Curso Certified Kubernetes Security Specialist CKS
32 horasVisão Geral
Curso Preparação para a Certificação Certified Kubernetes Security Specialist (CKS). Curso Certified Kubernetes Security Specialist CKS. Este curso intensivo e avançado é meticulosamente desenhado para profissionais de segurança, engenheiros de DevOps, administradores de Kubernetes e SREs que já possuem experiência sólida com Kubernetes e buscam validar suas habilidades na segurança de clusters Kubernetes com a certificação Certified Kubernetes Security Specialist (CKS). Do ponto de vista técnico, o curso aprofundará em tópicos críticos como proteção do runtime do cluster (nós e contêineres), hardening de Pods, gerenciamento de autenticação e autorização (RBAC), configuração de políticas de rede, auditoria de segurança e detecção de incidentes. Com uma forte ênfase em laboratórios práticos e cenários do mundo real, os participantes aprenderão a identificar vulnerabilidades, aplicar as melhores práticas de segurança e defender clusters Kubernetes contra ameaças. A preparação focada no exame garantirá que você esteja apto a enfrentar os desafios práticos da prova.
Curso Certified Kubernetes Security Specialist CKS, a certificação CKS é uma das credenciais de segurança em nuvem mais difíceis e valorizadas no mercado. A segurança do Kubernetes é uma preocupação crescente para todas as organizações que adotam contêineres e microsserviços. Profissionais com o CKS demonstram a capacidade de proteger ambientes de produção críticos, mitigar riscos de segurança, garantir conformidade regulatória e responder a incidentes de forma eficaz. Essa expertise se traduz em redução de custos com violações de segurança, aumento da confiança na infraestrutura e aceleração da adoção segura de tecnologias nativas da nuvem. A demanda por especialistas em segurança de Kubernetes é altíssima, tornando o CKS um diferencial competitivo crucial e um impulsionador de carreira.
Objetivo
Ao final do Curso Certified Kubernetes Security Specialist CKS, você será capaz de:
- Explicar e aplicar os princípios de segurança do Kubernetes e as melhores práticas.
- Proteger e fazer o hardening dos nós do cluster Kubernetes.
- Implementar e gerenciar controles de admissão para aplicar políticas de segurança em Pods.
- Configurar e auditar o controle de acesso baseado em função (RBAC) no Kubernetes.
- Utilizar Network Policies para segmentar e proteger a comunicação de rede entre Pods.
- Proteger o runtime do contêiner e a cadeia de suprimentos de software.
- Realizar auditoria de segurança e monitorar eventos de segurança no cluster.
- Estar totalmente preparado e confiante para realizar e passar no exame CKS, que é prático e baseado em linha de comando.
Publico Alvo
- Profissionais buscando a Certificação CKS: Indivíduos que pretendem fazer o exame Certified Kubernetes Security Specialist.
- Engenheiros de Segurança: Que desejam especializar-se em segurança de ambientes conteinerizados e Kubernetes.
- Engenheiros de DevOps/SRE e Administradores de Kubernetes: Com experiência prévia que precisam aprofundar em segurança e hardening de clusters.
Pre-Requisitos
- Certificação CKA (Certified Kubernetes Administrator) ou conhecimento equivalente comprovado: Este curso assume um domínio sólido dos conceitos e operações básicas do Kubernetes.
- Conhecimento sólido de Linux: Gerenciamento de processos, sistemas de arquivos, permissões,
systemd
,iptables
. - Conhecimento básico de segurança de rede: Firewalls, VPNs, TLS/SSL.
- Experiência prática com a linha de comando.
Materiais
Inglês/Português/Lab PráticoConteúdo Programatico
Módulo 1: Fundamentos de Segurança Kubernetes e Hardening do Cluster (6 horas)
- 1.1. Visão Geral da Segurança no Kubernetes:
- Modelo de ameaças e superfície de ataque do Kubernetes.
- Principais princípios de segurança (Least Privilege, Defense in Depth, Immutability).
- Componentes do cluster e seus vetores de ataque.
- 1.2. Hardening dos Nós do Cluster:
- Protegendo o sistema operacional host (CIS Benchmarks para Linux).
- Segurança do Kubelet (configuração, autenticação/autorização, limites de recursos).
- Desabilitando serviços e portas desnecessários.
- Uso de
SELinux
/AppArmor
no nó.
- 1.3. Hardening do Control Plane:
- Segurança da comunicação entre componentes (TLS).
- Proteção do ETCD (criptografia, backup, acesso restrito).
- Autenticação e autorização para o API Server.
- 1.4. Segurança do Container Runtime:
- Containerd/CRI-O/Docker: Configurações seguras.
- Varredura de vulnerabilidades em imagens e runtimes.
- Prática:
- Auditar e aplicar hardenings em um nó de cluster (ex: desabilitar ports, configurar Kubelet).
- Verificar configurações do ETCD e API Server.
- Analisar logs de segurança do Kubelet.
Módulo 2: Autenticação, Autorização e Controle de Acesso (8 horas)
- 2.1. AWS Identity and Access Management (IAM):
- Mecanismos de Autenticação no Kubernetes: TLS Certificates, Service Accounts, Webhooks, OIDC.
