Certified Kubernetes Security Specialist (CKS) 新たな挑戦へ

記事リンク：

※ CKAD&CKA受験感想はこちらです。
<追記 2020年12/28日合格しましたので、下記感想文を更新しました>
※ CKS受験感想はこちらです。

---

1. はじめに

これまで、Kubernetes認定資格は以下の2種類がありました。
・Certified Kubernetes Application Developer (CKAD)
・Certified Kubernetes Administrator (CKA)
今回、3つ目の資格 Certified Kubernetes Security Specialist (CKS) が2020年11月から提供します。
※追記 11月17日から購入可能になりました。
それでは、受験可能まで何を準備すれば良いかを議論していきましょう。

私のCKAD & CKA受験記録は以下のリンクよりご覧になれます。
※ Certified Kubernetes Application Developer (CKAD) & Certified Kubernetes Administrator (CKA) 受験記録

2. 試験詳細

受験条件：Certified Kubernetes Administrator (CKA) をクリアした方のみ
※ Certified Kubernetes Application Developer (CKAD) ではないので、要注意！！！※
試験時間：2時間
設問数：15-20問（CKAD-19問/2時間、CKA-24問/3時間 ※2020年9月からCKA-19問/2時間）
基準点：67％（CKAD-66％、CKA-74％）
受験料：$300
認定有効期間：2年間
対応バージョン：Kubernetes v1.19以降
出題範囲：
・Cluster Setup (10%)
・Cluster Hardening (15%)
・System Hardening (15%)
・Minimize Microservice Vulerabilities (20%)
・Supply Chain Security (20%)
・Monitoring & Logging & Runtime Security (20%)

CNCF公式が公開されている資料はこちらです。
- Candidate Handbook
- カリキュラムの概要
- Exam Tips
- Frequently Asked Questions
- Linux Foundation Global Certification and Confidentiality Agreement
- 認定の確認

---

Cluster Setup (10%)

クラスターのセットアップに関する内容が出題されます。

1. ネットワークセキュリティポリシーを使用してクラスタレベルのアクセスを制限する
   ⇒ Network Policy(NP)とは：Network Policy
   ⇒ NPのテンプレート：networkpolicy (Template)
   ⇒ 対応ページ：Manage TLS Certificates in a Cluster

2. CISベンチマークを使用して、Kubernetesコンポーネントのセキュリティ構成を確認する
   ⇒ 対応ページ：Kubernetes and Security Benchmarks
   ⇒ 対応ページ：CIS ベンチマーク

3. セキュリティ制御によるIngressオブジェクトを適切に設定する
   ⇒ 対応ページ：Ingress Object

4. ノードのメタデータとエンドポイントを保護する
   ⇒ 対応ページ：

5. GUI要素の使用とアクセスを最小化する
   ⇒ 対応ページ：Web UI
   ⇒ 対応ページ：GUI for Kubernetes port forwarding

6. デプロイ前にプラットフォームバイナリを確認する
   ⇒ 対応ページ：

---

Cluster Hardening (15%)

クラスターの堅牢化に関する内容が出題されます。

1. Kubernetes APIへのアクセスを制限する
   ⇒ 対応ページ：Controlling Access to the Kubernetes API

2. ロールベースアクセスコントロールを使用して、露出を最小限に抑える
   ⇒ 対応ページ：Using RBAC Authorization

3. サービスアカウントを使用する際の注意事項を実践する
   追記：新しく作成したサービスアカウントについてのデフォルト禁止や権限の最小化など
   ⇒ 対応ページ：Configure Service Accounts for Pods
   ⇒ 対応ページ：Managing Service Accounts

4. Kubernetesを頻繁に更新する
   ⇒ 対応ページ：

---

System Hardening (15%)

システムの堅牢化に関する内容が出題されます。

1. ホストOSのフットプリントを最小化する（攻撃対象を減らす）
   ⇒ 対応ページ：

2. IAMロールを最小限に抑える
   ⇒ 対応ページ：AWS IAM Role on Kubernetes with kube2iam

3. ネットワークへの外部アクセスを最小限に抑える
   ⇒ 対応ページ：Network Policies
   ⇒ Youtube：Mitigating Kubernetes attacks

4. AppArmor、seccompなどのカーネル強化ツールを適切に使用する
   ⇒ 対応ページ：Restrict a Container's Access to Resources with AppArmor
   ⇒ 対応ページ：Restrict a Container's Syscalls with Seccomp
   ⇒ 対応ページ：Pod Security Policies
   ⇒ 対応ページ：seccomp

---

Minimize Microservice Vulerabilities (20%)

