Модуль 0.1: Огляд іспиту KCSA
Складність:
[ШВИДКО]- Необхідна орієнтаціяЧас на виконання: 15-20 хвилин
Передумови: Немає - це ваша відправна точка!
Що ви зможете робити
Розділ «Що ви зможете робити»Після завершення цього модуля ви зможете:
- Пояснити формат іспиту KCSA, домени та його місце у шляху сертифікації Kubernetes
- Оцінити свою готовність, зіставивши поточні навички з шістьма доменами іспиту KCSA
- Порівняти обсяг KCSA з KCNA (загальні знання) та CKS (практичний спеціаліст з безпеки)
- Спроєктувати навчальний план з пріоритизацією доменів безпеки з найбільшою вагою
Чому цей модуль важливий
Розділ «Чому цей модуль важливий»KCSA (Kubernetes and Cloud Native Security Associate) заповнює критичну прогалину в ландшафті сертифікацій Kubernetes. До KCSA вам доводилось обирати між загальними знаннями (KCNA) або одразу переходити до практичної спеціалізованої роботи з безпеки (CKS). Тепер є місток.
KCSA ідеально підходить для:
- Фахівців з безпеки, які входять у простір Kubernetes
- Розробників, яким потрібна обізнаність у безпеці
- Спеціалістів з відповідності та аудиту
- Усіх, хто готується до CKS
- ІТ-фахівців, відповідальних за безпеку хмарних технологій
Що таке KCSA?
Розділ «Що таке KCSA?»┌─────────────────────────────────────────────────────────────┐│ ШЛЯХ СЕРТИФІКАЦІЇ З БЕЗПЕКИ KUBERNETES │├─────────────────────────────────────────────────────────────┤│ ││ ПОЧАТКОВИЙ РІВЕНЬ (Множинний вибір) ││ ┌─────────────────────────────────────────────────────┐ ││ │ KCNA - Kubernetes and Cloud Native Associate │ ││ │ • Загальні концепції Kubernetes │ ││ │ • Основи хмарних технологій │ ││ └─────────────────────────────────────────────────────┘ ││ ││ ┌─────────────────────────────────────────────────────┐ ││ │ KCSA - Kubernetes and Cloud Native Security Assoc ←│ ││ │ • Концепції та принципи безпеки ВИ │ ││ │ • Моделювання загроз та захист ТУТ │ ││ │ • Фреймворки відповідності │ ││ └─────────────────────────────────────────────────────┘ ││ │ ││ ▼ ││ ПРОФЕСІЙНИЙ РІВЕНЬ (Практичний) ││ ┌─────────────────────────────────────────────────────┐ ││ │ CKS - Certified Kubernetes Security Specialist │ ││ │ • Практичне впровадження безпеки │ ││ │ • Потрібна активна сертифікація CKA │ ││ └─────────────────────────────────────────────────────┘ ││ │└─────────────────────────────────────────────────────────────┘Формат іспиту
Розділ «Формат іспиту»| Аспект | Деталі |
|---|---|
| Тривалість | 90 хвилин |
| Питання | ~60 множинний вибір |
| Прохідний бал | 75% (~45 правильних відповідей) |
| Формат | Онлайн з прокторингом |
| Передумови | Немає |
| Термін дії | 3 роки |
Ключова відмінність від CKS
Розділ «Ключова відмінність від CKS»| Аспект | KCSA | CKS |
|---|---|---|
| Формат | Множинний вибір | Практичний CLI |
| Фокус | Концепції безпеки | Впровадження безпеки |
| Навички | Розуміння загроз та захисту | Налаштування безпеки |
| Передумови | Немає | Активний CKA |
| Тривалість | 90 хв | 120 хв |
Домени іспиту
Розділ «Домени іспиту»┌─────────────────────────────────────────────────────────────┐│ ВАГИ ДОМЕНІВ KCSA │├─────────────────────────────────────────────────────────────┤│ ││ Безпека компонентів кластера ██████████████████████ 22% ││ API server, etcd, kubelet, мережа ││ ││ Основи безпеки ██████████████████████ 22% ││ RBAC, Secrets, Pod Security, Network Policies ││ ││ Модель загроз Kubernetes ████████████████░░░░░ 16% ││ Поверхні атак, вразливості, втеча з контейнера ││ ││ Безпека платформи ████████████████░░░░░ 16% ││ Безпека образів, admission control, runtime ││ ││ Безпека хмарних технологій ███████████░░░░░░░░░░ 14% ││ Чотири C, спільна відповідальність, принципи ││ ││ Фреймворки відповідності ██████████░░░░░░░░░░░ 10% ││ CIS Benchmarks, NIST, оцінка ││ │└─────────────────────────────────────────────────────────────┘На чому зосередитись
Розділ «На чому зосередитись»44% іспиту складають два домени:
- Безпека компонентів кластера Kubernetes (22%)
- Основи безпеки Kubernetes (22%)
Опануйте їх, і ви вже майже на половині шляху.
