Google Kubernetes Engine Security Workshop

Theorie:

• Präzise Rollen und Berechtigungen (IAM, least privilege)
• Workload Identity zur sicheren Verknüpfung von Pods mit Google Cloud IAM
• VPC Service Controls für zusätzliche Isolation
• Network Policies zur Steuerung der Pod-Kommunikation
• Private GKE-Cluster
• Node-Security mit Shielded Nodes
• Verschlüsselung von Daten im Ruhezustand (Standard)
• Customer-Managed Encryption Keys (CMEK) einsetzen
• Secret Manager statt Kubernetes Secrets verwenden
• Binary Authorization für kontrollierte Deployments
• Admission Policies (Kyverno, PSA)
• GKE Sandbox (gVisor) für zusätzliche Isolation
• Audit Logs aktivieren

Labore:

• RBAC konfigurieren und least privilege testen
• Network Policies schreiben und absichern (z. B. blockierter Zugriff zwischen Namespaces)
• Einen privaten GKE-Cluster einrichten
• Audit Logging aktivieren und Ereignisse analysieren
• Etcd- und Secret-Verschlüsselung konfigurieren
• Binary Authorization einrichten und nur signierte Images zulassen
• Admission Policies mit Kyverno oder PodSecurity durchsetzen
• Sandbox/gVisor
• Runtime-Security

Individueller Firmenworkshop

Dieser Workshop kann auf Wunsch auch firmenintern und maßgeschneidert auf Ihre Umgebung, Strategie und Zielsetzung durchgeführt werden.
So profitieren Teams direkt von praxisrelevanten Beispielen aus ihrem eigenen Unternehmenskontext.