDS
  193. 9.6 容器取證
  194. 9.7 蜜罐技術(shù)
  195. 9.8 審計(jì)
  196. 9.9 檢測(cè)規(guī)避
  197. 9.10 安全運(yùn)營中心
  198. 9.11 小結(jié)
  199. 第10章 組織
  200. 10.1 最薄弱的連接點(diǎn)
  201. 10.2 云服務(wù)提供商
  202. 10.2.1 責(zé)任共擔(dān)
  203. 10.2.2 賬戶衛(wèi)生
  204. 10.2.3 對(duì)人員和資源進(jìn)行分組
  205. 10.2.4 其他注意事項(xiàng)
  206. 10.3 本地環(huán)境
  207. 10.4 常見注意事項(xiàng)
  208. 10.4.1 威脅模型爆炸
  209. 10.4.2 SLO如何給你帶來額外的壓力
  210. 10.4.3 社會(huì)工程
  211. 10.4.4 隱私和監(jiān)管問題
  212. 10.5 小結(jié)
  213. 附錄A pod級(jí)攻擊
  214. 附錄B 資源
書名:Kubernetes安全指南
譯者:劉吉安, 常崢, 成海霞 譯
國內(nèi)出版社:中國電力出版社
出版時(shí)間:2023年12月
頁數(shù):324
書號(hào):978-7-5198-8373-7
原版書書名:Hacking Kubernetes
原版書出版商:O'Reilly Media
Andrew Martin
 
Andrew Martin是ControlPlane的CEO。
 
 
Michael Hausenblas
 
Michael Hausenblas是Go、Kubernetes和Red Hat的OpenShift的先驅(qū)開發(fā)者,他幫助AppOps構(gòu)建和運(yùn)行分布式服務(wù)。他有大規(guī)模數(shù)據(jù)處理和容器編排的背景,他在W3C和IETF的倡導(dǎo)和標(biāo)準(zhǔn)化方面有著豐富的經(jīng)驗(yàn)。在Red Hat之前,Michael曾在Mesosphere、MapR以及愛爾蘭和奧地利的兩個(gè)研究機(jī)構(gòu)工作。他貢獻(xiàn)開源軟件(主要是使用Go),博客,并經(jīng)?;钴S在Twitter上。

Michael是Amazon Web Service容器開發(fā)領(lǐng)域的倡導(dǎo)者。
 
 
本書封面上的動(dòng)物是一只南非灰頭麻鴨(學(xué)名:Tadorna cana)。它也被稱為海角鴨(Cape shelduck),是鴨科的一員,常見于非洲南部的濕地、湖泊、河流和池塘,主要分布在納米比亞。然而,在南方的冬天,它們會(huì)向東北遷徙到最喜歡的換羽地。
成年灰頭麻鴨的身體是栗褐色的,翅膀上有明顯的黑色、白色和綠色標(biāo)記。雄性鴨子的頭是灰色的,雌性則是白頭黑冠,可以通過頭部顏色來區(qū)分兩者。但是,雌性鴨子看起來與埃及鵝非常相似,在飛行時(shí)幾乎無法區(qū)分。這些迷人的鳥類也可以通過叫聲來識(shí)別:雄性的叫聲深沉如喇叭,雌性的叫聲更響亮更尖銳。
有趣的是,南非灰頭麻鴨營巢于其他動(dòng)物(尤其是土豚)廢棄的洞穴。當(dāng)雛鳥孵出后,親鳥將它們從巢穴帶到水域,科學(xué)家稱為“育苗池”。育苗池通常位于離巢1英里或2英里遠(yuǎn)的地方,池里有許多來自不同父母的幼鳥,由一個(gè)或多個(gè)成年鳥照顧。雛鳥無法飛行,對(duì)捕食者非常敏感,而這個(gè)托兒所可能是成年鳥保護(hù)它們的方式。
南非灰頭麻鴨盡管擁有潛水覓食的本領(lǐng),但它不經(jīng)常這么捕食。它們的食物包括草、水生植物、小魚、兩棲動(dòng)物、蟲子、蠕蟲和小型甲殼類動(dòng)物。它們是晝夜覓食者。盡管它們受《非洲-歐亞遷徙水鳥保護(hù)協(xié)定》(AEWA)的保護(hù),它們目前的保護(hù)狀況仍不需要特別關(guān)注。O’Reilly封面上的許多動(dòng)物都瀕臨滅絕,他們對(duì)世界都很重要。
購買選項(xiàng)
定價(jià):98.00元
書號(hào):978-7-5198-8373-7
出版社:中國電力出版社