Aller au contenu
S'identifier S’abonner
CloudKubernetesCKSCertification

Devenez un expert en sécurité Kubernetes : Tout savoir sur la certification CKS

La certification CKS est l'excellence en sécurité Kubernetes. Cet article détaille les prérequis, outils, structure et conseils pratiques pour réussir cet examen avancé destiné aux professionnels souhaitant se spécialiser en sécurité Kubernetes.

 and  Benoit Touron
7 lecture min
Un aperçu de la satisfaction finale !

La certification Certified Kubernetes Security Specialist (CKS) est le Graal pour les professionnels Kubernetes souhaitant se spécialiser en sécurité. Découvrez dans cet article tout ce qu’il faut savoir pour vous préparer efficacement à cet examen exigeant, de la théorie aux outils indispensables.

Qu'est-ce que la certification CKS ?

La Certified Kubernetes Security Specialist (CKS) est une certification avancée proposée par la Cloud Native Computing Foundation (CNCF). Elle s’adresse aux professionnels ayant déjà obtenu la CKA (Certified Kubernetes Administrator) et souhaitant approfondir leurs compétences en sécurité Kubernetes. Contrairement aux certifications CKAD (développeur) et CKA (administrateur), la CKS se concentre principalement sur les aspects de sécurité, ce qui en fait la plus exigeante des trois.

Pourquoi passer la certification CKS ?

Dans un monde où la sécurité des systèmes est devenue une priorité absolue, la certification CKS vous permet de :

  • Développer une expertise en sécurité Kubernetes : Vous apprendrez à sécuriser les clusters Kubernetes, les workloads et les communications réseau.
  • Renforcer votre employabilité : Les entreprises recherchent activement des experts capables de sécuriser leurs infrastructures cloud-native.
  • Valider vos compétences : La CKS est une reconnaissance officielle de votre maîtrise des bonnes pratiques de sécurité dans Kubernetes.

Approfondir vos connaissances en sécurité

La CKS exige une compréhension approfondie de la sécurité Kubernetes. Voici quelques sujets clés à maîtriser :

  • Pod Security Standards (PSS) : Apprenez à appliquer les politiques de sécurité des pods.
  • Network Policies : Configurez des règles pour contrôler le trafic réseau entre les pods.
  • Audit Logs : Configurez et analysez les journaux d’audit pour détecter les activités suspectes.
  • Sécurité des images conteneurs : Utilisez des outils comme Trivy pour scanner les images à la recherche de vulnérabilités.

Les prérequis pour la certification CKS

Avant de vous lancer dans la préparation de la CKS, il est essentiel de remplir certains prérequis :

  1. Avoir obtenu la certification CKA : La CKS est une certification avancée qui nécessite une compréhension approfondie des concepts d’administration Kubernetes. À noter que récemment, même si votre CKA est expirée, vous pouvez quand même passer la CKS.
  2. Maîtriser les bases de Kubernetes : Vous devez être à l’aise avec la gestion des clusters, les workloads, les configurations réseau et les outils de monitoring.
  3. Connaître les concepts de sécurité informatique : Une bonne compréhension des principes de sécurité, comme les pare-feu, les politiques RBAC (Role-Based Access Control) et les mécanismes d’authentification, est indispensable.

Structure de l’examen CKS

L’examen CKS est un test pratique en ligne d’une durée de 2 heures. Vous serez évalué sur votre capacité à résoudre des scénarios réels liés à la sécurité Kubernetes. Voici les principales thématiques couvertes :

  1. Cluster Setup : Sécurisation des clusters Kubernetes dès leur création.
  2. Cluster Hardening : Mise en œuvre des meilleures pratiques pour renforcer la sécurité des clusters.
  3. System Hardening : Sécurisation des systèmes sous-jacents (OS, conteneurs, etc.).
  4. Minimizing Microservice Vulnerabilities : Réduction des vulnérabilités dans les applications déployées.
  5. Supply Chain Security : Sécurisation des pipelines CI/CD et des images conteneurs.
  6. Monitoring, Logging, and Runtime Security : Surveillance des clusters et gestion des incidents de sécurité.

