2022年2月我的CKS备考记录

2022年2月我的CKS备考记录,第1张

CKA 和 CKS 是 LINUX 基金会联合 CNCF社区组织的云原生技术领域权威认证,考试采用实 *** 方式进行。CKS全称是Kubernetes安全专家认证,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,必须已经通过CKA(Kubernetes管理员认证),在获得CKA认证之后才可以预约CKS考试。CKS 的考试难度相对于 CKA 提高了很多,2个小时的考试时间很紧张,因为考试是在外网上进行,这两个考试又是实 *** 考试,网络条件不好,很影响效率,如果不抓紧的话,很可能做不完所有实 *** 题。提醒备考的同学善用考试软件提供的 notepad 功能,先把 yaml 文件或命令写到notepad里,再粘贴到 terminal里。

我因为上次 CKA 考试还是比较顺利,94 高分通过,所以这次的 CKS 考试有点疏忽了,搞忘带身份z和护照,CKA/CKS 考试需要身份z+护照/xyk,因此跟监考老师沟通了很久时间,最后修改了考试人姓名为中文,是用驾驶证完成的考试。意外之喜是 CKS 给我的证书是中文名的。

我这次考试的 kubernetes 版本是 1.22,特意记录了一下考试会考到的知识点,分享给需要的同学。

通常使用标签选择器来选择pod,控制流量。所以要对 kubectl label的使用方法熟悉起来。

网络策略的实用方法见注释

查看当前节点加载的 apparmor profile ,如果没有加载,要手工加载

cks 考试的 apparmor profile 文件内容:

注意: nginx-profile-3 这一行要确保注释掉,考试环境提供的可能没有注释,加载配置文件按时会报错

修改 pod yaml 文件,在注释里设置为 podx 加载 apparmor profile

yaml 文件内容如下:

kube-bench 是一个 CIS 评估工具,扫描 kubernetes 集群存在的安全问题,基本上按照 扫描结果的修复建议进行修复就可以了,系统会给出很具体的修复措施。

这个题要注意 serviceaccount 有个选项 automountServiceAccountToken, 这个选项决定是否自动挂载 secret 到 pod。

有这个选项,我们可以控制 pod 创建并绑定 serviceaccount 时,不自动挂载对应的 secret,这样 pod 就没有权限访问 apiserver,提高了业务 pod 的安全性。

可以在 serviceaccount 和 pod 的 spec 里设置,pod的设置优先于 serviceaccount 里的设置。

删除未使用的 serviceaccount

这道题是送分题,设置默认拒绝所有出站和入站的 pod 流量,基本上可以参考官网的案例直接改一下名字就可以了

默认网络策略

这道题也基本是送分题,参考官网文档,根据题目要求,设置 role 的 资源访问权限,绑定到 serviceaccount 就可以了。

RBAC

这道题稍复杂,需要按照要求启动日志审计,包括两个步骤:

(1) 编写日志审计策略文件

日志审计策略

(2) 修改 kube-apiserver.yaml配置文件,启用日志审计策略,日志策略配置文件位置、日志文件存储位置、循环周期。

启动日志配置

vi /etc/kubernetes/manifests/kube-apiserver.yaml

重启 kubelet

这道题考解码 secret 的 base64 编码信息,创建新的 secret 并 mount 到 pod 的特定位置。

解码 secret

创建secret

使用secret

这道题也是送分题,主要是把 dockerfile里两个 使用了 root 用户的指令删除,把添加特定能力的 securityContext 安全上下文注释掉。

给出了 支持安全沙箱容器运行时 handler runsc , 我们需要创建一个 RuntimeClass 并在 pod spec里指定是用该 RuntimeClass

参考资料

注意:运行中的 pod 只能修改有限的几个属性,不支持修改 RuntimeClass,需要将所有 pod 的 yaml 解析出来,修改 yaml 后,再重新创建 pod

还需要修改deployment

参考链接

这道题考察对于镜像扫描工具 trivy 的使用

本体考察是否掌握 sysdig 的基本用法,记住两个帮助命令:

另外 sysdig 支持指定 containerid 分析特定容器

这道题考察是否掌握 psp 的用法,包括5步骤

(1) 创建 psp

参考链接

(2) 创建 clusterrole,使用 psp

(3) 创建 serviceaccount

(4) 绑定 clusterrole 到 serviceaccount

(5) 启用 PodSecurityPolicy

这道题同前面 kube-bench 的考核内容有点重合,题目中是用 kubeamd创建的 kubernetes服务器权限设置有问题,允许未经授权的访问。

参考链接

需要进行以下修改:

这道题考察 ImagePolicyWebhook 准入控制器的使用,分4个步骤

vi /etc/kubernetes/epconfig/admission_configuration.json

获得CKS证书证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力,并且有资格在专业环境中执行这些任务,无需刷题直接拿证需要的私我。

CKS认证它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,考生必须已经通过Kubernetes管理员认证考试(CKA),在获得CKA认证之后才可以预约CKS考试,CKS考试(包括重考)必须在CKA认证的有效期内才可以预约。

CKS考试是比较偏向实际 *** 作的一个认证,每年的考试题目变化不会非常大,题目的数量基本都在固定的范围内,但是因为是实际 *** 作所以在 *** 作过程中会遇到各种各样的问题,如果要去参加培训的话还是要尽可能多的自己动手把所有的 *** 作环节全部熟悉再去参加考试。

CKS考试内容有哪些?

集群安装:10%

使用网络安全策略来限制集群级别的访问

使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置

正确设置带有安全控制的Ingress对象

保护节点元数据和端点

最小化GUI元素的使用和访问

在部署之前验证平台二进制文件

集群强化:15%

限制访问Kubernetes API

使用基于角色的访问控制来最小化暴露

谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限

经常更新Kubernetes

获得CKS证书证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力,并且有资格在专业环境中执行这些任务。

系统强化:15%

最小化主机 *** 作系统的大小(减少攻击面)

最小化IAM角色

最小化对网络的外部访问

适当使用内核强化工具,如AppArmor, seccomp

微服务漏洞最小化:20%

设置适当的OS级安全域,例如使用PSP, OPA,安全上下文

管理Kubernetes机密

在多租户环境中使用容器运行时 (例如gvisor, kata容器)

使用mTLS实现Pod对Pod加密

供应链安全:20%

最小化基本镜像大小

保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证

使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)

扫描镜像,找出已知的漏洞

监控、日志记录和运行时安全:20%

在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动

检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁

检测攻击的所有阶段,无论它发生在哪里,如何扩散

对环境中的不良行为者进行深入的分析调查和识别

确保容器在运行时不变

使用审计日志来监视访问

*** 作如下:

如果蓝牙耳机本身上面就有音量键,这种情况下就可以直接按音量键的加号,按了这个键以后,蓝牙耳机的声音就会变得比较大了,如果按蓝牙耳机上面的减号键,音量就可以减小。

如果蓝牙耳机上面没有音量键的话,这种情况下可以直接在手机上面设置,进入手机的设置界面以后,找到媒体音量这个选项,然后就直接把媒体音量这个选项的音量调节的大一点,蓝牙耳机调声音的目的就达到了。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/7886079.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-11
下一篇 2023-04-11

发表评论

登录后才能评论

评论列表(0条)

保存