Aller au contenu
DevSecOps
Conteneurs & Orchestration high
🔐 Alerte sécurité — Incident supply chain Trivy : lire mon analyse de l'attaque

CKS : Certified Kubernetes Security Specialist — Guide de préparation

Photo de Stéphane Robert
Stéphane Robert DevOps Engineer
9 min de lecture

La CKS (Certified Kubernetes Security Specialist) est la certification avancée de la CNCF dédiée à la sécurité Kubernetes. C’est un examen 100% pratique de 2 heures où vous devez sécuriser des clusters et workloads dans un environnement réel. Ce guide vous donne un parcours structuré pour réussir.

Aperçu de l’examen

Section intitulée « Aperçu de l’examen »
CritèreValeur
Durée2 heures
Format100% pratique (ligne de commande)
Score minimum67%
Validité2 ans
Repasse1 repasse gratuite incluse
PrérequisCKA réussie
Prix~395 USD (incluant 1 killer.sh)

Les 6 domaines d’examen

Section intitulée « Les 6 domaines d’examen »

La CKS évalue vos compétences sur 6 domaines avec des pondérations différentes :

DomainePoidsCe qui est évalué
Cluster Setup10%Network policies, CIS benchmarks, Ingress TLS
Cluster Hardening15%RBAC, ServiceAccounts, API Server restrictions
System Hardening15%Seccomp, AppArmor, réduction surface d’attaque
Minimize Microservice Vulnerabilities20%SecurityContext, PSA, gestion secrets
Supply Chain Security20%Scan images, signature, admission controllers
Monitoring, Logging, Runtime Security20%Audit logs, Falco, détection runtime

Parcours de préparation par domaine

Section intitulée « Parcours de préparation par domaine »

Cluster Setup — 10%

Section intitulée « Cluster Setup — 10% »

Compétences évaluées :

  • Configurer les Network Policies pour isoler les pods
  • Appliquer le CIS Kubernetes Benchmark
  • Sécuriser les Ingress avec TLS
  • Scanner le cluster avec kube-bench

Guides de préparation :

Network Policies Isolement réseau pod-to-pod
CIS Kubernetes Benchmark Standard de durcissement

Commandes essentielles :

Fenêtre de terminal
# Créer une NetworkPolicy deny-all
kubectl create -f - <<EOF
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: production
spec:
  podSelector: {}
  policyTypes: ["Ingress", "Egress"]
EOF


# Scanner avec kube-bench
kube-bench run --targets master,node

Plan de préparation en 8 semaines

Section intitulée « Plan de préparation en 8 semaines »

  1. Semaines 1-2 : Fondamentaux

    • Revoir RBAC et Network Policies (déjà vus en CKA)
    • Lire la documentation officielle sur Pod Security Standards
    • Installer un lab local (Kind + Falco + Trivy)

  2. Semaines 3-4 : Hardening

    • Pratiquer SecurityContext et PSA
    • Configurer le chiffrement des Secrets
    • Appliquer le CIS Benchmark avec kube-bench

  3. Semaines 5-6 : Supply Chain + Runtime

    • Scanner des images avec Trivy
    • Configurer les audit logs
    • Installer et pratiquer Falco

  4. Semaines 7-8 : Simulation d’examen

    • Passer les 2 sessions Killer.sh incluses
    • Chronométrer vos exercices
    • Revoir les points faibles identifiés

Conseils pour le jour J

Section intitulée « Conseils pour le jour J »

Environnement d’examen

Section intitulée « Environnement d’examen »
  • Navigateur autorisé : uniquement la documentation kubernetes.io
  • Terminal : vous travaillez en SSH sur des clusters réels
  • Copier-coller : fonctionne entre le navigateur doc et le terminal
  • Contextes : plusieurs clusters, attention à kubectl config use-context

Raccourcis essentiels

Section intitulée « Raccourcis essentiels »
Fenêtre de terminal
# Alias recommandés
alias k=kubectl
alias kgp='kubectl get pods'
alias kns='kubectl config set-context --current --namespace'


# Dry-run pour générer du YAML
export do='--dry-run=client -o yaml'
k run test --image=nginx $do > pod.yaml


# Copier depuis la doc officielle
# kubernetes.io/docs/reference/generated/kubernetes-api/v1.34/

Stratégie d’examen

Section intitulée « Stratégie d’examen »
  1. Lisez TOUTES les questions avant de commencer (5 min)
  2. Faites les questions faciles d’abord (RBAC, NetworkPolicy)
  3. Ne bloquez jamais plus de 10 minutes sur une question
  4. Vérifiez systématiquement avec kubectl get/describe
  5. Gardez 15 minutes à la fin pour relire

Ressources complémentaires

Section intitulée « Ressources complémentaires »

Documentation officielle (autorisée)

Section intitulée « Documentation officielle (autorisée) »
RessourceURL
Kubernetes Securityhttps://kubernetes.io/docs/concepts/security/
Pod Security Standardshttps://kubernetes.io/docs/concepts/security/pod-security-standards/
Security Checklisthttps://kubernetes.io/docs/concepts/security/security-checklist/
Audit Logshttps://kubernetes.io/docs/tasks/debug/debug-cluster/audit/

Environnements de pratique

Section intitulée « Environnements de pratique »
PlateformeDescription
Killer.sh2 sessions incluses avec l’inscription (indispensable)
KodeKloudLabs CKS interactifs
KindCluster local pour expérimenter

À retenir

Section intitulée « À retenir »
  • CKS = CKA + sécurité : consolidez vos bases avant de passer
  • 60% = Supply Chain + Vulnerabilities + Runtime : priorité sur ces 3 domaines
  • Pratique > Théorie : l’examen est 100% hands-on
  • Killer.sh obligatoire : utilisez vos 2 sessions, elles simulent l’examen réel
  • Documentation = votre alliée : apprenez à naviguer kubernetes.io efficacement

Prochaines étapes

Section intitulée « Prochaines étapes »
Hub Sécuriser Kubernetes Tous les guides sécurité K8s
Pod Security Standards Comprendre PSS (domaine majeur)
RBAC Kubernetes Maîtriser le contrôle d'accès
Comparatif CKA/CKAD/CKS Quelle certification choisir ?

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracing. Aujourd'hui, ce site ne couvre même pas mes frais d'hébergement, d'électricité, de matériel, de logiciels, mais surtout de cafés.

Un soutien régulier, même symbolique, m'aide à garder ces ressources gratuites et à continuer de produire des guides de qualité. Merci pour votre appui.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn