Certificarea Certified Kubernetes Security Specialist (CKS) este un examen bazat pe performanță care testează cunoștințele candidatilor despre securitatea în Kubernetes într-un mediu simulat, asemănător cu cele din realitate. Candidații trebuie să aibă promovat examenul Certified Kubernetes Administrator (CKA) pentru a putea susține certificarea CKS. Obținerea CKS demonstrează existența abilităților necesare pentru a securiza atât aplicațiile containerizate, cât și platforma Kubernetes în timpul construirii, implementării dar și la runtime.
Planul de studiu pentru CKS este bine structurat, cu topicuri referitoare la securitatea în Kubernetes.
Înregistrarea pentru examenul CKS
Certificarea CKS este un examen furnizat de The Linux Foundation.
Înregistrarea pentru susținerea examenului CKS poate fi făcută oricând, dar prima condiție este ca, până la data examenului, candidatul să aibă promovată certificarea CKA (bineînțeles, certificarea trebuie să nu fie expirată).
Din ziua înregistrării, examenul trebuie susținut în termen de 1 an. Se oferă două încercări pentru promovarea examenului.
Examenul costă 375 $, dar, ca pont, recomand achiziționarea lui în ziua de Cyber Monday, când poate avea o reducere chiar și de 50%. În 2021, Cyber Monday pică pe 29 noiembrie - mai e un pic.
După programarea examenului, aveți la dispoziție un simulator, creat și furnizat de Killer.sh. Simulatorul poate fi accesat de 2 ori, fiecare sesiune având o durată de 36 de ore.
Detaliile examenului CKS
Câteva informații importante:
- durata examenului este de 2 ore
- procentajul de trecere este de 67%
- versiunea de Kubernetes - se actualizaează periodic (acum este 1.21)
- validitatea certificării: 2 ani
- tip examen: hands-on (nu există grile cu întrebări și răspunsuri)
- numărul de taskuri: între 15 și 20 de taskuri bazate pe performanță
- rezultatul va fi trimis prin email în maxim 24 de ore de la finalizarea examenului
Examenul este supravegheat video și audio de un proctor, ecranul fiind, de asemenea, partajat.
Manualul oficial al candidaților: https://docs.linuxfoundation.org/tc-docs/certification/lf-candidate-handbook
Sfaturi oficiale pentru examen: https://docs.linuxfoundation.org/tc-docs/certification/important-instructions-cks
Demo cu interfața examenului: https://www.youtube.com/watch?v=9UqkWcdy140
Resurse permise în timpul examenului
Examenul se ține în Google Chrome - pe lângă tabul de examen, este permisă deschiderea unui singur tab suplimentar cu documentație, astfel:
- documentație Kubernetes:
- https://kubernetes.io/docs/ cu subdomeniile sale
- https://kubernetes.io/blog/ cu subdomeniile sale
- https://kubernetes.io/docs/ cu subdomeniile sale
- tooluri:
- documentație Trivy: https://github.com/aquasecurity/trivy
- documentație Sysdig: https://docs.sysdig.com/
- documentație Falco: https://falco.org/docs/
- App Armor
Ni se atrage atenția că siteurile permise pot conține linkuri către alte siteuri externe și este responsabilitatea candidatului să nu dea click pe aceste linkuri pentru a nu naviga în domenii nepermise.
Programa examenului CKS
Examenul CKS își propune testarea abilităților pe diferite domenii de securitate. Tabelul de mai jos prezintă diferitele domenii testate, dar și ponderea lor:
| Topic | Pondere |
| Cluster Setup | 10% |
| Cluster Hardening | 15% |
| System Hardening | 15% |
| Minimiza Microservice Vulnerabilities | 20% |
| Supply Chain Security | 20% |
| Monitoring, Logging and Runtime Security | 20% |
Mai multe detalii despre fiecare topic în parte aici: https://training.linuxfoundation.org/certification/certified-kubernetes-security-specialist/
Cursuri pentru CKS
Există două cursuri mari și late:
- Kubernetes CKS 2021 Complete Course - Theory - Practice - de Kim Wüstkamp
- Certified Kubernetes Security Specialist (CKS) - creat de echipa KodeKloud, coordonată de Mumshad Mannambeth
Ambii autori au făcut o treabă minunată atât cu conținutul cursurilor, cât și cu laboratoarele pe care le pun la dispoziție pentru învățare.
Ca mediu de lucru, mi-am creat un cluster k8s în KVM cu 1 master (pe Ubuntu) și 3 noduri (unul pe Ubuntu, unul pe CentOS 8, altul pe Fedora CoreOS) - bineînțeles, în timpul procesului de învățare clusterul a fost resetat și actualizat de mai multe ori:
Considerații personale
Certificarea CKS este, pe drept cuvânt, contracronomentru; totodată, mi s-a părut mai grea decât CKA: dacă la CKA am terminat cu 30 de minute înainte de final și am avut timp de verificare, acum, în ultima secundă a examenului eu încă lucram la ultimul subiect (pe care l-am lăsat neterminat, evident). Timpul este dușmanul vostru la acest examen - dacă nu gestionați timpul eficace, există riscul să nu acoperiți toate subiectele.
Nu este timp de învățat în timpul examenului din documentație: când căutați ceva în singurul tab permis să fie deschis, trebuie să știți exact ce vreți să căutați.
Obligatoriu trebuie setate câteva aliasuri la început (chiar dacă operațiunea pare consumatoare de timp, folosirea lor vă va salva minute bune în timpul examenului):
alias k='kubectl'
alias kg='kubectl get'
alias ke='kubectl edit'
alias ka='kubectl apply -f'
alias kl='kubectl logs'
alias kd='kubectl describe'
alias kc='kubectl create'
alias kgpo='kubectl get pods'
alias kdel='kubectl delete'
export fg="--force --grace-period=0"Recomand răsfoirea tuturor subiectelor și rezolvarea cu prioritate a celor care au pondere mai mare - 8%, 12% sau chiar 13%. Subiectele lăsate în urmă trebuie marcate cu flag, după care vom reveni la ele.
Asigurați-vă că subiectul rezolvat este pe clusterul specificat în cerință - nu ați vrea să rezolvați un subiect cu pondere mare pe un cluster greșit, căci veți lua 0 puncte pe el.
De asemenea, recomand ca înainte de examen să fie rezolvate de câteva ori la perfecție subiectele din cadrul simultatorului funizat de killer.sh și cele 3 examene mock de la KodeKloud (nu doar învățarea soluțiilor, ci înțelegerea lor - astfel, vă va fi mult mai ușor la examenul real să înțelegeți mai repede cerințele taskurilor).
Concluzii
CKS este una dintre cele mai râvnite certificări în comunitatea DevOps. Concentrați-vă asupra învățării și înțelegerii tuturor conceptelor legate de securitatea în Kubernetes, precum și a utilizării celor mai bune practici.
Lasă un răspuns