Das Seminar entwickelt ein mehrschichtiges Sicherheitsmodell für Karmada Control Plane und Mitgliedscluster. Identitäten, RBAC, Clusterzugangsdaten, Mandantentrennung, Policy Enforcement, Secrets, Supply Chain, Audit und Compliance-Nachweise werden praktisch verbunden.
Inhaltsübersicht
- Zielsetzung
- Teilnehmerkreis
- Voraussetzungen
- Lernumgebung
- Bedrohungsmodell und Vertrauensgrenzen
- Identitäten und RBAC in der Control Plane
- Berechtigungen in Mitgliedsclustern
- Mandantentrennung und Governance
- Policy Enforcement und Compliance
- Secrets und Schlüsselmanagement
- Software Supply Chain
- Audit, Monitoring und Nachweise
- Break-Glass und Incident Response
Zielsetzung
Die Seminarinhalte verbinden technische Einordnung, nachvollziehbare Konfiguration und kontrollierte Betriebsprüfung.
- Bedrohungen und Vertrauensgrenzen einer Karmada-Plattform analysieren
- Rollen und Service Accounts nach Least Privilege gestalten
- Clusterzugangsdaten und Secrets sicher verwalten und rotieren
- Mandanten- und Compliance-Grenzen mit Richtlinien durchsetzen
- Audit-, Nachweis- und Notfallverfahren betriebsfähig einrichten
Teilnehmerkreis
Security Engineers, Kubernetes- und Plattformadministratoren, Cloud-Sicherheitsverantwortliche, Auditoren und technische Architekten.
Voraussetzungen
Fundierte Kubernetes-RBAC-, Service-Account-, Secret-, TLS- und Policy-Kenntnisse. Karmada-Architektur, Clusterregistrierung und Ressourcenverteilung müssen verstanden werden.
Lernumgebung
Die Übungen werden in einer isolierten Multi-Cluster-Laborumgebung mit einer Karmada Control Plane und mehreren Kubernetes-Mitgliedsclustern durchgeführt. Alle Arbeitsschritte werden über deklarative Manifeste, kubectl, karmadactl und die jeweils erforderlichen Diagnosewerkzeuge nachvollzogen. Änderungen werden vor der Anwendung geprüft und nach der Anwendung anhand von Status, Events und Zielressourcen validiert.
1. Bedrohungsmodell und Vertrauensgrenzen
Schutzmaßnahmen werden aus konkreten Angriffs- und Fehlkonfigurationsszenarien abgeleitet.
Inhalte
- Control Plane als zentraler Vertrauensanker
- Mitgliedscluster und Agent
- Administrations- und Automationszugriffe
- Supply Chain
- Netzwerk- und Webhook-Grenzen
- Blast Radius
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Bedrohungsmodell und Vertrauensgrenzen“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Ein Bedrohungsmodell mit Assets, Akteuren, Angriffswegen und Schutzmaßnahmen erstellen.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
2. Identitäten und RBAC in der Control Plane
Benutzer, Gruppen und Automationskonten erhalten nur die für ihre Aufgabe erforderlichen Rechte.
Inhalte
- Karmada API und Kubernetes RBAC
- Roles und ClusterRoles
- RoleBindings und ClusterRoleBindings
- Aggregation
- Impersonation
- Rechteanalyse
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Identitäten und RBAC in der Control Plane“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Rollen für Plattformbetrieb, Anwendungsteam und Nur-Lese-Revision konfigurieren und testen.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
3. Berechtigungen in Mitgliedsclustern
Push- und Pull-Modelle erzeugen unterschiedliche Credential- und Berechtigungsrisiken.
Inhalte
- karmadactl join Credentials
- Karmada Agent Service Account
- Minimalrechte
- Credential-Laufzeit
- Rotation und Entzug
- kompromittierter Cluster
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Berechtigungen in Mitgliedsclustern“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Berechtigungen eines registrierten Clusters prüfen, reduzieren und anschließend rotieren.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
4. Mandantentrennung und Governance
Namespaces, Clustergruppen und Richtlinien werden so kombiniert, dass Teams sich nicht gegenseitig beeinflussen.
