kakakakakku blog

Weekly Tech Blog: Keep on Learning!

CKS (Certified Kubernetes Security Specialist) に合格した : 勉強方法をまとめる

Kubernetes の資格 CKS (Certified Kubernetes Security Specialist) に合格した 🎉 やったー!Kubernetes 関連は3個目!

今回の記事では「勉強方法」をまとめようと思う.

www.cncf.io

時系列で書くと,2021年2-3月に CKAD (Certified Kubernetes Application Developer)CKA (Certified Kubernetes Administrator) に合格していて,詳しくは以下の記事にまとめてある.せっかくなら CKS まで連続で受験しようと思っていたけど,仕事に忙殺されて時間が捻出できなくなったのと,当時はまだ CKS を日本語で受験することができず,結果的に受験するタイミングを逃してしまった.なお,2021年7月に日本語化されている!

そこで今月(2022年4月)にやるぞ!と決めて,3週間ほど平日夜にコツコツ勉強を続けた.週末はもっと時間を捻出したと思う.また個人用だけど毎日学んだメモをブログとは別に TIL (Today I Learned) としてまとめたのも効果的だったと思う.うまく学習サイクルを回しながら自信を持って合格できた!CKADCKA のときにも感じたけど,試験中は本当に楽しくハッカソンに参加している気持ちになる.

kakakakakku.hatenablog.com

前提と結果 🐳

CKAD / CKA の記事にも書いたけど,僕は技術講師として研修で Kubernetes と Amazon EKS を教える機会があったり,Kubernetes 上のアプリケーション開発の経験も少しある.逆に言えば,プロダクションワークロードでの大規模な運用経験はなかったりする.またセキュリティ関連の知識も少なく,CKS で出題される技術トピックの多くは未経験だった.よって,あくまで個人的には「CKAD < CKA < CKS」の順番で難しく感じたし,最初は CKS の出題範囲の広さにも圧倒された.

結果は以下の通りだった.1問(6点)は確実に間違えたけど,他にもう1問どこを間違えたんだろう...!正直2時間では時間ギリギリで見直しは5問しかできなかった.そして,今回 CKS を受験して(勉強過程も含めて)1番良かったのは「"知らないこと" に気付けた」ことだった!

受験日 試験名 得点 結果 バージョン
2022/04/27 CKS (Certified Kubernetes Security Specialist) 88 点 合格 Kubernetes v1.23

出題範囲 🐳

カリキュラム(出題範囲)は GitHub に PDF として公開されている.

Domain Weight
Cluster Setup 10 %
Cluster Hardening 15 %
System Hardening 15 %
Minimize Microservice Vulnerabilities 20 %
Supply Chain Security 20 %
Monitoring, Logging, and Runtime Security 20 %

github.com

とは言え,出題範囲だけだと勉強するべき具体的な技術トピックを把握しにくくもある.以下の GitHub リポジトリ walidshaari/Certified-Kubernetes-Security-Specialistechoboomer/k8s-cks-notes はとてもよくまとまっている.おすすめ!

github.com

github.com

CKS 勉強方法 🐳

今回は大きく「3種類」の勉強方法を組み合わせた.詳しく紹介する!

  • [A] 座学("知らないこと" に気付くためにインプットする)
  • [B] 検証 & ブログ(気になったら検証をしてブログにアウトプットする)
  • [C] 実践演習(演習環境を使ってとにかく実践する)

[A] 座学("知らないこと" に気付くためにインプットする)

A-1. Udemy : Kubernetes CKS 2022 Complete Course

まず,有名な Udemy コース「Kubernetes CKS 2022 Complete Course」を1.5倍速でザッと視聴した(正確には購入したときは 2021 だった).e-Learning は本当にわかりやすくて,デモも多くて,学習項目ごとにコツコツ学べた.とにかく「"知らないこと" に気付く」ために1番有効だったと思う.2021年に購入したときには Exam Simulator も同梱されていたけど,現在は同梱されなくなっている(後述する).

www.udemy.com

講師をしている Kim のブログに Udemy Discount Code も載っているため,購入する前に確認すると良いかと!

wuestkamp.medium.com

A-2. 書籍 : Docker/Kubernetes 開発・運用のためのセキュリティ実践ガイド

並行して書籍「Docker/Kubernetes 開発・運用のためのセキュリティ実践ガイド」も読んだ.CKS 対策本ではないけど,学べる技術トピックは近く,何よりも日本語で読めるのは素晴らしかった.今度書評記事も書く予定!

英語の書籍だと「Learn Kubernetes Security」CKS 対策として使えるという話を聞いたこともある.今回は読まなかった.