- Autenticadores e provedores de identidade.
- 2.2. RBAC (Role-Based Access Control):
- Recursos
Role
,ClusterRole
,RoleBinding
,ClusterRoleBinding
. - Definindo permissões granulares.
- Boas práticas de RBAC (least privilege).
- Auditoria de permissões RBAC.
- Recursos
- 2.3. Service Accounts:
- Criação e uso de Service Accounts.
- Vinculando Service Accounts a Pods e permissões RBAC.
- Remoção de auto-montagem de tokens para Pods que não precisam.
- 2.4. Controladores de Admissão (Admission Controllers):
- Visão geral e propósito.
- Webhooks de Validação e Mutação.
PodSecurityAdmission
(PSA): Enforce, Audit, Warn.- (Conceitual) Gatekeeper/Kyverno para políticas mais avançadas.
- Prática:
- Criar e testar
Roles
eRoleBindings
com diferentes permissões. - Configurar
Service Accounts
com permissões específicas. - Implementar
PodSecurityAdmission
em um Namespace para testar políticas de segurança de Pods.
- Criar e testar
Módulo 3: Proteção de Workloads e Políticas de Rede (8 horas)
- 3.1. Pod Security Standards (PSS):
- Estratégias de segurança para Pods:
Privileged
,HostPath
,HostNetwork
,HostPID
,HostIPC
. SecurityContext
no nível do Pod e Container.seccomp
,AppArmor
,SELinux
para isolamento de contêineres.readOnlyRootFilesystem
.
- Estratégias de segurança para Pods:
- 3.2. Gerenciamento de Secrets:
- Melhores práticas para Secrets (criptografia em repouso, ferramentas externas como Vault, Sealed Secrets).
- Montagem de Secrets como volumes ou variáveis de ambiente.
- Rotação de Secrets.
- 3.3. Network Policies:
- Definindo
NetworkPolicies
para controle de tráfego de entrada (ingress) e saída (egress). - Isolamento de Namespaces e aplicações.
- Implantação e teste de Network Policies com CNIs compatíveis (Calico, Cilium, etc.).
- Definindo
- 3.4. Criptografia de Tráfego:
- TLS entre Pods (mTLS com Service Mesh – conceitual).
- Criptografia de tráfego para APIs externas.
- Prática:
- Criar Pods com
SecurityContext
restritivo. - Trabalhar com
Secrets
e garantir que não sejam expostos em logs. - Implementar
Network Policies
para isolar uma aplicação. - Configurar um Pod para usar
seccomp
.
- Criar Pods com
Módulo 4: Monitoramento, Auditoria e Gerenciamento de Vulnerabilidades (6 horas)
- 4.1. Auditoria de Segurança no Kubernetes:
- Ativando e configurando
Audit Logs
do API Server. - Analisando logs de auditoria para detecção de atividades suspeitas.
Kube-bench
eKube-hunter
para varredura de segurança do cluster.
- Ativando e configurando
- 4.2. Monitoramento de Segurança e Resposta a Incidentes:
- Ferramentas e estratégias para monitoramento contínuo de segurança.
- Uso de
Falco
para detecção de atividades anormais em tempo de execução. - Visão geral de estratégias de resposta a incidentes em ambiente Kubernetes.
- 4.3. Gerenciamento de Vulnerabilidades:
- Escaneamento de imagens de contêiner para vulnerabilidades (Trivy, Clair, Anchore).
- Atualização de imagens e orquestração de rollouts seguros.
- Cadeia de suprimentos de software (Supply Chain Security - conceitual, Notary, TUF).
- 4.4. Gerenciamento de Certificados TLS:
cert-manager
para automação de gerenciamento de certificados.- Rotação e revogação de certificados.
- Prática:
- Habilitar e configurar Audit Logs no Kubernetes.
- Rodar um
kube-bench
para avaliar a segurança do cluster. - Usar uma ferramenta de escaneamento de imagens para identificar vulnerabilidades.
- (Opcional) Configurar um
Falco
para detecção de intrusão básica.
Módulo 5: Preparação para o Exame CKS (4 horas)
- 5.1. Estrutura e Formato do Exame CKS:
- Entendendo o ambiente do exame e a ferramenta
remotedesktop
. - Tipos de questões e como abordá-las.
- Gerenciamento de tempo e estratégias para a prova.
- Entendendo o ambiente do exame e a ferramenta
- 5.2. Revisão Abrangente dos Domínios do Exame:
- Revisão dos principais serviços e tópicos críticos para cada domínio do CKS.
- Dicas específicas de serviços e comandos que são frequentemente testados.
- 5.3. Cenários de Simulação de Exame:
- Resolução de problemas práticos no estilo do exame.
- Técnicas de depuração e verificação de soluções.
- Otimização de tempo e familiaridade com a documentação do Kubernetes.
- 5.4. Recursos Adicionais para Estudo:
- Documentação oficial da CNCF e Kubernetes.
- Links para simulados, artigos e comunidades.
- Prática:
- Realizar simulados completos com tempo limitado.
- Revisar questões de alta dificuldade e aplicar as técnicas aprendidas.