Kubernetes安全专家认证（Certified Kubernetes Security Specialist），简称CKS。获得认证的Kubernetes安全专家具备丰富的知识、技能及最佳实践能力，能够在构建、部署和运行Kubernetes过程中保护基于容器的应用程序和Kubernetes平台。

CKS是一个实操的认证考试，它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前，考生必须已经通过Kubernetes管理员认证考试（CKA），在获得CKA认证并且在有效期以内才可以预约CKS考试。

本次培训课程，通过线下授课、真题解读、模拟演练等方式，帮助学员快速掌握相关知识技能，并针对考试做特别强化训练，让学员能从容面对考试。

培训费用：6500元/人

考试费用：1800元/人

垂询电话：+86 132 4116 6558

咨询微信：liyingjiesf

优惠信息（优惠不能叠加）：

团购 3-4 人每人优惠 300 元

团购 5 人及以上每人优惠 500 元

培训大纲：

第一天上午

CKS最新考纲解读与如何保护Kubernetes集群

• CKS考试大纲解读

• 概览：Kubernetes集群组件架构

• 概览：保护Kubernetes集群安全

Kubernetes安全领域知识介绍

• Kubernetes的威胁模型 / Kubernetes Threat modeling

什么是威胁模型 / Threat modeling

Kubernetes集群中的威胁源

Kubernetes集群中的主要威胁

• Kubernetes安全边界

什么是安全边界（security boundaries）

安全边界（security boundaries）和信任边界（trust boundaries）

Kubernetes的安全边界

Linux系统的安全边界

网络的安全边界

• 纵深防御 / Defense in Depth

Kubernetes审计介绍

Kubernetes集群的高可用性

管理Kubernetes秘钥

使用Vault管理秘钥

用Falco探测Kubernetes集群异常

Sysdig介绍

第一天下午

Kubernetes集群搭建/Cluster Setup

• 使用网络策略NetworkPolicy限制集群网络访问

实战：使用网络插件Calico，实现NetworkPolicy

• 使用CIS基准来检查Kubernetes组件（kube-api-server、kube-scheduler、kubelet、etcd）的安全配置

了解什么是CIS（Center for Internet Security）基准

安装和使用 CIS Kubernetes Benchmark 测试工具：kube-bench

使用kube-bench检测master及worker nodes的安全隐患配置

• Ingress的安全配置

了解什么是Ingress

为Ingress配置自签名证书，建立TLS安全通信

• 部署前验证Kubernetes二进制文件

通过sha512sum验证Kubernetes二进制文件

Kubernetes集群安全强化/Cluster Hardening

• 限制对Kubernetes API的访问

Kubernetes的鉴权/Kubernetes authentication

Kubernetes的授权/Kubernetes authorization

Kubernetes的准入控制/Kubernetes Admission Control

• RBAC（基于角色的访问控制）

了解什么是RBAC

RBAC的使用，创建ServiceAccount，Role/ClusterRole和RoleBinding/ClusterRoleBinding

• ServiceAccount的最佳安全实践

禁用默认的ServiceAccount

对新创建的ServiceAccount应用最小权限原则

• 升级Kubernetes

使用kubeadm升级Kubernetes集群

第二天上午

系统强化/System Hardening

• 减小系统的被攻击面

去除不需要的系统软件模块

• 限制对外网的访问

使用防火墙保护主机

使用NetworkPolicy限制对外网的访问

• 使用Linux系统安全模块

使用AppArmor限制容器对资源的访问

使用Seccomp限制容器内进程的系统调用

最小化微服务漏洞/Minimize Microservice Vulnerabilities

• 使用PSP，OPA，安全上下文提高安全性

了解并配置Pod安全策略 （PSP）

了解并配置OPA Gatekeeper

了解并配置Pod或容器安全上下文（securityContext）

• 管理Kubernetes Secret

使用Kubernetes Secret存储敏感信息

• 在多租户环境中使用沙箱运行容器（例如gvisor，kata容器）

了解为什么要部署沙箱

什么是gVisor？安装gvisor

配置RuntimeClass，使用gVisor运行Pod

• 实现Pod和Pod之间的双向TLS认证

了解什么是mTLS（mutual TLS）

使用mTLS进行安全通信

第二天下午

供应链安全

• 容器安全

选择尽可能小的基础镜像

对容器镜像进行签名和验证

• 防止恶意容器创建

通过黑名单/白名单来限制访问容器镜像仓库

了解准入控制器Admission Control

了解并配置ImagePolicyWebhook

• 分析文件及镜像安全隐患

分析Dockerfile、Kubernetes yaml文件的安全隐患

使用工具扫描镜像漏洞，如trivy

监控、审计和运行时安全

• 分析容器系统调用，检测恶意进程

安装并使用Falco，进行运行时安全监控

• 构建不可变容器（Immutable container）

• Kubernetes审计

开启Kubernetes审计日志

分析Kubernetes审计日志

第三天上午

Kubernetes常见漏洞/Kubernetes CVEs（Common Vulnerabilities and Exposures）

• 检测和分析加密货币挖矿攻击（Crypto-Mining Attacks）

• Kubernetes常见漏洞分析及应对方法

• 使用第三方工具扫描Kubernetes常见漏洞

第三天下午

CKS考试注意事项与模拟演练

• CKS模拟题演练与解析

• CKS考试注意事项

注：学员需自备电脑，内存不小于8G。