Kubernetes Forensics Intermédiaire - 3 jours - 3500€ HT
Description
Kubernetes s'est imposé comme la solution d’orchestration des infrastructures cloud-native modernes, automatisant le déploiement et l'expansion d'applications à grande échelle. Cette omniprésence en fait désormais un terrain d'investigation incontournable pour les analystes forensiques. L'architecture distribuée de la plateforme, la multiplicité de ses composants et le caractère volatile de ses charges de travail complexifient considérablement la collecte et la préservation des artefacts numériques.
En pratique, Kubernetes est souvent exploité au travers de services managés proposés par les principaux fournisseurs cloud, AWS, Azure et GCP. Cette formation intègre les spécificités de ces environnements, tout en explorant le fonctionnement interne de Kubernetes de manière agnostique, indépendamment de la plateforme.
La formation abordera dans un premier temps les fondamentaux de la conteneurisation et l'architecture type d'un cluster Kubernetes. Plusieurs approches d'analyse forensique seront ensuite présentées : certaines s'appuient sur le socle système des nœuds du cluster, tandis que d'autres exploitent les mécanismes de journalisation et les outils natifs mis à disposition par les fournisseurs cloud.
-
3 jours (21 heures)
-
Analyse de conteneurs et de clusters Kubernetes
Objectifs
- Comprendre l'architecture distribuée de Kubernetes et les artefacts numériques générés par ses composants
- Maîtriser les méthodologies de collecte et de préservation de preuves sur des environnements conteneurisés et volatils
- Réaliser des investigations forensiques sur des clusters managés (AWS, Azure, GCP) et des infrastructures agnostiques
Public et prérequis
Cette formation est adaptée pour des personnes souhaitant découvrir l’analyse forensique Kubernetes tout en approfondissant leurs connaissances en analyse de conteneurs. Elle s’adresse à toutes les personnes amenées à administrer ou investiguer des clusters Kubernetes.
-
Administrateurs système
-
Analystes SOC / CERT
-
DevOps / DevSecOps
De bonnes connaissances de Linux et de l’environnement shell sont fortement recommandées.
Contenu
Jour 1
Introduction : prise en main et panorama de l'investigation Kubernetes. Paysage de la menace Kube et conteneurs : volatilité des informations dans Kube, internals des conteneurs, container runtimes. Fondamentaux Kubernetes : architecture d’un cluster, modèle de permissions, faiblesses de Kubernetes, explorations et identifications de comportements suspects.
Jour 2
Collecte et réponse : checklist des artéfacts à collecter, CRIU et checkpoints, journaux d’audit et isolation de conteneurs. Analyse filesystem et mémoire : analyse de l’overlayfs, récupération de fichiers, analyse de la mémoire avec checkpoint, comparer des images.
Jour 3
Analyse réseau et outils : modèle réseau Kubernetes et implications forensiques, capture du trafic, forensiques DNS et NetworkPolicies, capture de syscalls. Exercice : mise en pratique des connaissances acquises dans une réponse sur incident en condition réelles.
Toutes les modalités de déroulement de la formation sont détaillées sur cette page.
Contact us
N'hesitez pas à nous contacter afin de nous faire part de vos besoins. Notre équipe commerciale se tient à votre disposition pour répondre à toutes vos questions.
