Kubernetes安全专家认证(CKS)培训 | 北京站


Kubernetes安全专家认证(Certified Kubernetes Security Specialist),简称CKS。获得认证的Kubernetes安全专家具备丰富的知识、技能及最佳实践能力,能够在构建、部署和运行Kubernetes过程中保护基于容器的应用程序和Kubernetes平台。

CKS是一个实操的认证考试,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,考生必须已经通过Kubernetes管理员认证考试(CKA),在获得CKA认证并且在有效期以内才可以预约CKS考试。

本次培训课程,通过线下授课、真题解读、模拟演练等方式,帮助学员快速掌握相关知识技能,并针对考试做特别强化训练,让学员能从容面对考试。
  • 培训时间:2021年5月28日—30日
  • 上课地点:北京市朝阳区东三环南路13号北京乐游饭店大会议室
  • 培训费用:6500元/人(1-2人);6200元/人(3-4人);6000元/人(5人及以上)
  • 考试费用:1800元/人(可以考2次)
  • 报名链接:https://www.bagevent.com/event/7272342
  • 垂询电话:+86 132 4116 6558
  • 微信:liyingjiesf
    WechatIMG7.jpeg


培训大纲:

第一天上午

CKS最新考纲解读与如何保护Kubernetes集群
  • CKS考试大纲解读
  • 概览:Kubernetes集群组件架构
  • 概览:保护Kubernetes集群安全


Kubernetes安全领域知识介绍

  • Kubernetes的威胁模型 / Kubernetes Threat modeling
    • 什么是威胁模型 / Threat modeling

  • Kubernetes集群中的威胁源
    • Kubernetes集群中的主要威胁

  • Kubernetes安全边界
    • 什么是安全边界(security boundaries)
    • 安全边界(security boundaries)和信任边界(trust boundaries)

  • Kubernetes的安全边界
    • Linux系统的安全边界
    • 网络的安全边界

  • 纵深防御 / Defense in Depth
    • Kubernetes审计介绍
    • Kubernetes集群的高可用性
    • 管理Kubernetes秘钥
    • 使用Vault管理秘钥
    • 用Falco探测Kubernetes集群异常
    • Sysdig介绍


第一天下午

Kubernetes集群搭建/Cluster Setup

  • 使用网络策略NetworkPolicy限制集群网络访问
    • 实战:使用网络插件Calico,实现NetworkPolicy

  • 使用CIS基准来检查Kubernetes组件(kube-api-server、kube-scheduler、kubelet、etcd)的安全配置
    • 了解什么是CIS(Center for Internet Security)基准
    • 安装和使用 CIS Kubernetes Benchmark 测试工具:kube-bench
    • 使用kube-bench检测master及worker nodes的安全隐患配置

  • Ingress的安全配置
    • 了解什么是Ingress
    • 为Ingress配置自签名证书,建立TLS安全通信

  • 部署前验证Kubernetes二进制文件
    • 通过sha512sum验证Kubernetes二进制文件


Kubernetes集群安全强化/Cluster Hardening

  • 限制对Kubernetes API的访问
    • Kubernetes的鉴权/Kubernetes authentication
    • Kubernetes的授权/Kubernetes authorization
    • Kubernetes的准入控制/Kubernetes Admission Control

  • RBAC(基于角色的访问控制)
    • 了解什么是RBAC
    • RBAC的使用,创建ServiceAccount,Role/ClusterRole和RoleBinding/ClusterRoleBinding

  • ServiceAccount的最佳安全实践
    • 禁用默认的ServiceAccount
    • 对新创建的ServiceAccount应用最小权限原则

  • 升级Kubernetes
    • 使用kubeadm升级Kubernetes集群


第二天上午

系统强化/System Hardening

  • 减小系统的被攻击面
    • 去除不需要的系统软件模块

  • 限制对外网的访问
    • 使用防火墙保护主机
    • 使用NetworkPolicy限制对外网的访问

  • 使用Linux系统安全模块
    • 使用AppArmor限制容器对资源的访问
    • 使用Seccomp限制容器内进程的系统调用


最小化微服务漏洞/Minimize Microservice Vulnerabilities


  • 使用PSP,OPA,安全上下文提高安全性
    • 了解并配置Pod安全策略 (PSP)
    • 了解并配置OPA Gatekeeper
    • 了解并配置Pod或容器安全上下文(securityContext)

  • 管理Kubernetes Secret
    • 使用Kubernetes Secret存储敏感信息

  • 在多租户环境中使用沙箱运行容器(例如gvisor,kata容器)
    • 了解为什么要部署沙箱
    • 什么是gVisor?安装gvisor
    • 配置RuntimeClass,使用gVisor运行Pod

  • 实现Pod和Pod之间的双向TLS认证
    • 了解什么是mTLS(mutual TLS)
    • 使用mTLS进行安全通信


第二天下午

供应链安全

  • 容器安全
    • 选择尽可能小的基础镜像
    • 对容器镜像进行签名和验证

  • 防止恶意容器创建
    • 通过黑名单/白名单来限制访问容器镜像仓库
    • 了解准入控制器Admission Control
    • 了解并配置ImagePolicyWebhook

  • 分析文件及镜像安全隐患
    • 分析Dockerfile、Kubernetes yaml文件的安全隐患
    • 使用工具扫描镜像漏洞,如trivy


监控、审计和运行时安全

  • 分析容器系统调用,检测恶意进程
    • 安装并使用Falco,进行运行时安全监控

  • 构建不可变容器(Immutable container)

  • Kubernetes审计
    • 开启Kubernetes审计日志
    • 分析Kubernetes审计日志


第三天上午

Kubernetes常见漏洞/Kubernetes CVEs(Common Vulnerabilities and Exposures)
  • 检测和分析加密货币挖矿攻击(Crypto-Mining Attacks)
  • Kubernetes常见漏洞分析及应对方法
  • 使用第三方工具扫描Kubernetes常见漏洞


第三天下午

CKS考试注意事项与模拟演练
  • CKS模拟题演练与解析
  • CKS考试注意事项


:学员需自备电脑,内存不小于8G。

报名链接:https://www.bagevent.com/event/7272342

注意:学员需自备电脑,内存不小于8G。

培训结束后学员可以根据自己情况预约考试时间。

0 个评论

要回复文章请先登录注册