CKS&老段工作室

CKS 认证是云原生计算基金会(CNCF)最新推出的kubernetes 安全专家认证(Certified Kubernetes Security Specialist)。 报考CKS的考生必须持有有效的CKA认证。

8890人看过

CKA CKAD 培训 K8s kubernates 大学 CKS

套购证书

Kubernetes安全专家认证 (CKS)
Kubernetes安全专家认证 (CKS)

2,498.00

套购课程

3,990.00 4,300.00

讲师介绍


图片1.png 

段超飞,云计算资深培训讲师,2002年接触并学习Linux,从事Linux相关工作11年,最早一批通过COA(openstack认证管理员)考试,CKA(kubernetes管理员)考试,CKAD(Certified Kubernetes Application Developer)考试,Linux基金会官方认证讲师(LFAI),最早通过kubernetes安全专家认证(Certified Kubernetes Security Specialist)

   10年教学培训经历,积累了丰富的教学经验,总是能把难懂的知识点生活化,以生活中的例子做比喻,使学员极易掌握知识点。至今已经为电信、移动、联通、电网等一些知名大公司多次培训Linux、虚拟化及云计算, 获得学员一致好评

所获证书

l 2004年 CCNA/CCNP

2008年RHCE

2009年RHCA

2017年COA (Certified OpenStack Administrator)

2018年 CKA (Certified Kubernetes Administrator)

2020年 CKAD (Certified Kubernetes Application Developer)

Linux基金会认证讲师(LFAI)

2021年CKS(Certified Kubernetes Security Specialist)


 

CKS 课程大纲

CKS 认证是云原生计算基金会(CNCF)最新推出的kubernetes 安全专家认证(Certified Kubernetes Security Specialist)。 报考CKS的考生必须持有有效的CKA认证。

上课时间:10月16日开课 每周六 上午 9 点~12 点,下午 14 点~17 点。大概24课时。

上课所使用系统:Ubuntu 18.4

kubernetes 版本v1.20.1

相关课件下载

一、群集设置

1.使用网络安全策略限制群集级别别的访问

使用网络策略控制流量

保护 Kubernetes 集群安全

声明网络策略以控制 Pod 的通信方式

 

2.使用 CIS 基准来检查 Kubernetes 组件(etcd,kubelet,kubedns,kubeapi)的安全配置

了解什么是 Center for Internet Security(CIS)基准

Kubernetes CIS Benchmark 测试的工具:kube-bench 的安装

kube-bench 检测 master 及 worker 上隐患配置

3.配置 ingress 的安全设置

了解什么是 Ingress

创建自签名证 书替换 ingress 自带的证 书

4.保护节点元数据

限制通过 API 访问元数据

通过配置文件设置 Kubelet 参数

5.最大限度地减少对 dashboard 的使用和访问

设置 Kubernetes dashboard 的安全

6.部署前验证 kubernetes 二进制文件

通过 sha512sum 验证 kubernetes 二进制文件

 

二、群集强化

1.限制对 Kubernetes API 的访问

了解访问 kubernetes api 的流程

控制对 Kubernetes API 的访问

2.使用 RBAC 最大程度的减少资源暴露

了解 kubernetes api server 的授权模块

使用 RBAC 授权

3.SA 的安全设置,例如禁用默认值,最小化对新创建SA 的权限

了解 SA 的作用

了解默认情况下 SA 带来的安全隐患及演示

如何有效解决SA 的权限问题

4.更新 Kubernetes

kubeadm 升级集群

 

三、系统强化

1.服务器的安全设置

去除系统不需要的内核模块

2.最小化 IAM 角色

了解什么是最低特权原则(POLP)

3.适当使用内核强化工具,例如 AppArmor,seccom

使用 AppArmor 限制容器对资源的访问

使用 Seccomp 限制容器的 syscall

 

四、最小化微服务漏洞

1.使用 PSP,OPA,安全上下文提高安全性

了解并配置 Pod 安全策略(PSP)

了解什么是 Open Policy Agent(OPA)

OPA Gatekeeper 的配置

Pod 或容器配置安全上下文(SecurityContext)

2.管理 Kubernetes secret

使用 secret 存储敏感信息及传递文件

配置secret拉取私有仓库镜像

3.在多租户环境中使用沙箱运行容器(例如 gvisor,kata 容器)

containerd的配置及使用

了解为什么要部署沙箱

什么是 gVisor?安装 gvisor

使用 gVisor 运行容器

安装 kata,部署 kata 容器

4.配置 runtimeClass

Kubernetes使用gvisor运行pod

Kubernetes使用kata-containerd运行容器

 

五、供应链安全

1.保护供应链:将允许的镜像仓库列入白名单,对镜像进行签名和验

了解准入控制器 Admission Controllers

了解并配置 ImagePolicyWebhook

配置 kubernetes 所使用镜像仓库的白名单及黑名单

对镜像进行签名和验证

2.分析文件及镜像安全隐患(例如 Kubernetes 的 yaml 文件,

Dockerfile)

如何创建比较小的镜像

分析 dockefile 文件的安全隐患

分析 pod、deployment 的 yaml 文件里的安全隐患

trivy 扫描镜像的漏洞

 

六、监控、审计

1.Kubernetes 审计

开启 Kubernetes 审计日志

编写 Kubernetes 审计策略

 

  报名成功后添加客服人员微信号进行上课

1614598785419593.jpg



0/200
  • 联系电话 010-53512850

  • 联系邮箱 enquiry@linuxfoundation.cn

  • 联系客服

Linux基金会开源软件学园 Copyright © 2019 linuxfoundation.cn, ICP license, no. 京ICP备17074266号-2