擁有CKS認證對於Kubernetes專家在職業生涯上是一個非常重要的里程碑,這個認證證明了您在構建、部署和運行時期間具備保護基於容器的應用程式和Kubernetes平台的最佳實踐知識和能力。 如果您正在為成為CKS而努力,以下的宣布對你非常重要。
從2024年9月12日北京時間08:00 (世界標準時間00:00 UTC)起,CKS (Certified Kubernetes Security Specialist) 認證考試即將升級,考試涉及的領域將會下列的變化,無論你是第一次參加考試或是重考,只要在2024年9月12日北京時間08:00之後進行CKS考試,你將會參加最新版本的考試。
經過認證的CKS (Certified Kubernetes Security Specialist)考生將能夠展示在保護基於容器的應用程式和Kubernetes平台方面的專業知識,並具熟悉採用最佳實踐來防範跨實體基礎設施、應用程式、網路、資料、使用者和工作負載的威脅。 另外,考生具備檢測潛在的安全漏洞的能力,能夠識別環境中的攻擊階段和惡意參與者,並確保在整個開發生命週期的每個操作階段都有健壯的安全措施。
CKS考試中的權重(即集群設定、集群加固等)將保持不變,但請查看以下即將更新的測試的領域/ 能力(每個領域標題下方列出的一些添加/刪除和更新的語言)以及幾個領域的權重變化。 這些變化反映了考生應該掌握的Kubernetes和雲端安全的最新知識。更新的CKS考試領域如下:
群集設置領域- 15%
- 使用網路安全策略來限制叢集級別的訪問
- 使用CIS基準檢查Kubernetes元件(etcd, kubelet, kubedns, kubeapi)的安全設定。
- 使用TLS正確設定入口
- 保護節點元資料和端點
- 在部署之前驗證平台二進位文件
系統加固領域- 10%
- 最小化主機作業系統佔用空間(減少攻擊面)
- 使用最小權限身分和存取管理
- 減少對網路的外部訪問
- 適當使用內核加固工具,如AppArmor、seccomp
供應鏈安全領域- 20%
- 最小化基本鏡像佔用空間
- 了解您的供應鏈(例如,SBOM、CI/CD、製品倉庫)
- 保護您的供應鏈(允許的註冊中心、簽名及驗證製品等)。
- 執行使用者工作負載和容器鏡像的靜態分析(例如Kubesec, KubeLinter)
集群加固領域- 15%
- 使用基於角色的存取控制來最小化暴露
- 謹慎使用服務帳戶,例如停用預設值,最小化新建立帳戶的權限
- 限制存取Kubernetes API
- 升級Kubernetes以避免漏洞
最小化微服務漏洞領域- 20%
- 使用適當的pod安全標準
- 管理Kubernetes機密
- 理解並實現隔離技術(多租戶、沙盒容器等)
- 使用Cilium實現Pod-to-Pod加密
監控、日誌記錄和運行時安全領域- 20%
- 執行行為分析以偵測惡意活動
- 偵測實體基礎架構、應用程式、網路、資料、使用者和工作負載中的威脅
- 調查並識別攻擊階段和環境中的不良參與者
- 確保容器在運作時的不變性
- 使用Kubernetes審計日誌監控訪問
CKS認證現在有中文版或英文版考試可供選擇。擁有CKA認證是參加CKS的必備條件。 CKS的認證有效期限為2年。
CKS是基於實操的考試。 CKS認證考試測驗考生在建置、部署和運行期間確保基於容器的應用程式和Kubernetes平台安全的技能、知識和能力。該考試需要兩個小時內完成,考試是採用遠端方式進行, 由監考員進行即時監控。另外,考試費用亦包括一次免費重考,如果考生第一次參加考試沒有通過,便可以免費預約重考。此外,所有CKS的考生都可以參加Killer.sh的模擬考試(只有英文),幫助他們提前體驗考試環境。
小提醒:無論你是第一次參加CKS考試或是重考,以及何時購買考試,只要在2024年9月12日北京時間08:00之後進行CKS考試,你將會參加最新版本的考試。由於CKS考試需求將會急劇增加,如果你已經準備好馬上考取CKS,我們建議考生儘早安排預約CKS考試。
