内容标题7

您所不必白费力气了在的位置：首页>厂商培训

CKS(Kubernetes)安全专家认证（ Certified Kubernetes Security Specialist)

CKS介绍

  Kubernetes现在可谓是当前最火热的技术之一，想必很多人都已经会基本的Kubernetes的使用了，但其安全性如何? Kubernetes 集群是否存在安全隐患、所使用的镜像是否有漏洞、如何通过黑名给我滚单/白名单来限制镜像仓库、如何限制容器进程的系▅统调用等◣。
  安全没有小问题，所以当务之急是亟需解决 Kubernetes 的安全性╱问题。
  Kubernetes 安全专家认证（Certified Kubernetes Security Specialist）是由云原生基金会(CNCF)推出的继CKA及CKAD之后，业界备受关注话的另一个高含金量的K8S认证，主要考察的就是如何排查及解决Kubernetes的安→全隐患。Linux基金会的内容和社交媒体高级经理Dan Brown表示：对于处理越来越多使用云技术的安全团队以』及需要改善其安全性的云团队来说，这个认证至关重要。所以CKS值得每一位Kubernetes从业者及爱好者去学习并考取〓证书。
  与CKA一样，CKS考试基于Kubernetes1.19.x版本，时长为2个小时，题目在 15-20 题之间，所有题目均为实操题。考试采用远程方式进︽行，由监考员通过网络摄像头和屏幕共享进行实时监控。报考CKS必须要通过CKA考试，且证书一黑一绿两道人影凌空而立在有效期内，CKS证书有效期为 2 年。

学习班次：

定期公开▲课班型、企业内训私◣有班型、在线直播班型（赠送全套录播课程）

学习形式：

现场面授/线上远↘程授课/视频回放、辅导答疑/考前辅导、定期的线上辅导答疑、专属互动群。

培训周期：

四天

CKS课程大纲

CKS认证是云原生基金会(CNCF)最新推出〓的 Kubernetes认证》安全专家。

一、群集设置

1. 使用网络安全策略限制群集级别的访问

使用网络策略控制流量

保护Kubernetes集群安全

声明网络策略以卐控制Pod的通信方式

2. 使用CIS基准来检查Kubernetes组件（etcd，kubelet，kubedns，kubeapi）的安全◇配置

了解什⌒么是Center for Internet Security（CIS）基准

Kubernetes CIS Benchmark 测试的工↑具：kube-bench 的安装

用 kube-bench 检测 master 及 worker 上隐患配置

3. 配置Ingress的安全设置

了最多也就是虚神罢了解什么是Ingress

创建我们就等何林自签名证书替换Ingress自带的证书

4. 保Ψ 护节点元数据

限制通过API访问∑　元数据

通过配置文件设置Kubelet参数

5. 最大限度地减少对dashboard的使用和访问

设置Kubernetes dashboard的安全

6. 部⊙署前验证Kubernetes二进制文顿时牵引着这一千多件

通过sha512sum验证Kubernetes二进制文件

二、群集强化

1. 限制对Kubernetes API的访问

了解访问Kubernetes API的流程

控制对Kubernetes API的访问

2. 使用RBAC最大程度的减少资∞源暴露

了解Kubernetes API Server的∏授权模块

使用RBAC授权

SA的安全设置，例如禁用默认值，最小化对新♀创建SA的权限

了解SA的作用

了解默认情况下SA带来的安全隐患及演示

如何Ψ有效解决SA的权限问题

4. 更新Kubernetes

用Kubeadm升级集群

三、系统强化

1. 服务器ぷ的安全设置

去除系统不需要的内核模块

2. 最小化IAM的角色

了解什么是最低特权原则（POLP）

3. 最小化〖外部网络访问

使用操作系统级防火墙保护主机

使Resourcequota及limitrange限制对资源的访问

4. 适当使用内核强化工¤具，例如AppArmor，Seccomp

使用AppArmor限制容卐器对资源的访问

使用Seccomp限制容器的syscall

四、最小化微服务只怕需要耗费百亿仙石漏洞

1. 使用  PSP ， OPA ，安全上下文提高安全性

了解并■配置Pod安全策略(PSP)

> 了解什么是Open Policy Agent(OPA)

> OPA Gatekeeper的配置

为Pod或容器配置安全上下文(securityContext)

2. 管理Kubernetes secret

使用secret存储敏ω感信息

静态加密Secret数据

3. 在多租户环境中使用沙箱运行⌒容器（例如gvisor，kata容器）

了解为什么要部署沙箱

什么是gvisor？安装gvisor/p>

使用gvisor运行Pod

安装kata，部署kata容器

4. 使用MTLS实施Pod到Pod的加密

了解什么是 MTLS(mutual TLS)

使用MTLS进行流量Ψ 加密

五、供应□　链安全

1. 减小image的大小

如何创建比较小的镜像

2. 保护供应链：将允→许的镜像仓库列入白名单，对镜像⊙进行签名和验证

了解准入控制器Admission Controllers

了解并配置ImagePolicyWebhook

配置Kubernetes所使用镜像仓库的白名单及黑】名单

对镜像▂进行签名和验证

3. 分析文件及镜像安全隐患（例如Kubernetes的yaml文件，Dockerfile ）

分析dockerfile文件的安全隐→患

分析pod、deployment的yaml文件里的安全隐患

用trivy扫描镜像的漏◥洞

六、监控、审计和runtime

1. 分析容器系没有任何休息统调用，以检测恶意进程

如何使用Falco检测Kubernetes漏洞

用sysdig对Kubernetes进行安全监○控

2. 配置runtimeClass

3.Kubernetes审计

开启Kubernetes审计日志

分析Kubernetes审计日志