マイクロサービスの脆弱性を最小限に抑えるに関する内容が出題されます。

1. PSP、OPA、セキュリティコンテキストなどを使用して、適切なOSレベルのセキュリティドメインをセットアップする
   ⇒ 対応ページ：Pod Security Policies
   ⇒ 対応ページ：Rego Policy Language Reference
   ⇒ 対応ページ：Rego Playground
   ⇒ 対応ページ：Gatekeeper tutorial - Katacoda
   ⇒ 対応ページ：Kubernetes Authorization via Open Policy Agent
   ⇒ 対応ページ：Configure a Security Context for a Pod or Containe
   ⇒ Youtube：Intro to Open Policy Agent (Kubecon 2019) - Torin Sandall
   ⇒ Youtube：Intro to Gatekeeper (Kubecon 2019) - Rita Zhang & Max Smythe

2. Kubernetesシークレットを管理する
   ⇒ 対応ページ：Secrets
   ⇒ 対応ページ：Distribute Credentials Securely Using Secrets
   ⇒ 対応ページ：Encrypting Secret Data at Rest

3. マルチテナント環境（gvisor、katacontainersなど）でコンテナランタイムサンドボックスを使用する
   ⇒ 対応ページ：Hypernetes: Bringing Security and Multi-tenancy to Kubernetes
   ⇒ 対応ページ：Github-google/gvisor
   ⇒ 対応ページ： katacontainers-The speed of containers, the security of VMs
   ⇒ Youtube：Sandboxing your containers with gVisor (Cloud Next '18)
   ⇒ Youtube：The Enemy Within: Running Untrusted Code with gVisor
   ⇒ Youtube：Kata and gVisor: A Quantitative Comparison

4. mTLSを使用してPod間の暗号化を行う
   ⇒ 対応ページ：Traffic Encryption using mTLS on Istio
   ⇒ 対応ページ：Secure Service Mesh Communication Across Kubernetes Clusters
   ⇒ 対応ページ：11 Ways (Not) to Get Hacked
   ⇒ 対応ページ：TLS bootstrapping
   ⇒ 対応ページ：Manage TLS Certificates in a Cluster

---

Supply Chain Security (20%)

サプライチェーンのセキュリティに関する内容が出題されます。

1. ベースイメージのフットプリントを最小化する
   ⇒ 対応ページ：How to reduce Docker Image sizes

2. サプライチェーンを保護する：許可されたレジストリをホワイトリストに登録し、イメージに署名して検証する
   ⇒ 対応ページ：Images
   ⇒ 対応ページ：Using Admission Controllers

3. ユーザーワークロード（Kubernetesリソース、Dockerファイルなど）の静的分析を使用する
   ⇒ 対応ページ：11 Ways (Not) to Get Hacked
   ⇒ 対応ページ：Overview of Cloud Native Security
   ⇒ Tools：Krane

4. 既知の脆弱性に関するイメージをスキャンする
   ⇒ 対応ページ：11 Ways (Not) to Get Hacked
   ⇒ 対応ページ：Overview of Cloud Native Security
   ⇒ Youtube：Trivy Open Source Scanner for Container Images
   ⇒ Youtube：Identifying Common Vulnerabilities and Exposures in Containers with Clair

---

Monitoring & Logging & Runtime Security (20%)

モニタリング、ロギング、ランタイムのセキュリティに関する内容が出題されます。

1. ホストおよびコンテナレベルでsyscallプロセスやファイルのアクティビティについて行動分析し、悪意のあるアクティビティを検出する
   ⇒ 対応ページ：Using sysctls in a Kubernetes Cluster
   ⇒ 対応ページ：Filtering System Calls in Docker and Kubernetes
   ⇒ 対応ページ：Debug application inside Kubernetes using linux kernel tools
   ⇒ 対応ページ：The Fascinating World of Linux System Calls

2. 物理インフラ、アプリ、ネットワーク、データ、ユーザー、およびワークロード内の脅威を検出する
   ⇒ 対応ページ：The Fascinating World of Linux System Calls

3. 発生場所や発生方法を問わず、あらゆるフェーズの攻撃を検出する
   ⇒ 対応ページ：The Fascinating World of Linux System Calls

4. 詳細な分析調査を行い、環境内に存在する悪役を特定する
   ⇒ 対応ページ：The Fascinating World of Linux System Calls

5. 実行時のコンテナの不変性を確保する
   ⇒ 対応ページ：Immutable CRD?

6. 監査ログを使用してアクセスを監視する
   ⇒ 対応ページ：Auditing
   ⇒ 対応ページ：kube-apiserver
   ⇒ 対応ページ：Cluster Administration

3. 最後に

一緒に頑張りましょう。
意見、アドバイスがある方はぜひ下のコメント欄に記入していただければと思います。