Despre Linux

  • Facebook
  • Twitter
  • LinkedIn
  • Acasă
  • Linux
    • Comenzi Linux
    • Tutoriale
  • Kubernetes
  • RHCSA
    • Exerciții RHCSA
    • SELinux
    • Permisiuni
  • General
    • Open source
  • Contact

Certified Kubernetes Security Specialist (CKS) - ghid de studiu

27 septembrie 2021 By Bobses Lasă un comentariu

Certificarea Certified Kubernetes Security Specialist (CKS) este un examen bazat pe performanță care testează cunoștințele candidatilor despre securitatea în Kubernetes într-un mediu simulat, asemănător cu cele din realitate. Candidații trebuie să aibă promovat examenul Certified Kubernetes Administrator (CKA) pentru a putea susține certificarea CKS. Obținerea CKS demonstrează existența abilităților necesare pentru a securiza atât aplicațiile containerizate, cât și platforma Kubernetes în timpul construirii, implementării dar și la runtime.

Planul de studiu pentru CKS este bine structurat, cu topicuri referitoare la securitatea în Kubernetes.

Înregistrarea pentru examenul CKS

Certificarea CKS este un examen furnizat de The Linux Foundation.

Înregistrarea pentru susținerea examenului CKS poate fi făcută oricând, dar prima condiție este ca, până la data examenului, candidatul să aibă promovată certificarea CKA (bineînțeles, certificarea trebuie să nu fie expirată).

Din ziua înregistrării, examenul trebuie susținut în termen de 1 an. Se oferă două încercări pentru promovarea examenului.

Examenul costă 375 $, dar, ca pont, recomand achiziționarea lui în ziua de Cyber Monday, când poate avea o reducere chiar și de 50%. În 2021, Cyber Monday pică pe 29 noiembrie - mai e un pic.

După programarea examenului, aveți la dispoziție un simulator, creat și furnizat de Killer.sh. Simulatorul poate fi accesat de 2 ori, fiecare sesiune având o durată de 36 de ore.

Detaliile examenului CKS

Câteva informații importante:

  • durata examenului este de 2 ore
  • procentajul de trecere este de 67%
  • versiunea de Kubernetes - se actualizaează periodic (acum este 1.21)
  • validitatea certificării: 2 ani
  • tip examen: hands-on (nu există grile cu întrebări și răspunsuri)
  • numărul de taskuri: între 15 și 20 de taskuri bazate pe performanță
  • rezultatul va fi trimis prin email în maxim 24 de ore de la finalizarea examenului

Examenul este supravegheat video și audio de un proctor, ecranul fiind, de asemenea, partajat.

Manualul oficial al candidaților: https://docs.linuxfoundation.org/tc-docs/certification/lf-candidate-handbook

Sfaturi oficiale pentru examen: https://docs.linuxfoundation.org/tc-docs/certification/important-instructions-cks

Demo cu interfața examenului: https://www.youtube.com/watch?v=9UqkWcdy140

Resurse permise în timpul examenului

Examenul se ține în Google Chrome - pe lângă tabul de examen, este permisă deschiderea unui singur tab suplimentar cu documentație, astfel:

  • documentație Kubernetes:
    • https://kubernetes.io/docs/ cu subdomeniile sale
    • https://kubernetes.io/blog/ cu subdomeniile sale
    • https://kubernetes.io/docs/ cu subdomeniile sale
  • tooluri:
    • documentație Trivy: https://github.com/aquasecurity/trivy
    • documentație Sysdig: https://docs.sysdig.com/
    • documentație Falco: https://falco.org/docs/
  • App Armor
    • documentație https://gitlab.com/apparmor/apparmor/-/wikis/Documentation

Ni se atrage atenția că siteurile permise pot conține linkuri către alte siteuri externe și este responsabilitatea candidatului să nu dea click pe aceste linkuri pentru a nu naviga în domenii nepermise.

Programa examenului CKS

Examenul CKS își propune testarea abilităților pe diferite domenii de securitate. Tabelul de mai jos prezintă diferitele domenii testate, dar și ponderea lor:

TopicPondere
Cluster Setup10%
Cluster Hardening15%
System Hardening15%
Minimiza Microservice Vulnerabilities20%
Supply Chain Security20%
Monitoring, Logging and Runtime Security20%

Mai multe detalii despre fiecare topic în parte aici: https://training.linuxfoundation.org/certification/certified-kubernetes-security-specialist/

Cursuri pentru CKS

Există două cursuri mari și late:

  • Kubernetes CKS 2021 Complete Course - Theory - Practice - de Kim Wüstkamp
  • Certified Kubernetes Security Specialist (CKS) - creat de echipa KodeKloud, coordonată de Mumshad Mannambeth

Ambii autori au făcut o treabă minunată atât cu conținutul cursurilor, cât și cu laboratoarele pe care le pun la dispoziție pentru învățare.