Inhalte
- Namespace-Modell
- Policy-Erstellrechte
- Clusterselektoren und zulässige Ziele
- Quoten
- Admission Policies
- Self-Service mit Guardrails
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Mandantentrennung und Governance“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Zwei Mandanten mit getrennten Zielclustern, Quoten und eingeschränkten Policy-Rechten einrichten.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
5. Policy Enforcement und Compliance
Sicherheits- und Compliance-Regeln müssen vor und nach der Verteilung wirksam bleiben.
Inhalte
- Validating Admission Policy
- OPA- oder Kyverno-Muster
- Pod Security Standards
- Image- und Registry-Regeln
- regionale Datenresidenz
- Ausnahmen und Genehmigung
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Policy Enforcement und Compliance“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Eine Richtlinie zur Imageherkunft und eine zweite zur regionalen Platzierung durchsetzen.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
6. Secrets und Schlüsselmanagement
Sensible Daten dürfen nicht unkontrolliert in Control Plane, Git oder Mitgliedsclustern vervielfältigt werden.
Inhalte
- Kubernetes Secrets
- Verschlüsselung at rest
- externe Secret-Stores
- Secret-Synchronisation
- Rotation
- Zugriffs- und Verwendungsnachweis
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Secrets und Schlüsselmanagement“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Ein Secret-Verteilungs- und Rotationsmodell für mehrere Cluster umsetzen.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
7. Software Supply Chain
Images, Charts und Konfigurationsartefakte werden vor der globalen Verteilung verifiziert.
Inhalte
- vertrauenswürdige Registries
- Signaturen und Provenienz
- SBOM
- Vulnerability Gates
- Policy as Code
- Promotion und Quarantäne
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Software Supply Chain“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Eine signatur- und registrybasierte Freigaberegel in einen Auslieferungsablauf integrieren.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
8. Audit, Monitoring und Nachweise
Sicherheitsrelevante Änderungen müssen zeitnah erkannt und revisionsfähig belegt werden.
Inhalte
- API Audit Logs
- Policy- und RBAC-Änderungen
- Clusterregistrierung
- Secret-Zugriffe
- Alarmierung
- Aufbewahrung und Integrität
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Audit, Monitoring und Nachweise“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Einen Auditpfad für eine Policy-Änderung vom Benutzer bis zum Mitgliedscluster rekonstruieren.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
9. Break-Glass und Incident Response
Notfallrechte benötigen stärkere Kontrollen als reguläre Administration.
Inhalte
- zeitlich begrenzte Privilegien
- Mehrpersonenfreigabe
- Credential-Ausgabe
- vollständiges Logging
- Entzug und Nachkontrolle
- Forensik und Wiederherstellung
Praxisablauf
- Ausgangszustand, Zugriffsrechte und technische Voraussetzungen für „Break-Glass und Incident Response“ prüfen.
- Vorhandene Objekte und Konfigurationen sichern und die vorgesehenen Änderungen als nachvollziehbare Manifeste vorbereiten.
- Einen kontrollierten Break-Glass-Ablauf testen und die anschließende Rechte- sowie Objektprüfung durchführen.
- Status, Events und erzeugte Objekte in der Karmada Control Plane sowie in den betroffenen Mitgliedsclustern vergleichen.
- Eine kontrollierte Abweichung oder einen Fehlerfall auslösen, Korrektur beziehungsweise Rollback durchführen und das Ergebnis dokumentieren.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-

René Launa
Telefon: + 43 (720) 022000
E-Mail: rené.launa@seminar-experts.at -

Adam Steyer
Telefon: + 43 (720) 022000
E-Mail:
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: € 1.198 zzgl. MwSt. Inhaus: € 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Security Engineers, Kubernetes- und Plattformadministratoren, Cloud-Sicherheitsverantwortliche, Auditoren und technische Architekten. |
| Voraussetzungen: | Fundierte Kubernetes-RBAC-, Service-Account-, Secret-, TLS- und Policy-Kenntnisse. Karmada-Architektur, Clusterregistrierung und Ressourcenverteilung müssen verstanden werden. |
| Standorte: | Bregenz, Graz, Innsbruck, Klagenfurt, Linz, Salzburg, Wien |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 43 (720) 022000 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