[B] 検証 & ブログ(気になったら検証をしてブログにアウトプットする)

B-1. ブログ

座学で大量にインプットをして,気になったり,理解があやふやに感じたところはどんどん検証をしてブログにまとめた.個人的にはブログにまとめることで,客観的に学び直せて理解が深まる感覚がある.また単純にブログネタも増やせたのも良かった.実は2021年にも少し CKS を勉強していた時期があり,以下に CKS に関連する記事の一覧をまとめておく.

[C] 実践演習(演習環境を使ってとにかく実践する)

C-1. Killercoda

演習環境「Killercoda」は本当に価値があった.Udemy コース「Kubernetes CKS 2022 Complete Course」と繋がっていて,e-Learning を観た後に Killercoda で演習をする流れになっている.とすると Udemy 購入者限定のように思うけど,そんなことはなく,登録すれば無料で何度でも使える.絶対にやるべき!現時点で以下の「40種類」もある!全て完璧に正解できるようにしておくと良いと思う.

  • Playground
  • Vim Setup
  • Apiserver Crash
  • Apiserver Misconfigured
  • Apiserver NodeRestriction
  • AppArmor
  • Auditing Enable Audit Logging
  • CIS Benchmarks fix Controlplane
  • CertificateSigningRequests sign manually
  • CertificateSigningRequests sign via API
  • Container Hardening
  • Container Image Footprint User
  • Container Namespaces Docker
  • Container Namespaces Podman
  • Falco Change Rule
  • Image Use Digest
  • Image Vulnerability Scanning Trivy
  • ImagePolicyWebhook Setup
  • Immutability Readonly Filesystem
  • Ingress Create
  • Ingress Secure
  • NetworkPolicy Create Default Deny
  • NetworkPolicy Metadata Protection
  • NetworkPolicy Namespace Selector
  • Privilege Escalation Containers
  • Privileged Containers
  • RBAC ServiceAccount Permissions
  • RBAC User Permissions
  • Sandbox gVisor
  • Secret Access in Pods
  • Secret ETCD Encryption
  • Secret Read and Decode
  • Secret ServiceAccount Pod
  • ServiceAccount Token Mounting
  • Static Manual Analysis Docker
  • Static Manual Analysis K8s
  • Syscall Activity Strace
  • System Hardening Close Open Ports
  • System Hardening Manage Packages
  • Verify Platform Binaries

killercoda.com

C-2. A Cloud Guru : Certified Kubernetes Security Specialist (CKS)

A Cloud Guru「Certified Kubernetes Security Specialist (CKS)」は e-Learning を使わず,演習環境「HANDS-ON LAB」を中心に使った.特に最後にある Practice Exam には「計12種類」の演習を試せて RBAC / Pod Security Policies / CIS Kubernetes Benchmarks / Network Policy / ImagePolicyWebhook / Trivy / AppArmor / Falco などを試せる.手順や回答例が充実してるのはメリットだけど「答え合わせ」の機能はなく,受験直前だと使いにくく感じた.

acloudguru.com

C-3. Kodekloud : CKS – Challenges

有料コースの Kodekloud から2021年4月に新しくリリースされた「無料の」演習環境として「CKS – Challenges」がある.タイミング良く受験前にリリースされたため試した.現時点だと Challenges 1-3 まで公開されていて,Challenges 4-5 は公開されていなかった.難易度は高く複雑な演習に取り組めて良かった.個人的には UI が使いにくく,問題を確認するために「コンポーネント」「矢印」をクリックする必要があると理解するまでに時間がかかった.

kodekloud.com

C-4. Kubernetes Exam Simulator

最後は Kubernetes Exam Simulator で,もともとは Udemy コースに同梱されていて,Killer Shell (Killer.sh) という名前だった.現在は資格自体に「公式に」同梱されているため,試験を購入すれば模擬試験として最大2回まで受験できる.試験日を決める前に受験できるので,ある程度準備できたと感じたら受験してみるのが良いと思う.

killer.sh

Kubernetes Exam Simulator はドキュメントにも書かれている通り,実際の試験よりも難しく作られている.実際に「2時間」を計測して受験したら「41 / 75(55点ぐらい)」でガッカリした(´・ω・`) その後に答えを見ずにドキュメントを使って続けたら「53 / 75(70点ぐらい)」まで上がった.残りは難しく,答えを見て理解を深めた.また Kubernetes Exam Simulator「36時間」の制限時間内なら何度でも環境をリセットできるため,もう一度「2時間」で再挑戦したら「72 / 75(96点ぐらい)」まで取れるようになった.

唯一残念だったのは Kubernetes Exam Simulator は日本語化されてなく,受験後のアンケートにフィードバックを入れておいた.

training.linuxfoundation.org

まとめ

受験しようと思って後回しにしていた CKS (Certified Kubernetes Security Specialist) に合格できて良かった 🎉

本記事が何かの参考になれば✌️