Ca mediu de lucru, mi-am creat un cluster k8s în KVM cu 1 master (pe Ubuntu) și 3 noduri (unul pe Ubuntu, unul pe CentOS 8, altul pe Fedora CoreOS) - bineînțeles, în timpul procesului de învățare clusterul a fost resetat și actualizat de mai multe ori:

Cluster K8s

Considerații personale

Certificarea CKS este, pe drept cuvânt, contracronomentru; totodată, mi s-a părut mai grea decât CKA: dacă la CKA am terminat cu 30 de minute înainte de final și am avut timp de verificare, acum, în ultima secundă a examenului eu încă lucram la ultimul subiect (pe care l-am lăsat neterminat, evident). Timpul este dușmanul vostru la acest examen - dacă nu gestionați timpul eficace, există riscul să nu acoperiți toate subiectele.

Nu este timp de învățat în timpul examenului din documentație: când căutați ceva în singurul tab permis să fie deschis, trebuie să știți exact ce vreți să căutați.

Obligatoriu trebuie setate câteva aliasuri la început (chiar dacă operațiunea pare consumatoare de timp, folosirea lor vă va salva minute bune în timpul examenului):

alias k='kubectl'
alias kg='kubectl get'
alias ke='kubectl edit'
alias ka='kubectl apply -f'
alias kl='kubectl logs'
alias kd='kubectl describe'
alias kc='kubectl create'
alias kgpo='kubectl get pods'
alias kdel='kubectl delete'
export fg="--force --grace-period=0"

Recomand răsfoirea tuturor subiectelor și rezolvarea cu prioritate a celor care au pondere mai mare - 8%, 12% sau chiar 13%. Subiectele lăsate în urmă trebuie marcate cu flag, după care vom reveni la ele.

Asigurați-vă că subiectul rezolvat este pe clusterul specificat în cerință - nu ați vrea să rezolvați un subiect cu pondere mare pe un cluster greșit, căci veți lua 0 puncte pe el.

De asemenea, recomand ca înainte de examen să fie rezolvate de câteva ori la perfecție subiectele din cadrul simultatorului funizat de killer.sh și cele 3 examene mock de la KodeKloud (nu doar învățarea soluțiilor, ci înțelegerea lor - astfel, vă va fi mult mai ușor la examenul real să înțelegeți mai repede cerințele taskurilor).

Concluzii

CKS este una dintre cele mai râvnite certificări în comunitatea DevOps. Concentrați-vă asupra învățării și înțelegerii tuturor conceptelor legate de securitatea în Kubernetes, precum și a utilizării celor mai bune practici.

Partajează asta:

  • Dă clic pentru a partaja pe Facebook(Se deschide într-o fereastră nouă)
  • Dă clic pentru a partaja pe LinkedIn(Se deschide într-o fereastră nouă)
  • Click to share on Twitter(Se deschide într-o fereastră nouă)

Similare

Din categoria: General Etichete: CKS, k8s, kubernetes

Lasă un răspunsAnulează răspunsul

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Copyright © 2025 · Bobses

Administrează consimțămintele pentru cookie-uri
Pentru a oferi cea mai bună experiență, folosim tehnologii, cum ar fi cookie-uri, pentru a stoca și/sau accesa informațiile despre dispozitive. Consimțământul pentru aceste tehnologii ne permite să procesăm date, cum ar fi comportamentul de navigare sau ID-uri unice pe acest site. Dacă nu îți dai consimțământul sau îți retragi consimțământul dat poate avea afecte negative asupra unor anumite funcționalități și funcții.
Funcționale Mereu activ
Stocarea tehnică sau accesul sunt strict necesare în scopul legitim de a permite utilizarea unui anumit serviciu cerut în mod explicit de către un abonat sau un utilizator sau în scopul exclusiv de a executa transmiterea unei comunicări printr-o rețea de comunicații electronice.
Preferințe
Stocarea tehnică sau accesul este necesară în scop legitim pentru stocarea preferințelor care nu sunt cerute de abonat sau utilizator.
Statistici
Stocarea tehnică sau accesul care sunt utilizate exclusiv în scopuri statistice. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
Stocarea tehnică sau accesul sunt necesare pentru a crea profiluri de utilizator pentru a trimite publicitate sau pentru a urmări utilizatorul pe un site web sau pe mai multe site-uri web în scopuri de marketing similare.
Administrează opțiunile Administrează serviciile Administrează vânzătorii {vendor_count} Citește mai multe despre aceste scopuri
Vizualizează preferințele
{title} {title} {title}