獲得CKS認證的Kubernetes安全專家在構建、部署和運行時確保基於容器的應用程序和Kubernetes平臺的安全及最佳實踐。
概述
獲得CKS證書證明考生具備在構建、部署和運行期間確保基於容器的應用程序和Kubernetes平臺安全的必要能力,並且有資格在專業環境中執行這些任務。
CKS是一個實操的認證考試,它在一個模擬真實的環境中測試考生對Kubernetes和雲安全的知識。在參加CKS考試之前,考生必須已經通過Kubernetes管理員認證考試(CKA),在獲得CKA認證之後纔可以預約CKS考試。
CKS考試(包括重考)必須在CKA認證的有效期內纔可以預約。
認證一覽
考試模式:線上考試
考試時間:2小時
認證有效期:2年
軟件版本:Kubernetes v1.20
有效期:考試資格自購買之日起12個月內有效
重考政策:可接受1次重考
經驗水平:中級
領域和能力
CKS認證考試包括這些一般領域及其在考試中的權重:
集羣安裝:10% 集羣強化:15% 系統強化:15%
微服務漏洞最小化:20% 供應鏈安全:20% 監控、日誌記錄和運行時安全:20%
詳細內容:
集羣安裝:10%
- 使用網絡安全策略來限制集羣級別的訪問
- 使用CIS基準檢查Kubernetes組件(etcd, kubelet, kubedns, kubeapi)的安全配置
- 正確設置帶有安全控制的Ingress對象
- 保護節點元數據和端點
- 最小化GUI元素的使用和訪問
- 在部署之前驗證平臺二進制文件
集羣強化:15%
- 限制訪問Kubernetes API
- 使用基於角色的訪問控制來最小化暴露
- 謹慎使用服務帳戶,例如禁用默認設置,減少新創建帳戶的權限
- 經常更新Kubernetes
系統強化:15%
- 最小化主機操作系統的大小(減少攻擊面)
- 最小化IAM角色
- 最小化對網絡的外部訪問
- 適當使用內核強化工具,如AppArmor, seccomp
微服務漏洞最小化:20%
- 設置適當的OS級安全域,例如使用PSP, OPA,安全上下文
- 管理Kubernetes機密
- 在多租戶環境中使用容器運行時 (例如gvisor, kata容器)
- 使用mTLS實現Pod對Pod加密
供應鏈安全:20%
- 最小化基本鏡像大小
- 保護您的供應鏈:將允許的註冊表列入白名單,對鏡像進行簽名和驗證
- 使用用戶工作負載的靜態分析(例如kubernetes資源,Docker文件)
- 掃描鏡像,找出已知的漏洞
監控、日誌記錄和運行時安全:20%
- 在主機和容器級別執行系統調用進程和文件活動的行爲分析,以檢測惡意活動
- 檢測物理基礎架構,應用程序,網絡,數據,用戶和工作負載中的威脅
- 檢測攻擊的所有階段,無論它發生在哪裏,如何擴散
- 對環境中的不良行爲者進行深入的分析調查和識別
- 確保容器在運行時不變
- 使用審計日誌來監視訪問
政策和資源
請查看考生手冊、課程概述和考試技巧以及下面的其他推薦資源。
考生手冊 下載
課程概述 瞭解更多
認證和保密協議 下載
考試小貼士 下載
常見問題 瞭解更多