Udemy線上課程 2022年Kubernetes cks1.24真題講解 講師:小 莫 影音教學 中文發音 中文版(DVD版)
Udemy線上課程2022年Kubernetescks1.24真題講解講師:小莫影音教學中文發音中文版(DVD版)內容說明:
kubernetes現在可謂是當前最火熱的技術，想必很多人都已經會基本的kubernetes的使用了，但其安全性如何?kubernetes集群是否存在安全隱患、所使用的鏡像是否有漏洞、如何通過黑名單/白名單來限制鏡像倉庫、如何限制容器進程的系統調用等。
安全沒有小問題，所以當務之急是亟需解決kubernetes的安全性問題。
kubernetes安全專家認證（CertifiedKubernetesSecuritySpecialist）是由雲原生基金會(CNCF)推出的繼CKA及CKAD之後，業界備受關注的另一箇高含金量的K8S認證，主要考察的就是如何排查及解決kubernetes的安全隱患。
Linux基金會的內容和社交媒體高級經理DanBrown表示：“對於處理越來越多使用雲技術的安全團隊以及需要改善其安全性的雲團隊來說，這個認證至關重要”。
所以CKS值得每一位kubernetes從業者及愛好者去學習並考取證書。
與CKA一樣，CKS考試時長為2個小時，題目在15-20題之間，所有題目均為實操題。
考試採用遠程方式進行，由監考員通過網絡攝像頭和屏幕共享進行實時監控。
報考CKS必須要通過CKA考試，且證書在有效期內，CKS證書有效期為3年。

CKS課程大綱
CKS認證是雲原生基金會(CNCF)最新推出的kubernetes認證安全專家(CertifiedKubernetesSecuritySpecialist)。
一、群集設置
1.使用網絡安全策略限制群集級別的訪問使用網絡策略控制流量保護Kubernetes集群安全聲明網絡策略以控制Pod的通信方式
2.使用CIS基準來檢查Kubernetes組件（etcd，kubelet，kubedns，kubeapi）的安全配置瞭解什麼是CenterforInternetSecurity（CIS）基準KubernetesCISBenchmark測試的工具：用kube-bench檢測master及worker上隱患配置
3.配置ingress的安全設置瞭解什麼是Ingress建立自簽名證書替換ingress自帶的證書
4.保護節點元數據限制通過API訪問元數據通過配置文件設置Kubelet參數
5.最大限度地減少對dashboard的使用和訪問設置Kubernetesdashboard的安全
6.部署前驗證kubernetes二進制文件通過sha512sum驗證kubernetes二進制文件

二、群集強化
1.限制對KubernetesAPI的訪問了解訪問kubernetesapi的流程控制對KubernetesAPI的訪問
2.使用RBAC最大程度的減少資源暴露瞭解kubernetesapiserver的授權模塊使用RBAC授權
3.SA的安全設置，例如禁用默認值，最小化對新建立sa的權限瞭解SA的作用瞭解默認情況下SA帶來的安全隱患及演示如何有效解決sa的權限問題
4.更新Kubernetes用kubeadm升級集群

三、系統強化
1.服務器的安全設置去除系統不需要的內核模塊
2.最小化IAM角色瞭解什麼是最低特權原則（POLP）
3.最小化外部網絡訪問使用操作系統級防火牆保護主機使resourcequota及limitrange限制對資源的訪問
4.適當使用內核強化工具，例如AppArmor，seccomp
使用AppArmor限制容器對資源的訪問
使用Seccomp限制容器的syscall

四、最小化微服務漏洞
1.使用PSP，OPA，安全上下文提高安全性
瞭解並配置Pod安全策略(PSP)
瞭解什麼是OpenPolicyAgent(OPA)
OPAGatekeeper的配置
為Pod或容器配置安全上下文(securityContext)
2.管理Kubernetessecret
使用secret存儲敏感信息
靜態加密Secret數據
valut、kubeseal
3.在多租戶環境中使用沙箱運行容器（例如gvisor，kata容器）瞭解為什麼要部署沙箱什麼是gVisor？安裝gvisor使用gVisor運行Pod安裝kata，部署kata容器
4.使用mTLS實施Pod到Pod的加密瞭解什麼是mTLS(mutualTLS)使用mTLS進行流量加密
五、供應鏈安全
1.減小image的大小如何建立比較小的鏡像
2.保護供應鏈：將允許的鏡像倉庫列入白名單，對鏡像進行簽名和驗證瞭解准入控制器AdmissionControllers瞭解並配置ImagePolicyWebhook配置kubernetes所使用鏡像倉庫的白名單及黑名單對鏡像進行簽名和驗證
3.分析文件及鏡像安全隱患（例如Kubernetes的yaml文件，Dockerfile）分析dockefile文件的安全隱患分析pod、deployment的yaml文件裏的安全隱患用trivy掃描鏡像的漏洞
六、監控、審計和runtime
1.分析容器系統調用，以檢測惡意進程如何使用Falco檢測Kubernetes漏洞用sysdig對kubernetes進行安全監控
2.配置runtimeClass
3.Kubernetes審計開啟Kubernetes審計日誌分析Kubernetes審計日誌
課程內容:
01-CKS1.24
001CKS考試介紹.mp4
00201kube-bench修復不安全項.mp4
00302Pod指定ServiceAccount.mp4
00403默認網絡策略.mp4
00504RBAC-RoleBinding.mp4
00605日志審計logaudit.mp4
00706創建Secret.mp4
00807Dockerfile檢測.mp4
00908沙箱運行容器gVisor.mp4
01009容器安全，刪除特權Pod.mp4
01110網絡策略NetworkPolicy.mp4
01211Trivy掃描鏡像安全漏洞.mp4
01312AppArmor.mp4
01413Sysdig&falco.mp4
01514Pod安全策略-PSP.mp4
01615啟用APIserver認證.mp4
01716ImagePolicyWebhook容器鏡像掃描.mp4


相關商品:Udemy線上課程2022年Kubernetesckad真題1.24講解講師:小莫影音教學中文發音中文版(DVD版)