103分钟-51CTO学堂

{{ interaction.likeNum == 0 ? (pageType === 'video' ? '抢首赞' : '点赞') : formatNumber(interaction.likeNum) }} {{ interaction.collectionNum == 0 ? '收藏' : formatNumber(interaction.collectionNum) }} {{ interaction.discussNum == 0 ? (pageType === 'video' ? '抢沙发' : '讨论') : formatNumber(interaction.discussNum) }}

提问 {{ interaction.noteNum > 0 ? interaction.noteNum + '篇笔记' : '记笔记' }} 离线观看

下载学堂APP

缓存视频离线看

报告问题离线观看

下载学堂APP

缓存视频离线看

课程介绍

讨论{{interaction.discussNum ? '(' + interaction.discussNum + ')' : ''}}

适合人群

对管理容器集群安全感兴趣的操作人员对集群和容器化应用的持续管理感兴趣的系统管理员

你将会学到

使考生具备在构建、部署和运行期间确保基于容器的应用程序和K8s平台安全的技能、知识和能力。

课程简介

副本_未命名__2023-11-27+17_28_16.png

CKS认证考试包括这些一般领域及其在考试中的权重：

集群安装：10%	集群强化：15%	系统强化：15%
微服务漏洞最小化：20%	供应链安全：20%	监控、日志记录和运行时安全：20%

详细内容：

集群安装：10%

使用网络安全策略来限制集群级别的访问
使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置
正确设置带有安全控制的Ingress对象
保护节点元数据和端点
最小化GUI元素的使用和访问
在部署之前验证平台二进制文件

集群强化：15%

限制访问Kubernetes API
使用基于角色的访问控制来最小化暴露
谨慎使用服务帐户，例如禁用默认设置，减少新创建帐户的权限
经常更新Kubernetes

系统强化：15%

最小化主机操作系统的大小
最小化IAM角色
最小化对网络的外部访问
适当使用内核强化工具，如AppArmor, seccomp

微服务漏洞最小化：20%

设置适当的OS级安全域，例如使用PSP, OPA，安全上下文
管理Kubernetes机密
在多租户环境中使用容器运行时 (例如gvisor, kata容器)
使用mTLS实现Pod对Pod加密

供应链安全：20%

最小化基本镜像大小
保护您的供应链：将允许的注册表列入白名单，对镜像进行签名和验证
使用用户工作负载的静态分析(例如kubernetes资源，Docker文件)
扫描镜像，找出已知的漏洞

监控、日志记录和运行时安全：20%

在主机和容器级别执行系统调用进程和文件活动的行为分析，以检测恶意活动
检测物理基础架构，应用程序，网络，数据，用户和工作负载中的威胁
对环境中的不良行为者进行深入的分析调查和识别
确保容器在运行时不变
使用审计日志来监视访问

展开更多

发布

置顶笔记

{{ item.create_time }}{{ Number(item.like_count) || '' }}回复

删除
是否确认删除?
确认
取消
{{ item.is_top == 1 ? '取消置顶' : '置顶'}}
已有置顶的讨论，是否替换已有的置顶？
确认
取消

{{ subitem.create_time }}{{ Number(subitem.like_count) || '' }}回复

删除

点击查看更多收起

发布

{{ noteHeaderTitle }} 笔记{{ hasMyNote ? '我的笔记' : '记笔记' }}

优质笔记

更新于：{{ $dayjs.formate('YYYY-MM-DD HH:mm:ss', item.last_uptime*1000) }}

公开笔记对他人可见，有机会被管理员评为“优质笔记”

{{ noteEditor.content.length }}/2000

公开笔记

保存

提问

讲师收到你的提问会尽快为你解答。若选择公开提问，可以获得更多学员的帮助。

记录时间点

记录提问时视频播放的时间点，便于后续查看

公开提问

提交