Що перевіряє KCSA
Розділ «Що перевіряє KCSA»Вам потрібно знати
Розділ «Вам потрібно знати»┌─────────────────────────────────────────────────────────────┐│ ОБЛАСТІ ЗНАНЬ KCSA │├─────────────────────────────────────────────────────────────┤│ ││ КОНЦЕПЦІЇ (Що це?) ││ ├── Що таке 4 C безпеки хмарних технологій? ││ ├── Що таке глибинний захист? ││ ├── Що таке принцип мінімальних привілеїв? ││ └── Що таке контекст безпеки? ││ ││ ЗАГРОЗИ (Що може піти не так?) ││ ├── Які поверхні атак Kubernetes? ││ ├── Як контейнери можуть вирватись? ││ ├── Які ризики ланцюга постачання існують? ││ └── Які неправильні конфігурації поширені? ││ ││ ЗАХИСТ (Як захистити?) ││ ├── Як працює RBAC? ││ ├── Що роблять Network Policies? ││ ├── Як допомагають admission controllers? ││ └── Що таке Pod Security Standards? ││ ││ ВІДПОВІДНІСТЬ (Як це довести?) ││ ├── Що таке CIS Benchmarks? ││ ├── Що таке NIST? ││ └── Як оцінити стан безпеки? ││ │└─────────────────────────────────────────────────────────────┘Вам НЕ потрібно знати
Розділ «Вам НЕ потрібно знати»- Точні команди kubectl для налаштування безпеки
- Деталі YAML-маніфестів
- Складні процедури усунення неполадок
- Синтаксис командного рядка конкретних інструментів
Приклади питань
Розділ «Приклади питань»Ось як виглядають питання KCSA:
Питання 1
Розділ «Питання 1»Який із наступних варіантів представляє 4 C безпеки хмарних технологій у правильному порядку від зовнішнього до внутрішнього?
- A) Container, Code, Cloud, Cluster
- B) Cloud, Cluster, Container, Code
- C) Code, Container, Cluster, Cloud
- D) Cluster, Cloud, Code, Container
Відповідь
B) Cloud, Cluster, Container, Code. Рівні безпеки від зовнішнього (інфраструктура) до внутрішнього (застосунок).Питання 2
Розділ «Питання 2»Яка функція Kubernetes обмежує, які користувачі або сервісні облікові записи можуть виконувати дії над ресурсами кластера?
- A) Network Policies
- B) Pod Security Admission
- C) RBAC (Role-Based Access Control)
- D) SecurityContext
Відповідь
C) RBAC (Role-Based Access Control). RBAC контролює, хто може що робити в кластері через Roles та RoleBindings.Питання 3
Розділ «Питання 3»Контейнер, що працює від root з hostPID: true, створює який основний ризик?
- A) Споживання мережевої пропускної здатності
- B) Втеча з контейнера та компрометація хоста
- C) Надмірне використання CPU
- D) Проблеми з обсягом сховища
Відповідь
B) Втеча з контейнера та компрометація хоста. Ці налаштування дозволяють контейнеру отримати доступ до процесів хоста, що уможливлює втечу.Чи знали ви?
