tertiarycourses/C1799-Certified-Kubernetes-Security-Specialist-CKS-Prep

GitHub: tertiarycourses/C1799-Certified-Kubernetes-Security-Specialist-CKS-Prep

一套包含 12 个动手实验的 CKS 认证备考课程,系统覆盖 Kubernetes 集群加固、供应链安全和运行时检测等考试核心领域。

Stars: 1 | Forks: 0

# C1799 认证 Kubernetes 安全专家 (CKS) 备考 为准备认证 Kubernetes 安全专家 (CKS) 实操考试的学习者提供的动手实验。 ## 课程信息 - **课程代码:** C1799 - **课程名称:** 认证 Kubernetes 安全专家 (CKS) 备考 - **时长:** 4 天 / 30 小时 - **级别:** 中级 - **课程报名:** [认证 Kubernetes 安全专家 (CKS) 备考](https://www.tertiarycourses.com.sg/certified-kubernetes-security-specialist-cks-prep.html) - **参考:** [认证 Kubernetes 安全专家考试指南](https://www.k8s.guide/certifications/cks/) ## 实验 | 领域 | 实验 | 标题 | 重点方向 | |---|---:|---|---| | Cluster Setup | 01 | 安全的集群基线、API Server 加固与审计日志 | API server 标志、审计策略、CIS 风格基线、kube-bench 审查 | | Cluster Setup | 02 | NetworkPolicy、Ingress 安全与集群元数据保护 | 默认拒绝、namespace 隔离、ingress TLS、元数据访问限制 | | Cluster Hardening | 03 | RBAC、ServiceAccounts、最小权限与 Secret 访问 | Roles、RoleBindings、service accounts、token 暴露、secret 读取限制 | | Cluster Hardening | 04 | 准入控制、Pod 安全标准与 Namespace 防护机制 | Pod Security Admission、验证策略、namespace 标签、阻止特权工作负载 | | System Hardening | 05 | 节点加固、Linux 控制与宿主机级攻击面削减 | OS 包、系统服务、kubelet 配置、内核模块、SSH、AppArmor/seccomp 概述 | | System Hardening | 06 | Kubelet、容器运行时与 RuntimeClass 安全 | kubelet 身份验证/授权、只读端口、容器运行时配置、seccomp 配置文件 | | Minimize Microservice Vulnerabilities | 07 | 安全的 Pod 与容器设计 | SecurityContext、capabilities、无根容器、只读根文件系统、探针 | | Minimize Microservice Vulnerabilities | 08 | Secrets、配置、Image Pull Policy 与 Service Mesh 安全概念 | Secret 处理、环境变量与卷对比、镜像策略、mTLS/service mesh 概念 | | Supply Chain Security | 09 | 镜像扫描、SBOMs、签名与准入策略 | Trivy、SBOM 概念、Cosign、受信任的注册表、镜像准入控制 | | Supply Chain Security | 10 | 清单安全、静态分析与 CI/CD 防护机制 | Kubesec、kube-score、YAML 审查、流水线安全门禁 | | Monitoring, Logging, and Runtime Security | 11 | 运行时威胁检测、审计审查与事件响应 | Falco 概念、审计日志审查、可疑行为、遏制工作流 | | Capstone | 12 | CKS 限时安全准备挑战 | 多领域限时安全任务、验证、考试工作流 | ## 学习者指南 从详细的分步指南开始: [LG-CKS-Certified-Kubernetes-Security-Specialist.md](LG-CKS-Certified-Kubernetes-Security-Specialist.md) ## 实验要求 - 具有管理员访问权限的 Kubernetes 集群 - `kubectl` - Linux shell 和对节点的 SSH 访问权限 - 能够检查控制平面清单和 kubelet 配置 - 可选工具:`kube-bench`、`trivy`、`kubesec`、`kube-score`、`cosign`、`falco` - 可选:ingress controller、支持 NetworkPolicy 的 CNI 插件以及支持准入策略的组件 ## 仓库结构 ``` . |-- README.md |-- LG-CKS-Certified-Kubernetes-Security-Specialist.md `-- labs/ |-- README.md |-- tools.md |-- lab-01-secure-cluster-baseline-api-server-hardening-and-audit-logging.md |-- lab-02-networkpolicy-ingress-security-and-cluster-metadata-protection.md |-- lab-03-rbac-serviceaccounts-least-privilege-and-secret-access.md |-- lab-04-admission-control-pod-security-standards-and-namespace-guardrails.md |-- lab-05-node-hardening-linux-controls-and-host-level-attack-surface-reduction.md |-- lab-06-kubelet-container-runtime-and-runtimeclass-security.md |-- lab-07-secure-pod-and-container-design.md |-- lab-08-secrets-config-image-pull-policy-and-service-mesh-security-concepts.md |-- lab-09-image-scanning-sboms-signing-and-admission-policy.md |-- lab-10-manifest-security-static-analysis-and-cicd-guardrails.md |-- lab-11-runtime-threat-detection-audit-review-and-incident-response.md `-- lab-12-cks-timed-security-readiness-challenge.md ``` ## 建议的 GitHub 关于描述 12 个 CKS 动手实验,涵盖 API server 加固、审计日志、NetworkPolicy、ingress 安全、RBAC、service accounts、Pod 安全、准入控制、节点和 kubelet 加固、seccomp、AppArmor、安全的 Pod 设计、secrets、镜像扫描、SBOMs、签名、清单分析、Falco、运行时安全以及限时准备。
标签:CKS认证, Pandas, 子域名突变, 安全防护, 教学实验, 系统加固