2023年12月-CKS最新考纲

所有 CNCF 相关考纲的下载地址：https://github.com/cncf/curriculum/ (opens new window)

10% - 集群设置

• 使用 网络安全策略 限制集群级别的访问
• 使用 CIS 基准检查 Kubernetes 组件的安全配置（etcd、kubelet、kubedns、kubeapi 等）
• 正确设置带有安全控制的 Ingress 对象
• 保护节点元数据和端点
• 最小化对 GUI 元素的使用和访问
• 在部署之前验证平台二进制文件

15% - 集群加固

• 限制对 Kubernetes API 的访问
• 使用基于角色的访问控制，以最小化暴露面
• 谨慎使用服务帐户，例如禁用默认设置、对新创建的帐户实施 最小化权限 原则
• 经常更新 Kubernetes

15% - 系统加固

• 最小化主机操作系统的占用空间（减少攻击面）
• 最小化 IAM 角色
• 最小化外部网络接入
• 使用适当的内核加固工具，例如 AppArmor、seccomp

20% - 最小化微服务漏洞

• 设置适当的 操作系统级别 安全域
• 管理 Kubernetes secrets
• 在多租户环境中使用容器运行时沙箱（例如 gvisor、kata containers）
• 使用 mTLS 实现 Pod 到 Pod 加密

20% - 供应链安全

• 最小化基础镜像占用空间
• 保护您的供应链：对允许的镜像进行注册 并 列入白名单，对镜像进行签名和验证
• 对用户工作负载（例如 kubernetes 资源、docker 文件）进行静态分析
• 扫描镜像以查找已知漏洞

20% - 监控、日志记录和运行时安全性

• 在主机和容器级别，对系统调用进程 和 文件活动执行行为分析，以检测潜在的恶意活动
• 检测物理基础架构、应用程序、网络、数据、用户和工作负载中的威胁
• 检测所有的攻击阶段，无论攻击发生在何处 以及 如何传播
• 对环境中的不良行为，进行深入的分析调查和识别
• 确保容器在运行时的不可变性
• 使用审计日志监控访问