~歡迎企業洽談包班需求 ~
「軟體開發/程式設計/智慧綠能課程主題館」 同步招生中 !!

課程緣起

Kubernetes已是現代雲端的關鍵技術，其安全性日漸受到關注，例如使用含有漏洞的 Container 映像檔，或因權限設定不當導致的資源濫用，都可能造成嚴重損失，企業現在不只需要會用 Kubernetes 的人，更需要懂得如何保護它的專家！Certified Kubernetes Security Specialist（CKS）認證是國際公認的 Kubernetes 安全專家證明，證明您具備應對這些挑戰的專業能力。本課程提供紮實的實戰訓練，助您掌握 Kubernetes 安全技能，為 CKS 認證做好萬全準備。
 

課程目標

本課程助您快速掌握 Kubernetes 安全核心技能，完成課程後您將能：

• 強化叢集安全：使用網路策略、RBAC、Pod 安全策略等技術。
• 控制執行權限：設定 Pod 與 Container 的 Security Context。
• 提升 Container 防護：進行映像檔掃描及執行階段安全監控。
• 監控與應對威脅：配置稽核日誌與監控工具，保障環境安全。
• 精準備考：透過模擬考題與實戰演練，充分準備 CKS 認證。

課程特色

1. Kubernetes 太空人（Kubestronaut）導師團隊親授，專家指導，少走彎路。
2. 講師獨家編撰講義帶你掌握 CKS 考點精華。
3. 開箱即用的 Taroko Kubernetes 平台，打造全真考場環境，隨時練習應試技巧。
    

預備知識

 Container 技術, Linux 系統基礎維運

適合對象

• 維護 Kubernetes 安全的工程師
• 關注 Container 安全的開發者（Developer）
• DevOps & SRE 工程師
• 準備考取 CKS 認證者

課程內容

群集設置領域- 15%

• 使用網路安全策略來限制叢集級別的訪問
• 使用CIS基準檢查Kubernetes元件(etcd, kubelet, kubedns, kubeapi)的安全設定。
• 使用TLS正確設定入口
• 保護節點元資料和端點
• 在部署之前驗證平台二進位文件

系統加固領域- 10%

• 最小化主機作業系統佔用空間(減少攻擊面)
• 使用最小權限身分和存取管理
• 減少對網路的外部訪問
• 適當使用內核加固工具，如AppArmor、seccomp

供應鏈安全領域- 20%

• 最小化基本鏡像佔用空間
• 了解您的供應鏈(例如，SBOM、CI/CD、製品倉庫)
• 保護您的供應鏈(允許的註冊中心、簽名及驗證製品等)。
• 執行使用者工作負載和容器鏡像的靜態分析(例如Kubesec, KubeLinter)

集群加固領域- 15% 

• 使用基於角色的存取控制來最小化暴露
• 謹慎使用服務帳戶，例如停用預設值，最小化新建立帳戶的權限
• 限制存取Kubernetes API
• 升級Kubernetes以避免漏洞

最小化微服務漏洞領域- 20%

• 使用適當的pod安全標準
• 管理Kubernetes機密
• 理解並實現隔離技術(多租戶、沙盒容器等)
• 使用Cilium實現Pod-to-Pod加密

監控、日誌記錄和運行時安全領域- 20%

• 執行行為分析以偵測惡意活動
• 偵測實體基礎架構、應用程式、網路、資料、使用者和工作負載中的威脅
• 調查並識別攻擊階段和環境中的不良參與者
• 確保容器在運作時的不變性
• 使用Kubernetes審計日誌監控訪問

考試權重占比

1、集群安裝：10%

• 使用網路安全策略來限制叢集級別的訪問
• 使用 CIS 基準檢查 Kubernetes 組件（etcd、kubelet、kubedns、kubeapi）的安全配置
• 正確設置帶有安全控制的 Ingress 物件
• 保護節點元數據和端點
• 最小化 GUI 元素的使用和訪問
• 在部署之前驗證平台二進制文件

2、集群強化：15%

• 限制訪問 Kubernetes API
• 使用基於角色的訪問控制來最小化暴露
• 謹慎使用服務帳戶，例如禁用預設設置，減少新創建帳戶的權限
• 定期更新 Kubernetes

3、系統強化：15%

• 最小化主機作業系統的大小（減少攻擊面）
• 最小化 IAM 角色
• 最小化對網路的外部訪問
• 適當使用內核強化工具，如 AppArmor、seccomp

4、微服務漏洞最小化：20%

• 設置適當的 OS 級安全域，例如使用 PSP、OPA、安全上下文
• 管理 Kubernetes 機密
• 在多租戶環境中使用容器執行時（例如 gVisor、Kata 容器）
• 使用 mTLS 實現 Pod 對 Pod 加密

5、供應鏈安全：20%

• 最小化基礎映像大小
• 保護您的供應鏈：將允許的註冊表列入白名單，對映像進行簽名和驗證
• 使用靜態分析用戶工作負載（例如 Kubernetes 資源、Docker 檔案）
• 掃描映像，查找已知的漏洞

6、監控、日誌記錄與運行時安全：20%

• 在主機和容器層級執行系統調用、進程和文件活動的行為分析，以檢測惡意活動
• 偵測物理基礎架構、應用程式、網路、數據、使用者和工作負載中的威脅
• 偵測攻擊的所有階段，無論其發生位置及擴散方式
• 對環境中的不良行為者進行深入的分析調查與識別
• 確保容器在運行時保持不變
• 使用審計日誌來監視訪問

CKS認證現在有中文版或英文版考試可供選擇。擁有CKA認證是參加CKS的必備條件。 CKS的認證有效期限為2年。

CKS是基於實操的考試。 CKS認證考試測驗考生在建置、部署和運行期間確保基於容器的應用程式和Kubernetes平台安全的技能、知識和能力。該考試需要兩個小時內完成，考試是採用遠端方式進行, 由監考員進行即時監控。另外，考試費用亦包括一次免費重考，如果考生第一次參加考試沒有通過，便可以免費預約重考。此外，所有CKS的考生都可以參加Killer.sh的模擬考試（只有英文），幫助他們提前體驗考試環境。

CKS（認證 Kubernetes 安全專家） ——CKS 認證以安全為重點，專為希望加深在保護基於容器的應用程式和 Kubernetes 叢集方面的專業知識的 Kubernetes 管理員而設計。