A l'issue de cette formation, vous serez capable de :

_x000D_

_x000D_
• Identifier les bonnes pratiques de sécurité dans Kubernetes
_x000D_
• Mettre en oeuvre des outils de sécurisation des registres de conteneurs
_x000D_
• Appliquer des outils de conformité dans un environnement Kubernetes
_x000D_
• Déployer des outils de sécurité dynamiques dans un cluster Kubernetes
_x000D_
• Concevoir et intégrer des politiques de sécurité adaptées à vos besoins.
_x000D_

Jour 1 - Matin

_x000D_

Principes fondamentaux et socles technologiques de sécurité

_x000D_

Fondamentaux des conteneurs et de la sécurité

_x000D_

_x000D_
• Evolution vers les architectures basées sur les conteneurs
_x000D_
• Caractéristiques d'un conteneur (immuabilité, portabilité)
_x000D_
• Risques associés (surface d'attaque, isolation insuffisante)
_x000D_

_x000D_

Sécurité des technologies sous-jacentes

_x000D_

_x000D_
• Fonctionnement des namespaces (PID, NET, MNT...)
_x000D_
• Control Groups (cgroups) : isolation des ressources
_x000D_
• Rôle du noyau et des OS adaptés aux conteneurs
_x000D_

_x000D_

Exemples de travaux pratiques (à titre indicatif)

_x000D_

_x000D_
• Déploiement d'un cluster EKS sur AWS
_x000D_
• Création / configuration d'un utilisateur
_x000D_
• Personnalisation de kubeconfig pour accès sécurisé
_x000D_

_x000D_

Jour 1 - Après-midi

_x000D_

Sécurisation des moteurs de containers et registres

_x000D_

Sécurité Docker et OCI

_x000D_

_x000D_
• Configuration sécurisée du daemon Docker
_x000D_
• Bonnes pratiques Dockerfile (USER, COPY, RUN...)
_x000D_
• Sécurité des images : scan automatique, vulnérabilités
_x000D_
• Qu'en dit l'ANSSI ?
_x000D_

_x000D_

Ecosystème OCI et évolutions

_x000D_

_x000D_
• Containerd et runc : remplacement de Docker Engine
_x000D_
• Initiative OCI : standardisation des formats
_x000D_
• MicroVM et Unikernels : sécurité renforcée à l'exécution
_x000D_

_x000D_

Exemples de travaux pratiques (à titre indicatif)

_x000D_

_x000D_
• Déploiement du registre Harbor
_x000D_
• Découverte des fonctionnalités de sécurité du registre
_x000D_
• Filtrage par worker Kubernetes
_x000D_
• Sécurisation des accès au registre (authentification, rôles)
_x000D_
• Utilisation de Trivy pour scan d'image et détection de CVE
_x000D_

_x000D_

Jour 2 - Matin

_x000D_

Sécurité réseau, RBAC et Service Mesh

_x000D_

Sécurité dans l'orchestration Kubernetes

_x000D_

_x000D_
• Menaces spécifiques au CaaS (exposition API...)
_x000D_
• Contrôle des accès : utilisateurs, rôles, RoleBinding
_x000D_
• Chiffrement de données sensibles (secrets, etcd)
_x000D_

_x000D_

Réseau, CNI et Service Mesh

_x000D_

_x000D_
• Politique réseau native (NetworkPolicy)
_x000D_
• Plugins CNI : Calico, Cilium...
_x000D_
• Istio : sécurité, routage dynamique, Mutual TLS
_x000D_
• Visibilité via eBPF
_x000D_

_x000D_

Exemples de travaux pratiques (à titre indicatif)

_x000D_

_x000D_
• Déploiement d'une application multipods
_x000D_
• Création de NetworkPolicies pour interdire certains flux
_x000D_
• Intégration d'un microservice dans Istio
_x000D_
• Gestion TLS, routage, jaeger / grafana pour visualisation
_x000D_

_x000D_

Jour 2 - Après-midi

_x000D_

Conformité, sécurité dynamique et politiques avancées

_x000D_

Ecosystème CNCF et outils de sécurité

_x000D_

_x000D_
• CNCF : Falco, Kyverno, OPA, Kubesploit, Kube-Bench
_x000D_
• Chaîne de sécurité des artefacts (supply chain)
_x000D_
• Cas d'usage : détection, prévention, audit
_x000D_

_x000D_

Déploiement et gestion de politiques avancées

_x000D_

_x000D_
• Signature et vérification d'image avec Cosign
_x000D_
• Politiques Kyverno : forcer des labels, registres, contraintes
_x000D_
• Sécurité dynamique : règles de surveillance personnalisées
_x000D_

_x000D_

Exemples de travaux pratiques (à titre indicatif)

_x000D_

_x000D_
• Déploiement Falco et personnalisation des règles
_x000D_
• Création de politiques Kyverno : forcer un registre, limites CPU / mémoire
_x000D_
• Déploiement de Cosign avec Harbor pour signer et vérifier les images
_x000D_
• Sécurisation du CoreDNS
_x000D_
• Gestion automatisée des secrets et LimitRanges
_x000D_