tertiarycourses/C1799-Certified-Kubernetes-Security-Specialist-CKS-Prep
GitHub: tertiarycourses/C1799-Certified-Kubernetes-Security-Specialist-CKS-Prep
一套包含 12 个动手实验的 CKS 认证备考课程,系统覆盖 Kubernetes 集群加固、供应链安全和运行时检测等考试核心领域。
Stars: 1 | Forks: 0
# C1799 认证 Kubernetes 安全专家 (CKS) 备考
为准备认证 Kubernetes 安全专家 (CKS) 实操考试的学习者提供的动手实验。
## 课程信息
- **课程代码:** C1799
- **课程名称:** 认证 Kubernetes 安全专家 (CKS) 备考
- **时长:** 4 天 / 30 小时
- **级别:** 中级
- **课程报名:** [认证 Kubernetes 安全专家 (CKS) 备考](https://www.tertiarycourses.com.sg/certified-kubernetes-security-specialist-cks-prep.html)
- **参考:** [认证 Kubernetes 安全专家考试指南](https://www.k8s.guide/certifications/cks/)
## 实验
| 领域 | 实验 | 标题 | 重点方向 |
|---|---:|---|---|
| Cluster Setup | 01 | 安全的集群基线、API Server 加固与审计日志 | API server 标志、审计策略、CIS 风格基线、kube-bench 审查 |
| Cluster Setup | 02 | NetworkPolicy、Ingress 安全与集群元数据保护 | 默认拒绝、namespace 隔离、ingress TLS、元数据访问限制 |
| Cluster Hardening | 03 | RBAC、ServiceAccounts、最小权限与 Secret 访问 | Roles、RoleBindings、service accounts、token 暴露、secret 读取限制 |
| Cluster Hardening | 04 | 准入控制、Pod 安全标准与 Namespace 防护机制 | Pod Security Admission、验证策略、namespace 标签、阻止特权工作负载 |
| System Hardening | 05 | 节点加固、Linux 控制与宿主机级攻击面削减 | OS 包、系统服务、kubelet 配置、内核模块、SSH、AppArmor/seccomp 概述 |
| System Hardening | 06 | Kubelet、容器运行时与 RuntimeClass 安全 | kubelet 身份验证/授权、只读端口、容器运行时配置、seccomp 配置文件 |
| Minimize Microservice Vulnerabilities | 07 | 安全的 Pod 与容器设计 | SecurityContext、capabilities、无根容器、只读根文件系统、探针 |
| Minimize Microservice Vulnerabilities | 08 | Secrets、配置、Image Pull Policy 与 Service Mesh 安全概念 | Secret 处理、环境变量与卷对比、镜像策略、mTLS/service mesh 概念 |
| Supply Chain Security | 09 | 镜像扫描、SBOMs、签名与准入策略 | Trivy、SBOM 概念、Cosign、受信任的注册表、镜像准入控制 |
| Supply Chain Security | 10 | 清单安全、静态分析与 CI/CD 防护机制 | Kubesec、kube-score、YAML 审查、流水线安全门禁 |
| Monitoring, Logging, and Runtime Security | 11 | 运行时威胁检测、审计审查与事件响应 | Falco 概念、审计日志审查、可疑行为、遏制工作流 |
| Capstone | 12 | CKS 限时安全准备挑战 | 多领域限时安全任务、验证、考试工作流 |
## 学习者指南
从详细的分步指南开始:
[LG-CKS-Certified-Kubernetes-Security-Specialist.md](LG-CKS-Certified-Kubernetes-Security-Specialist.md)
## 实验要求
- 具有管理员访问权限的 Kubernetes 集群
- `kubectl`
- Linux shell 和对节点的 SSH 访问权限
- 能够检查控制平面清单和 kubelet 配置
- 可选工具:`kube-bench`、`trivy`、`kubesec`、`kube-score`、`cosign`、`falco`
- 可选:ingress controller、支持 NetworkPolicy 的 CNI 插件以及支持准入策略的组件
## 仓库结构
```
.
|-- README.md
|-- LG-CKS-Certified-Kubernetes-Security-Specialist.md
`-- labs/
|-- README.md
|-- tools.md
|-- lab-01-secure-cluster-baseline-api-server-hardening-and-audit-logging.md
|-- lab-02-networkpolicy-ingress-security-and-cluster-metadata-protection.md
|-- lab-03-rbac-serviceaccounts-least-privilege-and-secret-access.md
|-- lab-04-admission-control-pod-security-standards-and-namespace-guardrails.md
|-- lab-05-node-hardening-linux-controls-and-host-level-attack-surface-reduction.md
|-- lab-06-kubelet-container-runtime-and-runtimeclass-security.md
|-- lab-07-secure-pod-and-container-design.md
|-- lab-08-secrets-config-image-pull-policy-and-service-mesh-security-concepts.md
|-- lab-09-image-scanning-sboms-signing-and-admission-policy.md
|-- lab-10-manifest-security-static-analysis-and-cicd-guardrails.md
|-- lab-11-runtime-threat-detection-audit-review-and-incident-response.md
`-- lab-12-cks-timed-security-readiness-challenge.md
```
## 建议的 GitHub 关于描述
12 个 CKS 动手实验,涵盖 API server 加固、审计日志、NetworkPolicy、ingress 安全、RBAC、service accounts、Pod 安全、准入控制、节点和 kubelet 加固、seccomp、AppArmor、安全的 Pod 设计、secrets、镜像扫描、SBOMs、签名、清单分析、Falco、运行时安全以及限时准备。
标签:CKS认证, Pandas, 子域名突变, 安全防护, 教学实验, 系统加固