kubernetes安全认证专家(CKS) 考纲

发表于 更新于 分类于

前言

年后花了点时间准备了下CKS的考试,,通过了CKS的认证,记录一下考试的内容

CKS

1. 要求

考试模式:线上考试

考试时间:2小时

认证有效期:2年

软件版本:Kubernetes v1.20

系统:Ubuntu 18.4

有效期:考试资格自购买之日起12个月内有效

重考政策:可接受1次重考

经验水平:中级

考试报名https://training.linuxfoundation.cn/certificates/16

2. 考点内容-CKS 课程(翻译)

10% - Cluster Setup集群设置

  • Use Network security policies to restrict cluster level access(使用网络安全策略限制群集级别的访问)
  • Use CIS benchmark to review the security configuration of Kubernetes components (etcd, kubelet, kubedns, kubeapi)(使用CIS基准来检查Kubernetes组件(etcd,kubelet,kubedns,kubeapi)的安全配置)
  • Properly set up Ingress objects with security control(通过安全控制正确设置Ingress对象)
  • Protect node metadata and endpoints(保护节点元数据和端点)
  • Minimize use of, and access to, GUI elements(最大限度地减少对GUI元素的使用和访问)
  • Verify platform binaries before deploying(部署前验证平台二进制文件)

15% - Cluster Hardening集群强化

  • Restrict access to Kubernetes API(限制对Kubernetes API的访问)

  • Use Role Based Access Controls to minimize exposure(使用基于角色的访问控制来最大程度地减少暴露)

  • Exercise caution in using service accounts e.g. disable defaults, minimize permissions on newly created ones(使用服务帐户时请格外小心,例如 禁用默认值,最小化对新创建的权限)

  • Update Kubernetes frequently(经常更新Kubernetes)

15% - System Hardening系统强化

  • Minimize host OS footprint (reduce attack surface)(最小化主机操作系统的占用空间(减少攻击面))

  • Minimize IAM roles(最小化IAM角色)

  • Minimize external access to the network(最小化对网络的外部访问)

  • Appropriately use kernel hardening tools such as AppArmor, seccomp(适当使用内核强化工具,例如AppArmor,seccomp)

20% - Minimize Microservice Vulnerabilities最小化微服务漏洞

  • Setup appropriate OS level security domains e.g. using PSP, OPA, security contexts(设置适当的操作系统级别的安全域,例如 使用PSP,OPA,安全上下文)
  • Manage kubernetes secrets(管理kubernetes的secret)
  • Use container runtime sandboxes in multi-tenant environments (e.g. gvisor, kata containers) (在多租户环境中使用容器运行时沙箱(例如gvisor,kata容器))
  • Implement pod to pod encryption by use of mTLS(通过使用mTLS实现Pod到Pod的加密)

20% - Supply Chain Security供应链安全

  • Minimize base image footprint(最大限度地减少基础镜像占用空间)
  • Secure your supply chain: whitelist allowed image registries, sign and validate images(保护您的供应链:将允许的图像注册表列入白名单,对图像进行签名和验证)
  • Use static analysis of user workloads (e.g. kubernetes resources, docker files)(使用静态分析用户工作负载(例如kubernetes资源,docker文件))
  • Scan images for known vulnerabilities(扫描镜像中的已知漏洞)

20% - Monitoring, Logging and Runtime Security监视,记录和运行时安全

  • Perform behavioral analytics of syscall process and file activities at the host and container level to detect malicious activities(在主机和容器级别执行系统调用过程和文件活动的行为分析,以检测恶意活动)
  • Detect threats within physical infrastructure, apps, networks, data, users and workloads(检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁)
  • Detect all phases of attack regardless where it occurs and how it spreads(检测攻击的所有阶段,无论攻击发生在何处以及如何扩散)
  • Perform deep analytical investigation and identification of bad actors within environment • Ensure immutability of containers at runtime(对环境中的不良行为进行深入的分析调查和识别•确保运行时容器不变)
  • Use Audit Logs to monitor access(使用审核日志来监视访问)

3. 需要掌握内容

3.1 群集设置 10%

1.使用网络安全策略限制群集级别的访问

2.使用CIS基准来检查Kubernetes组件(etcd,kubelet,kubedns,kubeapi)的安全配置

3.配置ingress的安全设置

4.保护节点元数据

5.最大限度地减少对dashboard的使用和访问

6.部署前验证kubernetes二进制文件

3.2 群集强化 15%

1.限制对Kubernetes API的访问

2.使用RBAC最大程度的减少资源暴露

3.SA的安全设置,例如禁用默认值,最小化对新创建sa的权限

4.更新Kubernetes

3.3 系统强化 15%

1.服务器的安全设置

2.最小化IAM角色

3.最小化外部网络访问

4.适当使用内核强化工具,例如AppArmor,seccomp

3.4 最小化微服务漏洞 20%

1.使用PSP,OPA,安全上下文提高安全性

2.管理Kubernetes secret

3.在多租户环境中使用沙箱运行容器(例如gvisor,kata容器)

4.使用mTLS实施Pod到Pod的加密

3.5 供应链安全 20%

1.减小image的大小

2.保护供应链:将允许的镜像仓库列入白名单,对镜像进行签名和验证

3.分析文件及镜像安全隐患(例如Kubernetes的yaml文件,Dockerfile)

4.扫描图像,找出已知的漏洞

3.6 监控、审计和runtime 20%

1.分析容器系统调用,以检测恶意进程

2.检测物理基础设施、应用程序、网络、数据、用户和工作负载中的威胁

3.检测攻击的所有阶段,无论它发生在哪里,如何传播

6.Kubernetes审计

4. 考试资料

相关阅读:

5. 考试期间允许的资源

考试期间,考生可以:

可能有用的优惠码

SCOFFER15