Розділ «Чи знали ви?»-
KCSA заповнює прогалину між KCNA та CKS. Вам не потрібен практичний досвід, щоб підтвердити свої знання з безпеки.
-
Безпека - це завдання кожного - KCSA визнає, що розробники, оператори та менеджери потребують обізнаності в безпеці, а не лише спеціалісти з безпеки.
-
75% прохідний бал означає, що ви можете пропустити близько 15 питань і все одно скласти. Зосередьтесь на розумінні концепцій, а не на запам’ятовуванні деталей.
-
Немає передумов - на відміну від CKS, який вимагає CKA, будь-хто може спробувати KCSA. Це справді початковий рівень.
Поширені помилки
Розділ «Поширені помилки»| Помилка | Чому це шкодить | Рішення |
|---|---|---|
| Зосередження на командах | KCSA перевіряє концепції, не CLI | Вивчайте “що” і “чому”, а не “як набрати” |
| Ігнорування моделі загроз | 16% іспиту про загрози | Думайте як атакуючий |
| Пропуск відповідності | 10% - це фреймворки та бенчмарки | Вивчіть основи CIS та NIST |
| Не зв’язування концепцій | Безпека багаторівнева | Розумійте, як захисти працюють разом |
| Поспішне проходження питань | Питання з безпеки мають тонкі формулювання | Уважно читайте кожен варіант |
Тест
Розділ «Тест»-
Яка тривалість іспиту KCSA?
Відповідь
90 хвилин на приблизно 60 питань з множинним вибором. -
Який відсоток іспиту покриває Основи безпеки Kubernetes?
Відповідь
22% - нарівні з Безпекою компонентів кластера як найбільший домен. -
Який мінімальний прохідний бал для KCSA?
Відповідь
75%. Вам потрібно відповісти правильно приблизно на 45 з 60 питань. -
Чи вимагає KCSA CKA як передумову?
Відповідь
Ні. KCSA не має передумов, на відміну від CKS, який вимагає активний CKA. -
KCSA - це практичний іспит чи множинний вибір?
Відповідь
Множинний вибір. Під час іспиту ви не будете використовувати термінал або щось налаштовувати.
Структура навчальної програми
Розділ «Структура навчальної програми»Ця програма відповідає доменам іспиту:
| Частина | Домен | Вага | Модулі |
|---|---|---|---|
| 0 | Вступ | - | Огляд іспиту, мислення безпеки |
| 1 | Огляд безпеки хмарних технологій | 14% | 4 C, хмарний провайдер, принципи |
| 2 | Безпека компонентів кластера | 22% | Площина управління, вузли, мережа, PKI |
| 3 | Основи безпеки | 22% | RBAC, секрети, безпека подів, мережеві політики |
| 4 | Модель загроз | 16% | Поверхні атак, вразливості, ланцюг постачання |
| 5 | Безпека платформи | 16% | Образи, admission, runtime, аудит |
| 6 | Фреймворки відповідності | 10% | CIS, NIST, оцінка |
Підсумок
Розділ «Підсумок»KCSA перевіряє ваші знання з безпеки для Kubernetes та хмарних технологій:
- Формат: 90 хвилин, ~60 множинний вибір, 75% для складання
- Фокус: Концепції безпеки, загрози та захист
- Найбільші домени: Компоненти кластера (22%) та Основи безпеки (22%)
- Підхід до вивчення: Розумійте загрози, знайте захисти, думайте рівнями
KCSA готує вас до CKS:
- Вивчіть “чому” перед “як”
- Зрозумійте загрози перед налаштуванням захисту
- Побудуйте інтуїцію безпеки через концепції
Наступний модуль
Розділ «Наступний модуль»Модуль 0.2: Мислення безпеки - Як думати як професіонал з безпеки та стратегічно підходити до питань безпеки.