CKS 认证考试2024升级计划

拥有CKS认证对于Kubernetes专家在职业生涯上是一个非常重要的里程碑，这个认证证明了您在构建、部署和运行时期间具备保护基于容器的应用程序和Kubernetes平台的最佳实践知识和能力。 如果您正在为成为CKS而努力，以下的宣布对你非常重要。

作为我们持续努力确保认证Kubernetes安全专家（CKS）的一部分，CKS考试升级将不早于10月15日完成。

经过认证的CKS (Certified Kubernetes Security Specialist）考生将能够展示在保护基于容器的应用程序和Kubernetes平台方面的专业知识，并具熟悉采用最佳实践来防范跨物理基础设施、应用程序、网络、数据 、用户和工作负载的威胁。 另外，考生具备检测潜在的安全漏洞的能力，能够识别环境中的攻击阶段和恶意参与者，并确保在整个开发生命周期的每个操作阶段都有健壮的安全措施。

CKS考试中的权重(即集群设置、集群加固等)将保持不变，但请查看以下即将更新的测试的领域/ 能力(每个领域标题下方列出的一些添加/删除和更新的语言)以及 几个领域的权重变化。 这些变化反映了考生应该掌握的Kubernetes和云安全的最新知识。更新的CKS考试领域如下：

群集设置领域 - 15%

• 使用网络安全策略来限制集群级别的访问

• 使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置。

• 使用TLS正确设置入口

• 保护节点元数据和端点

• 在部署之前验证平台二进制文件

  
  

系统加固领域 - 10%

• 最小化主机操作系统占用空间(减少攻击面)

• 使用最小权限身份和访问管理

• 减少对网络的外部访问

• 适当使用内核加固工具，如AppArmor、seccomp

供应链安全领域 - 20%

• 最小化基本镜像占用空间

• 了解您的供应链(例如，SBOM、CI/CD、制品仓库)

• 保护您的供应链(允许的注册中心、签名和验证制品等)。

• 执行用户工作负载和容器镜像的静态分析(例如Kubesec, KubeLinter)

集群加固领域 - 15% 

• 使用基于角色的访问控制来最小化暴露

• 谨慎使用服务帐户，例如禁用默认值，最小化新创建帐户的权限

• 限制访问Kubernetes API

• 升级Kubernetes以避免漏洞

最小化微服务漏洞领域 - 20%

• 使用适当的pod安全标准

• 管理Kubernetes机密

• 理解并实现隔离技术(多租户、沙盒容器等)

• 使用Cilium实现Pod-to-Pod加密

监控、日志记录和运行时安全领域 - 20%

• 执行行为分析以检测恶意活动

• 检测物理基础设施、应用程序、网络、数据、用户和工作负载中的威胁

• 调查并识别攻击阶段和环境中的不良参与者

• 确保容器在运行时的不变性

• 使用Kubernetes审计日志监控访问

CKS认证现在有中文版或英文版考试可供选择。拥有CKA认证是参加CKS的必备条件。CKS的认证有效期为2年。

CKS是基于实操的考试。CKS认证考试测试考生在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的的技能、知识和能力。该考试需要两个小时内完成，考试是采用远程方式进行, 由监考员进行实时监控。另外，考试费用亦包括一次免费重考，如果考生第一次参加考试没有通过，便可以免费预约重考。此外，所有CKS的考生都可以参加Killer.sh的模拟考试（仅有英文），帮助他们提前体验考试环境。