只需要一個選項，將下列內容用中文寫成，內容如下：

文章連結：

※ CKAD和CKA的考试感想在这里。
<补充说明，我于2020年12月28日通过考试，所以更新了以下感想文>
※ CKS的考试感想在这里。

---

首先

迄今为止，Kubernetes的认证资格分为以下两种：
– 认证Kubernetes应用开发人员（CKAD）
– 认证Kubernetes管理员（CKA）

此次新增第三种资格：认证Kubernetes安全专家（CKS），将从2020年11月开始提供。
***补充***：从11月17日起可购买。

那么，让我们讨论一下在参加考试之前需要做哪些准备工作。

您可以通过下面的链接查看我的CKAD和CKA考试记录。
※ Certified Kubernetes Application Developer (CKAD)和Certified Kubernetes Administrator (CKA) 受骗记录

考试细节

报考条件：只有通过 Certified Kubernetes Administrator (CKA) 考试的人才可以报考。
※ 注意，不是通过 Certified Kubernetes Application Developer (CKAD) 考试，所以请注意！！！※
考试时间：2小时
题目数量：15-20道题（CKAD-19道题/2小时，CKA-24道题/3小时 ※从2020年9月起CKA-19道题/2小时）
合格标准：67％（CKAD-66％，CKA-74％）
考试费用：$300
认证有效期：2年
兼容版本：Kubernetes v1.19及以上
题目范围：
・集群设置（10%）
・集群加固（15%）
・系统加固（15%）
・减少微服务漏洞（20%）
・供应链安全（20%）
・监控、日志和运行时安全（20%）

以下是CNCF公布的资料：
– 候选人手册
– 课程概要
– 考试技巧
– 常见问题解答
– Linux基金会全球认证与保密协议
– 认证验证

---

集群设置（10%）

会出题与集群设置相关的内容。

1. 使用网络安全策略来限制集群级别的访问

 

1. ⇒ 网络策略（NP）是什么：网络策略

 

1. ⇒ NP模板：网络策略（Template）

 

1. ⇒ 相关页面：在集群中管理TLS证书

 

1. 使用CIS基准来确认Kubernetes组件的安全配置

 

1. ⇒ 相关页面：Kubernetes和安全基准

 

1. ⇒ 相关页面：CIS基准

 

1. 适当配置Ingress对象以进行安全控制

 

1. ⇒ 相关页面：Ingress对象

 

1. 保护节点的元数据和终端点

 

1. ⇒ 相关页面：

 

1. 最小化使用GUI元素和访问权限

 

1. ⇒ 相关页面：Web UI

 

1. ⇒ 相关页面：用于Kubernetes端口转发的GUI

 

1. 在部署之前确认平台二进制文件

 

⇒ 相关页面：

---

集群加固（15%）

将会出题与集群稳定性有关的内容。

1. 限制对Kubernetes API的访问

 

1. ⇒ 相关页面：控制对Kubernetes API的访问

 

1. 使用基于角色的访问控制（RBAC）来最小化暴露

 

1. ⇒ 相关页面：使用RBAC授权

 

1. 遵守使用服务账号的注意事项

 

1. 附加：关于新创建的服务账号的默认禁止和权限最小化等

 

1. ⇒ 相关页面：配置Pod的服务账号

 

1. ⇒ 相关页面：管理服务账号

 

1. 经常更新Kubernetes

 

⇒ 相关页面：

---

系统加固（15%）

将会出题与系统强化相关的内容。

1. 减小主机操作系统的占用空间（减少攻击目标）

 

1. → 对应页面：尽量减少IAM角色

 

1. → 对应页面：使用kube2iam在Kubernetes上配置AWS IAM角色

 

1. 限制对网络的外部访问

 

1. → 对应页面：网络策略

 

1. → 观看Youtube视频：缓解Kubernetes的攻击

 

1. 适当使用AppArmor、seccomp等内核强化工具

 

1. → 对应页面：使用AppArmor限制容器对资源的访问

 

1. → 对应页面：使用seccomp限制容器的系统调用

 

