Corso Kubernetes Security CKS

Obiettivi | Certificazione | Contenuti | Tipologia | Prerequisiti | Durata e Frequenza | Docenti | Modalità di Iscrizione | Calendario

Il Corso Kubernetes Security CKS è progettato per fornire ai Partecipanti una preparazione tecnica avanzata sui principali aspetti di security in ambienti Kubernetes, con un focus specifico sulla protezione del cluster, dei workload e della supply chain applicativa in contesti cloud-native. Il percorso affronta il modello di sicurezza del cloud, la Kubernetes security architecture secondo il modello 4C, le pratiche di hardening del nodo e del sistema operativo, i controlli preliminari all’installazione e le tecniche di auditing con CIS Kubernetes Benchmark e kube-bench. Vengono trattati l’uso di AppArmor, seccomp, l’installazione sicura del cluster con kubeadm, la configurazione di etcd encryption at rest, l’abilitazione di audit logging e la gestione di TLS bootstrapping e certificati. Ampio spazio è dedicato alla protezione del kube-apiserver, ai meccanismi di authentication e authorization con certificati, service accounts, OIDC tokens e RBAC, oltre ai principi di least privilege e agli admission controllers come NodeRestriction, OPA/Gatekeeper e Kyverno. Il corso approfondisce inoltre la sicurezza di rete tramite Network Policies, modelli default-deny, mTLS, service mesh security con Istio e Cilium, nonché la protezione di ingress controllers e servizi esposti. Sul piano dei workload, i Partecipanti lavorano su Pod Security Standards (PSS), Pod Security Admission (PSA), container image security, trusted registries, digest pinning, image signing con Cosign, SBOM, artifact provenance, hardening del securityContext, prevenzione della privilege escalation, immutable filesystems, gestione dei Secrets, analisi statica con Kubesec e policy enforcement con OPA. Il percorso include anche issue detection e risposta agli incidenti tramite analisi degli audit logs, runtime threat detection con Falco, vulnerability scanning con Trivy e tecniche di behavioral analysis. Il corso contribuisce alla preparazione dell’esame per la Certificazione Kubernetes Security Specialist (CKS).

Obiettivi del corso

Di seguito una sintesi degli obiettivi principali del Corso Kubernetes Security CKS:

• Applicare hardening e secure installation di cluster Kubernetes con kubeadm, kube-bench, AppArmor e seccomp.
• Proteggere kube-apiserver e access control con RBAC, OIDC, service accounts e admission controllers.
• Implementare network security con Network Policies, mTLS, service mesh e protezione degli ingress controllers.
• Rafforzare workload e supply chain security con PSS, PSA, Cosign, SBOM, Secrets management e securityContext.
• Rilevare minacce e vulnerabilità con audit logging, Falco, Trivy, Kubesec e incident response techniques.

Certificazione del corso

Esame Certified Kubernetes Security Specialist (CKS); Questo esame verifica che il candidato sappia dimostrare competenze avanzate nella protezione di ambienti Kubernetes e, una volta superato, consente di ottenere la relativa certificazione CKS. I contenuti testati coprono anzitutto l’area Cluster Setup, con focus su Network Policies per limitare l’accesso a livello cluster, utilizzo del CIS Benchmark per verificare la configurazione di componenti come etcd, kubelet, kube-dns e kube-apiserver, configurazione sicura di Ingress con TLS, protezione di node metadata ed endpoint e verifica dei binary prima del deployment. L’esaminato deve inoltre dimostrare padronanza di Cluster Hardening e System Hardening, quindi uso corretto di RBAC, gestione prudente dei Service Accounts, restrizione dell’accesso alla Kubernetes API, aggiornamento del cluster per ridurre l’esposizione a vulnerabilità, riduzione della superficie d’attacco dell’host OS, adozione del principio di least privilege e uso di strumenti di kernel hardening come AppArmor e seccomp. Una parte centrale dell’esame riguarda Minimize Microservice Vulnerabilities e Supply Chain Security: il candidato deve conoscere Pod Security Standards, gestione dei Kubernetes Secrets, tecniche di isolamento come multi-tenancy e sandboxed containers, Pod-to-Pod encryption con soluzioni come Cilium o Istio, riduzione del footprint delle base image, SBOM, sicurezza della CI/CD supply chain, uso di registri consentiti, firma e validazione degli artifact e analisi statica di workload e immagini con strumenti come Kubesec e KubeLinter. Completa il blueprint l’area Monitoring, Logging and Runtime Security, che include behavioral analytics, threat detection su infrastruttura, applicazioni, rete, dati e workload, analisi delle fasi di attacco, container immutability a runtime e uso dei Kubernetes audit logs per monitorare gli accessi.

