概述

获得CKS证书证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力，并且有资格在专业环境中执行这些任务。

CKS是一个实操的认证考试，它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前，考生必须已经通过Kubernetes管理员认证考试(CKA)，在获得CKA认证之后才可以预约CKS考试。

CKS考试(包括重考)必须在CKA认证的有效期内才可以预约。

认证一览

考试模式：线上考试

考试时间：2小时

认证有效期：2年

软件版本：Kubernetes v1.20

有效期：考试资格自购买之日起12个月内有效

重考政策：可接受1次重考

经验水平：中级

领域和能力

CKS认证考试包括这些一般领域及其在考试中的权重：

集群安装：10%                    集群强化：15%           系统强化：15%

微服务漏洞最小化：20%     供应链安全：20%        监控、日志记录和运行时安全：20%

详细内容：

集群安装：10%

• 使用网络安全策略来限制集群级别的访问
• 使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置
• 正确设置带有安全控制的Ingress对象
• 保护节点元数据和端点
• 最小化GUI元素的使用和访问
• 在部署之前验证平台二进制文件

集群强化：15%

• 限制访问Kubernetes API
• 使用基于角色的访问控制来最小化暴露
• 谨慎使用服务帐户，例如禁用默认设置，减少新创建帐户的权限
• 经常更新Kubernetes

系统强化：15%

• 最小化主机操作系统的大小(减少攻击面)
• 最小化IAM角色
• 最小化对网络的外部访问
• 适当使用内核强化工具，如AppArmor, seccomp

微服务漏洞最小化：20%

• 设置适当的OS级安全域，例如使用PSP, OPA，安全上下文
• 管理Kubernetes机密
• 在多租户环境中使用容器运行时 (例如gvisor, kata容器)
• 使用mTLS实现Pod对Pod加密

供应链安全：20%

• 最小化基本镜像大小
• 保护您的供应链：将允许的注册表列入白名单，对镜像进行签名和验证
• 使用用户工作负载的静态分析(例如kubernetes资源，Docker文件)
• 扫描镜像，找出已知的漏洞

监控、日志记录和运行时安全：20%

• 在主机和容器级别执行系统调用进程和文件活动的行为分析，以检测恶意活动
• 检测物理基础架构，应用程序，网络，数据，用户和工作负载中的威胁
• 检测攻击的所有阶段，无论它发生在哪里，如何扩散
• 对环境中的不良行为者进行深入的分析调查和识别
• 确保容器在运行时不变
• 使用审计日志来监视访问

政策和资源

请查看考生手册、课程概述和考试技巧以及下面的其他推荐资源。

考生手册 下载

课程概述 了解更多 

认证和保密协议 下载 

考试小贴士 下载

常见问题 了解更多