1. → 对应页面：Pod安全策略

 

→ 对应页面：seccomp

---

减少微服务漏洞（20%）

出题将涉及如何最小化微服务的安全漏洞。

1. 使用PSP、OPA、安全上下文等，建立合适的操作系统级安全领域。

 

1. 対应页面：Pod安全策略

 

1. 対应页面：Rego策略语言参考

 

1. 対应页面：Rego Playground

 

1. 対应页面：Gatekeeper教程 – Katacoda

 

1. 対应页面：通过Open Policy Agent实现Kubernetes授权

 

1. 対应页面：为Pod或容器配置安全上下文

 

1. Youtube视频：Open Policy Agent简介（Kubecon 2019）- Torin Sandall

 

1. Youtube视频：Gatekeeper简介（Kubecon 2019）- Rita Zhang和Max Smythe

管理Kubernetes密钥
対应页面：Secrets
対应页面：使用Secrets安全分发凭据
対应页面：加密密钥数据的数据安全
在多租户环境（如gvisor、katacontainers）中使用容器运行时沙盒
対应页面：Hypernetes：将安全和多租户性能引入Kubernetes
対应页面：Github-google/gvisor
対应页面：katacontainers-容器速度，虚拟机安全性
Youtube视频：使用gVisor隔离您的容器（Cloud Next ’18）
Youtube视频：内部敌人：使用gVisor运行不可信代码
Youtube视频：Kata和gVisor：定量比较
使用mTLS对Pod间进行加密
対应页面：在Istio上使用mTLS进行流量加密
対应页面：跨Kubernetes集群进行安全服务网格通信
対应页面：11种（不）被黑客攻击的方法
対应页面：TLS引导
対应页面：管理集群中的TLS证书

---

供应链安全（20%）

将涉及供应链安全的内容提出。

1. 最小化基础映像的足迹

 

1. ⇒ 相应页面：如何减少Docker映像大小

 

1. 保护供应链：将授权注册表添加到白名单，对映像进行签名和验证

 

1. ⇒ 相应页面：映像

 

1. ⇒ 相应页面：使用准入控制器

 

1. 使用静态分析对用户工作负载（Kubernetes资源、Docker文件等）进行分析

 

1. ⇒ 相应页面：11种（不）被黑客入侵的方法

 

1. ⇒ 相应页面：云原生安全概览

 

1. ⇒ 工具：Krane

 

1. 对已知漏洞的映像进行扫描

 

1. ⇒ 相应页面：11种（不）被黑客入侵的方法

 

1. ⇒ 相应页面：云原生安全概览

 

1. ⇒ Youtube：Trivy开源容器映像扫描程序

 

⇒ Youtube：使用Clair识别容器中的常见漏洞和公开可见性

---

监控、日志记录和运行时安全（20%）

考试中会涉及到监控、记录和运行时安全性方面的内容。

1. 在主机和容器级别对系统调用进程和文件活动进行行为分析，检测恶意活动。

 

1. ⇒ 对应页面：在Kubernetes集群中使用sysctls

 

1. ⇒ 对应页面：在Docker和Kubernetes中过滤系统调用

 

1. ⇒ 对应页面：使用Linux内核工具在Kubernetes中调试应用程序

 

1. ⇒ 对应页面：Linux系统调用的迷人世界

检测威胁在物理基础设施、应用程序、网络、数据、用户和工作负载中的存在。
⇒ 对应页面：Linux系统调用的迷人世界

检测攻击的各个阶段无论发生地点和方式。
⇒ 对应页面：Linux系统调用的迷人世界

进行详细的分析调查，以确定环境中存在的恶意行为者。
⇒ 对应页面：Linux系统调用的迷人世界

确保容器在运行时的不变性。
⇒ 对应页面：Immutable CRD？

使用审计日志来监视访问。
⇒ 对应页面：审计
⇒ 对应页面：kube-apiserver
⇒ 对应页面：集群管理

3. 最终地

让我们一起努力吧。如果您有任何观点或建议，请不要犹豫，在下方的评论栏中写下来。