[CKS] 시험 준비하기

 

CKS (Certified Kubernetes Security Specialist) 

 

CKS는 리눅스 파운데이션의 Kubernetes 관련 자격 시험 중 가장 높은 난이도를 자랑하는 자격증이다.

Kubernetes에 대한 지식 뿐만 아니라, Cloud 환경에서의 보안 설정 및 각종 위협에 대한 예방 및 조치를 할 수 있는지를 테스트한다. 

CKS에 응시하기 위해서는 CKA(Certified Kubernetes Admin) 자격증을 우선 취득해야 한다. 

 

기본정보 

- 시험신청 : 아래 페이지에서 [Enroll Today] 버튼을 클릭하여 회원가입 후 Voucher를 구매할 수 있다. 

https://training.linuxfoundation.org/certification/certified-kubernetes-security-specialist/ 

Certified Kubernetes Security Specialist (CKS) Exam

 

- Voucher 할인구매 팁 

LinuxFoundation에 회원가입을 하면, 비정기적으로 할인 쿠폰 메일을 받을 수 있다.

가능하면 할인 쿠폰 메일을 받은 후 시험 접수를 하자! 

시험은 100% 온라인으로 자택에서 응시가능하므로 시험 접수를 서두를 필요가 없다.

 

 

 

시험범위

총 6개의 Domain과 28개의 Category들로 구성되어 있다.

 

1. Cluster Setup (10%)

 - Use Network security policies to restrict cluster level access

 - Use CIS benchmark to review the security configuration of Kubernetes components (etcd, kubelet, kubedns, kubeapi)

 - Properly set up Ingress objects with security control

 - Protect node metadata and endpoints

 - Minimize use of, and access to, GUI elements

 - Verify platform binaries before deploying

 

2. Cluster Hardening (15%)

 - Restrict access to Kubernetes API
 - Use Role Based Access Controls to minimize exposure
 - Exercise caution in using service accounts e.g. disable defaults, minimize permissions on newly created ones
 - Update Kubernetes frequently

 

3. System Hardening (15%)

 - Minimize host OS footprint (reduce attack surface)
 - Minimize IAM roles
 - Minimize external access to the network
 - Appropriately use kernel hardening tools such as AppArmor, seccomp

 

4. Minimize Microservice Vulnerabilities (20%)

 - Setup appropriate OS level security domains
 - Manage Kubernetes secrets
 - Use container runtime sandboxes in multi-tenant environments (e.g. gvisor, kata containers)
 - Implement pod to pod encryption by use of mTLS

 

5. Supply Chain Security (20%)

 - Minimize base image footprint
 - Secure your supply chain: whitelist allowed registries, sign and validate images
 - Use static analysis of user workloads (e.g.Kubernetes resources, Docker files)
 - Scan images for known vulnerabilities

 

6. Monitoring, Logging and Runtime Security (20%)

 - Perform behavioral analytics of syscall process and file activities at the host and container level to detect malicious activities
 - Detect threats within physical infrastructure, apps, networks, data, users and workloads
 - Detect all phases of attack regardless where it occurs and how it spreads
 - Perform deep analytical investigation and identification of bad actors within environment
 - Ensure immutability of containers at runtime
 - Use Audit Logs to monitor access

 

 

시험 Tips

• 총 응시시간 : 2시간
• 시험문제 : 15~20 문항, 실습형으로 문제가 주어짐 (performance-based tasks)
• 합격점수 : score 67% 이상 
• 기준환경 : Kubernetes v1.28 ('24.1월 기준)

 

CKA, CKAD 처럼 총 2번의 응시기회가 주어지므로, 한번 fail 되어도 다시한 번 응시가 가능하다.Killer.sh 을 통해 Simulation 환경이 주어지므로 최대한 많이 연습을 하는 것이 필요하다.