La CNCF fournit un programme officiel détaillant les compétences nécessaires pour réussir l’examen. Prenez le temps de le lire attentivement et identifiez les domaines où vous avez besoin de progresser.

Préparez-vous sérieusement !

Avant de vous lancer, prévoyez du temps pour vous préparer. C’est une certification assez exigeante, qui nécessite une bonne préparation. Prévoyez 10 à 12 heures pour visionner les cours en vidéo, et à peu près autant pour la pratique (réaliser des TP).

Étapes pour passer la certification CKS

1. Utiliser des ressources de formation

De nombreuses ressources sont disponibles pour vous aider à préparer la certification CKS :

  • Cours en ligne : Killer-Shell propose un cours très complet et clair gratuitement sur Youtube, à regarder à cette adresse.
    Attention, ce cours ne couvre pas les notions suivantes: Cilium (notamment CiliumNetworkPolicy et le chiffrement mTLS avec Cilium), génération de SBOM (à l'aide de Trivy ou BOM).
  • Des plateformes payantes comme Pluralsight (A Cloud Guru) ou KodeKloud proposent des formations dédiées à la CKS.
    Pour ma part, j'ai utilisé A Cloud Guru pour réviser, le cours est très bien fait et propose des TP en ligne. À noter : le cours a Cloud Guru couvre encore le module PodSecurityPolicy, qui est déprécié et ne fait plus partie de l'examen CKS.
  • Documentation officielle Kubernetes et des produits connexes: La documentation Kubernetes est une mine d’informations pour comprendre les concepts de sécurité.
    Consultez ce lien pour obtenir la liste des ressources autorisées pendant l'examen.

Pour apprendre efficacement, rien ne remplace la pratique. Pour cela, vous devez disposer d'un cluster de test.

2. Pratiquer sur un cluster Kubernetes

Il existe des solutions clé en main pour mettre en place facilement un cluster:

  • Minikube, k0s ou Kind pour créer un cluster local.
  • Google Kubernetes Engine (GKE) ou Amazon EKS pour travailler sur des clusters cloud.

Montez votre propre cluster avec kubeadm

Cependant, il est préférable de déployer votre cluster "à la main" à l'aide de l'utilitaire kubeadm. Ainsi, vous serez dans les mêmes conditions que pour l'examen (fichiers de configuration aux mêmes endroits par exemple).

Si vous suivez la vidéo de Killer-Shell, le premier TP consiste en la mise en place d'un cluster kubeadm en utilisant 2 VM GCP.

Sinon, vous pouvez suivre ce tutoriel pour obtenir le même résultat sous Windows grâce à Hyper-V.

Reproduisez des scénarios pratiques de la vidéo Killer-Shell, comme la création de politiques RBAC, la mise en place de Network Policies ou la configuration de journaux d’audit.

Utilisez des environnements en ligne gratuitement

Le cours sur A Cloud Guru propose des TP sur des environnements en ligne qui sont payants.

Vous avez gratuitement accès à des scénarios de test très complets sur les liens suivants (il suffit juste de s'inscrire):

Il est recommandé de faire tous ces TP, en vous aidant des conseils et de la solution une première fois, puis "de tête" une seconde fois.

Sur Killercoda, vous disposez par ailleurs d'un nombre incalculable de ressources pour approfondir de multiples sujets (notamment les autres certifications Kubernetes).

Une plateforme d'apprentissage de référence

3. Simuler l’examen

Avec l'achat de votre voucher pour l'examen, vous disposez de 2 sessions sur le simulateur officiel. Chaque session a une durée de 36 heures.

Pour rentabiliser au mieux ces deux sessions, il est préférable de visualiser d'abord les vidéos, puis d'effectuer les labs gratuits. Abordez les simulateurs comme si c'était le véritable examen.

