CKS 概述

获得CKS证书证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的技能、知识和能力。

作为一个有成就的Kubernetes从业者,获得认证的CKS安全专家在构建、部署和运行时期间,证明了其在保护基于容器的应用程序和Kubernetes平台的广泛最佳实践方面的能力。在参加CKS考试之前,考生必须已经通过CKA认证考试,在获得CKA证书之后才可以预约CKS考试。

CKS是一项基于性能的认证考试,在模拟的真实环境中测试考生对Kubernetes和云安全的知识。获得CKS证书表明学员具备在构建、部署和运行时保护基于容器的应用程序和Kubernetes平台的必要能力,并有资格在专业环境中执行这些任务。

CKS考试(包括重考)必须在CKA认证的有效期内才可以预约。


CKS 认证考试内容

CKS认证考试包括这些一般领域及其在考试中的权重:

  • 集群安装:10%
  • 集群强化:15%
  • 系统强化:15%
  • 微服务漏洞最小化:20%
  • 供应链安全:20%
  • 监控、日志记录和运行时安全:20%

详细内容:

集群安装:10%

使用网络安全策略来限制集群级别的访问

使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置

正确设置带有安全控制的Ingress对象

保护节点元数据和端点

最小化GUI元素的使用和访问

在部署之前验证平台二进制文件

集群强化:15%

限制访问Kubernetes API

使用基于角色的访问控制来最小化暴露

谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限

经常更新Kubernetes

系统强化:15%

最小化主机操作系统的大小(减少攻1击面)

最小化IAM角色

最小化对网络的外部访问

适当使用内核强化工具,如AppArmor, seccomp

微服务漏洞最小化:20%

设置适当的OS级安全域,例如使用PSP, OPA,安全上下文

管理Kubernetes机密

在多租户环境中使用容器运行时 (例如gvisor, kata容器)

使用mTLS实现Pod对Pod加密

供应链安全:20%

最小化基本镜像大小

保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证

使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)

扫描镜像,找出已知的漏洞

监控、日志记录和运行时安全:20%

在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动

检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁

检测攻1击的所有阶段,无论它发生在哪里,如何扩散

对环境中的不良行为者进行深入的分析调查和识别

确保容器在运行时不变

使用审计日志来监视访问

考试细节

  • 考试在线发布,由基于性能的任务(问题)组成,需要在运行Linux的命令行上解决。
  • 考试包括15-20个基于表现的任务。
  • 考生有2小时的时间完成考试。
  • 考试通过流媒体音频、视频和屏幕共享源进行远程监考。
  • 考试结果将在考试结束后24小时内通过电子邮件发送。