Kubernetes安全专家认证（CKS）培训 | 北京站

Kubernetes安全专家认证（Certified Kubernetes Security Specialist），简称CKS。获得认证的Kubernetes安全专家具备丰富的知识、技能及最佳实践能力，能够在构建、部署和运行Kubernetes过程中保护基于容器的应用程序和Kubernetes平台。

CKS是一个实操的认证考试，它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前，考生必须已经通过Kubernetes管理员认证考试（CKA），在获得CKA认证并且在有效期以内才可以预约CKS考试。

本次培训课程，通过线下授课、真题解读、模拟演练等方式，帮助学员快速掌握相关知识技能，并针对考试做特别强化训练，让学员能从容面对考试。

• 培训时间：2021年5月28日—30日
• 上课地点：北京市朝阳区东三环南路13号北京乐游饭店大会议室
• 培训费用：6500元/人（1-2人）；6200元/人（3-4人）；6000元/人（5人及以上）
• 考试费用：1800元/人（可以考2次）
• 报名链接：https://www.bagevent.com/event/7272342
• 垂询电话：+86 132 4116 6558
• 微信：liyingjiesf
  
  

培训大纲：

第一天上午

CKS最新考纲解读与如何保护Kubernetes集群

• CKS考试大纲解读
• 概览：Kubernetes集群组件架构
• 概览：保护Kubernetes集群安全

Kubernetes安全领域知识介绍

• 
  Kubernetes的威胁模型 / Kubernetes Threat modeling
  
  • 什么是威胁模型 / Threat modeling
• 
  Kubernetes集群中的威胁源
  
  • Kubernetes集群中的主要威胁
• 
  Kubernetes安全边界
  
  • 什么是安全边界（security boundaries）
  • 安全边界（security boundaries）和信任边界（trust boundaries）
• 
  Kubernetes的安全边界
  
  • Linux系统的安全边界
  • 网络的安全边界
• 
  纵深防御 / Defense in Depth
  
  • Kubernetes审计介绍
  • Kubernetes集群的高可用性
  • 管理Kubernetes秘钥
  • 使用Vault管理秘钥
  • 用Falco探测Kubernetes集群异常
  • Sysdig介绍

第一天下午

Kubernetes集群搭建/Cluster Setup

• 
  使用网络策略NetworkPolicy限制集群网络访问
  
  • 实战：使用网络插件Calico，实现NetworkPolicy
• 
  使用CIS基准来检查Kubernetes组件（kube-api-server、kube-scheduler、kubelet、etcd）的安全配置
  
  • 了解什么是CIS（Center for Internet Security）基准
  • 安装和使用 CIS Kubernetes Benchmark 测试工具：kube-bench
  • 使用kube-bench检测master及worker nodes的安全隐患配置
• 
  Ingress的安全配置
  
  • 了解什么是Ingress
  • 为Ingress配置自签名证书，建立TLS安全通信
• 
  部署前验证Kubernetes二进制文件
  
  • 通过sha512sum验证Kubernetes二进制文件

Kubernetes集群安全强化/Cluster Hardening

• 
  限制对Kubernetes API的访问
  
  • Kubernetes的鉴权/Kubernetes authentication
  • Kubernetes的授权/Kubernetes authorization
  • Kubernetes的准入控制/Kubernetes Admission Control
• 
  RBAC（基于角色的访问控制）
  
  • 了解什么是RBAC
  • RBAC的使用，创建ServiceAccount，Role/ClusterRole和RoleBinding/ClusterRoleBinding
• 
  ServiceAccount的最佳安全实践
  
  • 禁用默认的ServiceAccount
  • 对新创建的ServiceAccount应用最小权限原则
• 
  升级Kubernetes
  
  • 使用kubeadm升级Kubernetes集群

第二天上午

系统强化/System Hardening

• 
  减小系统的被攻击面
  
  • 去除不需要的系统软件模块
• 
  限制对外网的访问
  
  • 使用防火墙保护主机
  • 使用NetworkPolicy限制对外网的访问
• 
  使用Linux系统安全模块
  
  • 使用AppArmor限制容器对资源的访问
  • 使用Seccomp限制容器内进程的系统调用

最小化微服务漏洞/Minimize Microservice Vulnerabilities

• 
  使用PSP，OPA，安全上下文提高安全性
  
  • 了解并配置Pod安全策略 （PSP）
  • 了解并配置OPA Gatekeeper
  • 了解并配置Pod或容器安全上下文（securityContext）
• 
  管理Kubernetes Secret
  
  • 使用Kubernetes Secret存储敏感信息
• 
  在多租户环境中使用沙箱运行容器（例如gvisor，kata容器）
  
  • 了解为什么要部署沙箱
  • 什么是gVisor？安装gvisor
  • 配置RuntimeClass，使用gVisor运行Pod
• 
  实现Pod和Pod之间的双向TLS认证
  
  • 了解什么是mTLS（mutual TLS）
  • 使用mTLS进行安全通信

第二天下午

供应链安全

• 
  容器安全
  
  • 选择尽可能小的基础镜像
  • 对容器镜像进行签名和验证
• 
  防止恶意容器创建
  
  • 通过黑名单/白名单来限制访问容器镜像仓库
  • 了解准入控制器Admission Control
  • 了解并配置ImagePolicyWebhook
• 
  分析文件及镜像安全隐患
  
  • 分析Dockerfile、Kubernetes yaml文件的安全隐患
  • 使用工具扫描镜像漏洞，如trivy

监控、审计和运行时安全

• 
  分析容器系统调用，检测恶意进程
  
  • 安装并使用Falco，进行运行时安全监控
• 
  构建不可变容器（Immutable container）
• 
  Kubernetes审计
  
  • 开启Kubernetes审计日志
  • 分析Kubernetes审计日志

第三天上午

Kubernetes常见漏洞/Kubernetes CVEs（Common Vulnerabilities and Exposures）

• 检测和分析加密货币挖矿攻击（Crypto-Mining Attacks）
• Kubernetes常见漏洞分析及应对方法
• 使用第三方工具扫描Kubernetes常见漏洞

第三天下午

CKS考试注意事项与模拟演练

• CKS模拟题演练与解析
• CKS考试注意事项

注：学员需自备电脑，内存不小于8G。

报名链接：https://www.bagevent.com/event/7272342

注意：学员需自备电脑，内存不小于8G。

培训结束后学员可以根据自己情况预约考试时间。