Pour bien profiter de votre session, prévoir une journée entière dédiée à votre préparation pour chaque session.

Voici une stratégie suggérée:

  • Lancer la première session. Elle restera accessible pendant 36 heures. Enclenchez le compte à rebours de 2 heures et essayez de répondre à un maximum de questions.
  • Une fois le temps écoulé, il est possible que vous obteniez un "low score". Pas de panique, votre préparation n'est pas terminée 😄
  • A l'issue du compte à rebours, les solutions vous sont révélées. Etudiez les questions sur lesquelles vous avez travaillé, mais auxquelles vous n'avez pas trouvé la réponse (ou incomplètement). Entraînez-vous à refaire ces questions sans regarder les suivantes.
  • Relancer votre session de simulateur (vous pouvez le refaire autant de fois que vous voulez pendant la durée de 36 heures). Enclenchez à nouveau le compte à rebours et faites les questions que vous n'avez pas pu faire la première fois.
  • De même, examinez les solutions pour ces nouvelles questions, et entraînez-vous à les faire vous-même.
  • Utilisez la seconde session de 36 heures pour essayer d'obtenir un "High Score". Les questions sont identiques à chaque session.

Le simulateur couvre les CiliumNetworkPolicy.

Conseils pour réussir l’examen

Détails de l'examen sur le site officiel de la CNCF

  1. Gérez votre temps : L’examen est chronométré, alors ne passez pas trop de temps sur une seule question.
  2. Lisez attentivement les instructions : Assurez-vous de bien comprendre les scénarios avant de commencer à les résoudre. Prêtez attention à tous les détails, notamment le nom des ressources à créer.
  3. Copiez/collez les noms des ressources au lieu de les retaper, pour éviter les typos.
  4. Utilisez les ressources autorisées : Pendant l’examen, vous pouvez consulter la documentation officielle Kubernetes ainsi que les outils annexes (Falco, Cilium, BOM...). Apprenez à naviguer rapidement dans cette documentation.
    Avec chaque question, des liens vous sont proposés, n'hésitez pas à les utiliser. Ils peuvent aussi vous aider à identifier le bon outil à utiliser (il peut arriver que certains liens soient "en trop").
  5. Vérifiez votre connexion Internet : il est préférable d'utiliser une connexion filaire et non Wi-Fi.

Outils indispensables pour la certification CKS

Préparez votre boîte à outils ;)

Voici une liste d’outils que vous devez maîtriser pour réussir la certification CKS :

  1. kubectl : L’outil de ligne de commande pour interagir avec les clusters Kubernetes.
  2. Trivy : Un scanner de vulnérabilités pour les images conteneurs.
  3. Falco : Un outil de détection d’intrusion pour Kubernetes.
  4. AppArmor et Seccomp : Des outils pour renforcer la sécurité des conteneurs.
  5. Open Policy Agent (OPA) : Un moteur de politique pour Kubernetes.
  6. BOM : pour générer les SBOM aux différents formats.

Après la certification : quelles opportunités ?

Une fois certifié CKS, de nombreuses opportunités s’offrent à vous :

  • Postes spécialisés : Vous pouvez postuler à des postes tels que Kubernetes Security Engineer, DevSecOps Engineer ou Cloud Security Architect.
  • Consulting : Les entreprises recherchent des experts pour auditer et sécuriser leurs infrastructures Kubernetes.
  • Contributions open source : Vous pouvez contribuer à des projets open source liés à la sécurité Kubernetes, comme Falco ou OPA.

Conclusion

La certification CKS est un défi exigeant, mais elle constitue une étape essentielle pour les professionnels Kubernetes souhaitant se spécialiser en sécurité. En suivant les étapes décrites dans cet article et en pratiquant régulièrement, vous serez bien préparé pour réussir cet examen et ouvrir de nouvelles opportunités dans votre carrière.

Lié

Dernier