CKS证书详情以及考纲

获得CKS认证的Kubernetes安全专家在构建、部署和运行时确保基于容器的应用程序和Kubernetes平台的安全及最佳实践。 CKS现有以下两种考试方式可供选择： 英文监考官--线上考试 (考试编号：CKS)， 中文监考官--线上考试(考试编号：CKS-CN)。

概述

获得CKS证书证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的技能、知识和能力。

作为一个有成就的Kubernetes从业者，获得认证的CKS安全专家在构建、部署和运行时期间，证明了其在保护基于容器的应用程序和Kubernetes平台的广泛最佳实践方面的能力。在参加CKS考试之前，考生必须已经通过CKA认证考试，在获得CKA证书之后才可以预约CKS考试。

CKS是一项基于性能的认证考试，在模拟的真实环境中测试考生对Kubernetes和云安全的知识。获得CKS证书表明学员具备在构建、部署和运行时保护基于容器的应用程序和Kubernetes平台的必要能力，并有资格在专业环境中执行这些任务。

• 请注意：注册CKS认证考试的考生将有 2 次机会（每次注册的考试）到 Killer.sh 参加模拟考试。预约方式请参考帮助中心->认证常见问题第10条。

考生需于购买考试后的一个月内注册考试券，注册成功后获得的考试资格在12个月内有效。通过认证考试的考生将获得PDF认证证书。

认证一览

考试模式：线上考试

考试时间：2小时

认证有效期：2年

软件版本：Kubernetes v1.31

有效期：考试资格自考试码注册之日起12个月内有效

重考政策：可接受1次重考

经验水平：中级

领域和能力

CKS认证考试包括这些一般领域及其在考试中的权重：

集群安装：15% 集群强化：15% 系统强化：10%
微服务漏洞最小化：20%
供应链安全：20% 监控、日志记录和运行时安全：20%

详细内容：

CKS考纲

集群安装：15%

使用网络安全策略来限制集群级别的访问

使用CIS基准检查Kubernetes组件（etcd, kubelet, kubedns, kubeapi）的安全配置。

正确设置入口与TLS

保护节点元数据和端点

在部署之前验证平台二进制文件

集群强化：15%

限制访问Kubernetes API

使用基于角色的访问控制来最小化暴露

谨慎使用服务帐户，例如禁用默认设置，减少新创建帐户的权限

经常更新Kubernetes

系统强化：10%

最小化主机操作系统的大小(减少攻击面)

使用最小权限标识和访问管理

最小化对网络的外部访问

适当使用内核强化工具，如AppArmor, seccomp

微服务漏洞最小化：20%

使用适当的pod安全标准

管理Kubernetes机密

理解并实现隔离技术（多租户、沙盒容器等）

使用Cilium实现Pod-to-Pod加密

供应链安全：20%

最小化基本图像占用空间

了解您的供应链（例如，SBOM、CI/CD、工件存储库）

保护您的供应链（允许的注册中心、签名和验证工件等）。

执行用户工作负载和容器映像的静态分析（例如Kubesec， KubeLinter）

监控、日志记录和运行时安全：20%

执行行为分析以检测恶意活动

检测物理基础设施、应用程序、网络、数据、用户和工作负载中的威胁

调查并识别攻击阶段和环境中的不良参与者

确保容器在运行时的不变性

使用Kubernetes审计日志监控访问