Перейти до вмісту
GitHub

Навчальна програма CKS

Certified Kubernetes Security Specialist — Продемонструйте свою здатність захищати контейнеризовані застосунки та платформи Kubernetes

Про CKS

Розділ «Про CKS»

CKS — це практичний іспит на основі продуктивності, який перевіряє ваші навички захисту кластерів та робочих навантажень Kubernetes. Сертифікація CKA є передумовою.

АспектДеталі
ФорматНа основі продуктивності (практичний)
Тривалість2 години
Запитання15-20 завдань
Прохідний бал67%
Термін дії2 роки
ПередумоваЧинна сертифікація CKA

Структура навчальної програми

Розділ «Структура навчальної програми»
ЧастинаТемаВагаМодулі
Частина 0Середовище-4
Частина 1Налаштування кластера10%5
Частина 2Зміцнення кластера15%5
Частина 3Зміцнення системи15%4
Частина 4Мінімізація вразливостей мікросервісів20%4
Частина 5Безпека ланцюга постачання20%4
Частина 6Моніторинг, журналювання, безпека виконання20%4
Усього100%30

Огляд модулів

Розділ «Огляд модулів»

Частина 0: Середовище (4 модулі)

Розділ «Частина 0: Середовище (4 модулі)»
  • 0.1 Огляд CKS — Формат іспиту та домени
  • 0.2 Лабораторія безпеки — Налаштування кластера з фокусом на безпеку
  • 0.3 Інструменти безпеки — Основні інструменти (trivy, falco, kubesec)
  • 0.4 Стратегія іспиту — Підхід з фокусом на безпеку

Частина 1: Налаштування кластера (5 модулів)

Розділ «Частина 1: Налаштування кластера (5 модулів)»
  • 1.1 Network Policies — Default deny, контроль вихідного трафіку
  • 1.2 CIS Benchmarks — Стандарти зміцнення кластера
  • 1.3 Безпека Ingress — TLS, автентифікація
  • 1.4 Захист метаданих вузлів — Безпека метаданих інстансів
  • 1.5 Безпека GUI елементів — Безпека Dashboard

Частина 2: Зміцнення кластера (5 модулів)

Розділ «Частина 2: Зміцнення кластера (5 модулів)»
  • 2.1 Поглиблений RBAC — Принципи найменших привілеїв
  • 2.2 Безпека ServiceAccount — Обмеження токенів
  • 2.3 Безпека API Server — Admission control, аудит
  • 2.4 Оновлення Kubernetes — Процедури безпечного оновлення
  • 2.5 Обмеження доступу до API — Анонімна автентифікація, небезпечні порти

Частина 3: Зміцнення системи (4 модулі)

Розділ «Частина 3: Зміцнення системи (4 модулі)»
  • 3.1 AppArmor — Профілі захисту застосунків
  • 3.2 Seccomp — Фільтрація системних викликів
  • 3.3 Зміцнення ядра — sysctl, параметри ядра
  • 3.4 Мережева безпека — Фаєрвол хоста, сканування портів

Частина 4: Мінімізація вразливостей мікросервісів (4 модулі)

Розділ «Частина 4: Мінімізація вразливостей мікросервісів (4 модулі)»
  • 4.1 Security Contexts — Безпека Pod та контейнерів
  • 4.2 Pod Security Admission — Застосування стандартів
  • 4.3 Управління Secrets — Шифрування в стані спокою
  • 4.4 Пісочниця виконання — gVisor, Kata containers

Частина 5: Безпека ланцюга постачання (4 модулі)

Розділ «Частина 5: Безпека ланцюга постачання (4 модулі)»
  • 5.1 Безпека образів — Базові образи, мінімізація
  • 5.2 Сканування образів — Виявлення вразливостей
  • 5.3 Статичний аналіз — Сканування YAML/маніфестів
  • 5.4 Admission Controllers — Політики образів, OPA

Частина 6: Безпека виконання (4 модулі)

Розділ «Частина 6: Безпека виконання (4 модулі)»
  • 6.1 Журналювання аудиту — Аудит API server
  • 6.2 Falco — Виявлення загроз у реальному часі
  • 6.3 Дослідження контейнерів — Форензіка
  • 6.4 Незмінна інфраструктура — Контейнери тільки для читання

Як користуватися цією програмою

Розділ «Як користуватися цією програмою»
  1. Спершу пройдіть CKA — Це передумова
  2. Налаштуйте лабораторію безпеки — Пройдіть Частину 0
  3. Практикуйтесь з інструментами — Falco, Trivy тощо
  4. Розумійте вектори атак — Думайте як зловмисник
  5. Застосовуйте ешелоновану оборону — Нашаровуйте захист

Ключові навички

Розділ «Ключові навички»
  • Network policies (default deny)
  • RBAC з найменшими привілеями
  • Pod Security Standards
  • Сканування та підписування образів
  • Виявлення загроз у реальному часі з Falco
  • Налаштування журналювання аудиту

Починайте навчання

Розділ «Починайте навчання»

Почніть з Частини 0, щоб налаштувати середовище з фокусом на безпеку та зрозуміти формат іспиту.

Успіхів на шляху до CKS!