Contenuti del corso

Course Introduction
• Course structure and learning objectives
• The Linux Foundation and CKS certification overview
• Exam format, domains, and scoring

Cloud Security Overview
• Cloud-native security model and threat landscape
• Kubernetes security architecture: the 4C model
• Security domains mapped to the CKS exam curriculum
• Hands-On Labs

Preparing to Install
• Pre-installation security considerations
• CIS Kubernetes Benchmark and auditing with kube-bench
• Node OS hardening
• AppArmor and seccomp profiles
• Hands-On Labs

Installing the Cluster
• Secure cluster installation with kubeadm
• Configuring etcd encryption at rest
• Enabling and validating audit logging
• TLS bootstrapping and certificate management
• Hands-On Labs

Securing the kube-apiserver
• kube-apiserver attack surface and secure flags
• Authentication: certificates, service accounts, OIDC tokens
• RBAC: roles, cluster roles, and bindings
• Least-privilege design principles
• Admission controllers: NodeRestriction, OPA/Gatekeeper, Kyverno
• Hands-On Labs

Networking
• Network policies: ingress/egress and default-deny patterns
• Pod-to-pod encryption with mTLS
• Service mesh security (Istio/Cilium)
• Securing ingress controllers and exposed services
• CNI security considerations
• Hands-On Labs

Workload Considerations
• Pod Security Standards (PSS) and Pod Security Admission (PSA)
• Container image security: trusted registries and digest pinning
• Image signing with Cosign
• Supply chain security: SBOM generation and artifact provenance
• Container runtime security: securityContext hardening
• Privilege escalation prevention and immutable filesystems
• Secrets management: encryption at rest and external secret stores
• Static manifest analysis with Kubesec and OPA
• Hands-On Labs

Issue Detection
• Kubernetes audit log analysis
• Runtime threat detection with Falco
• Container vulnerability scanning with Trivy
• Behavioral analysis and anomaly detection
• Incident response in a Kubernetes context
• Hands-On Labs

Domain Review
• CKS exam domain breakdown and weightings
• Hands-on exam simulation and time management
• High-frequency commands and quick-reference techniques
• Hands-On Labs

Tipologia

Corso di Formazione con Docente

Docenti

I docenti sono Istruttori Certificati Kubernetes CKA, CKAD e CKS e certificati in altre tecnologie IT, con anni di esperienza pratica nel settore e nella Formazione.

Infrastruttura laboratoriale

Per tutte le tipologie di erogazione, il Corsista può accedere alle attrezzature e ai sistemi presenti nei Nostri laboratori o direttamente presso i data center del Vendor o dei suoi provider autorizzati in modalità remota. Ogni partecipante dispone di un accesso per implementare le varie configurazioni avendo così un riscontro pratico e immediato della teoria affrontata. Ecco di seguito alcuni scenari tratti dalle attività laboratoriali:

Dettagli del corso

Prerequisiti

• Si consiglia la partecipazione al Corso Kubernetes Administrator CKA o il Corso Kubernetes Developer CKAD

Durata del corso

• Durata Intensiva 4gg;

Frequenza

Varie tipologie di Frequenza Estensiva ed Intensiva.

Date del corso

• Corso Kubernetes Security CKS (Formula Intensiva) – su richiesta – 09:00 – 17:00

Le iscrizioni sono a numero chiuso per garantire ai tutti i partecipanti un servizio eccellente.
L’iscrizione avviene richiedendo di essere contattati dal seguente Link, o contattando la sede al numero verde 800-177596 o inviando una richiesta all’email [email protected].