La CKS valide votre capacité à sécuriser un cluster Kubernetes et ses workloads dans un environnement réel. Elle prolonge naturellement la CKA et se concentre sur six domaines : sécurité du cluster, durcissement système, sécurité des workloads, supply chain, admission et sécurité runtime.
Cette page est le hub de préparation CKS. Elle vous guide vers les ressources du site et vous donne une stratégie structurée pour réussir.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Ce que valide la CKS et en quoi elle diffère de CKA/CKAD
- Le format de l’examen et les conditions de passage
- Les 6 domaines du blueprint avec leur pondération officielle
- Ce que vous devez savoir faire sans hésiter le jour J
- Un plan de préparation sur 8 semaines avec les ressources du site
Ce que la CKS valide
Section intitulée « Ce que la CKS valide »La CKS certifie que vous êtes capable de sécuriser la plateforme Kubernetes et les workloads pendant tout leur cycle de vie : build, déploiement et runtime.
- Durcir le cluster (API Server, RBAC, ServiceAccounts, composants)
- Réduire la surface d’attaque (Seccomp, AppArmor, SecurityContext)
- Sécuriser les workloads (Pod Security Standards, admission, secrets)
- Protéger la supply chain (scan d’images, signature, admission controllers)
- Détecter et investiguer à l’exécution (audit logs, Falco, comportements suspects)
CKS = CKA + sécurité appliquée au build, au déploiement et au runtime.
Format de l’examen
Section intitulée « Format de l’examen »| Aspect | Valeur |
|---|---|
| Durée | 2 heures |
| Type | Examen pratique supervisé (performance-based) |
| Score minimum | 67% |
| Validité | 2 ans |
| Reprise | 1 retake inclus |
| Éligibilité | 12 mois pour passer l’examen après achat |
| Prix | 445 USD |
| Version Kubernetes | v1.34 (actuellement) |
| Prérequis | CKA réussie (active ou non) |
| Simulateur | 2 sessions incluses |
| Documentation autorisée | Ressources officiellement autorisées selon le handbook |
Les 6 domaines du blueprint
Section intitulée « Les 6 domaines du blueprint »Le blueprint officiel CNCF définit les domaines et leur pondération :
| Domaine | Poids | Ce que ça couvre |
|---|---|---|
| Cluster Setup | 10% | NetworkPolicies, CIS benchmarks, Ingress TLS |
| Cluster Hardening | 15% | RBAC, ServiceAccounts, API Server restrictions |
| System Hardening | 15% | Seccomp, AppArmor, réduction surface d’attaque |
| Minimize Microservice Vulnerabilities | 20% | SecurityContext, PSA, gestion secrets |
| Supply Chain Security | 20% | Scan images, signature, admission controllers |
| Monitoring, Logging and Runtime Security | 20% | Audit logs, Falco, détection runtime |
| Bloc | Temps conseillé |
|---|---|
| Minimize Vulnerabilities | 20% |
| Supply Chain Security | 20% |
| Runtime Security | 20% |
| Cluster Hardening | 15% |
| System Hardening | 15% |
| Cluster Setup | 10% |
Commandes essentielles CKS Référence complète des commandes de sécurité
Ce que vous devez savoir faire sans hésiter
Section intitulée « Ce que vous devez savoir faire sans hésiter »Le jour de l’examen, ces actions doivent être automatiques :
Sécurité des workloads
Section intitulée « Sécurité des workloads »- Lire et corriger un SecurityContext (runAsNonRoot, readOnlyRootFilesystem, capabilities)
- Appliquer Pod Security Standards sur un namespace (labels PSA)
- Vérifier les permissions d’un ServiceAccount (
kubectl auth can-i) - Configurer le chiffrement des Secrets dans etcd
Contrôle d’accès
Section intitulée « Contrôle d’accès »- Créer des Roles/ClusterRoles avec moindre privilège
- Identifier les permissions excessives dans un cluster
- Restreindre l’accès à l’API Server
- Désactiver l’auto-montage des tokens ServiceAccount
Supply chain
Section intitulée « Supply chain »- Scanner une image avec Trivy et interpréter les résultats
- Configurer une admission policy pour bloquer les images non conformes
- Utiliser des digests au lieu de tags
- Signer et vérifier une image avec Cosign
Runtime et audit
Section intitulée « Runtime et audit »- Lire et interpréter les audit logs Kubernetes
- Configurer une politique d’audit
- Identifier un comportement suspect dans les logs Falco
- Créer une NetworkPolicy deny-all puis autoriser le trafic nécessaire
Ce que la CKS ne demande pas
Section intitulée « Ce que la CKS ne demande pas »Pour ne pas vous disperser, voici ce qui est hors scope :
- Développement applicatif → CKAD
- Installation kubeadm complète → déjà couvert en CKA
- Provisioning d’infrastructure → hors scope
- Hardening OS avancé (kernel tuning, SELinux policies) → limité aux bases
- Outils de sécurité avancés non standards → focus sur les primitives K8s
La CKS valide une vision end-to-end de la sécurité Kubernetes, pas une expertise pointue sur un outil spécifique.
Socle minimum avant de commencer
Section intitulée « Socle minimum avant de commencer »Avant d’attaquer la préparation CKS, assurez-vous de maîtriser :
-
CKA réussie
C’est le prérequis officiel. Vous devez être à l’aise avec l’administration d’un cluster Kubernetes.
-
Bon niveau Linux
Lecture de fichiers de configuration, navigation filesystem, commandes système de base.
-
kubectl fluide
Création, modification, inspection de ressources — l’autocomplétion doit être naturelle.
-
RBAC et NetworkPolicies maîtrisés
Ces concepts CKA sont fondamentaux pour la CKS. Révisez-les si besoin.
-
Compréhension de l’architecture cluster
API Server, etcd, kubelet, composants du control plane — vous devez savoir où se configure quoi.
Plan de préparation (8 semaines)
Section intitulée « Plan de préparation (8 semaines) »Semaines 1-2 : Révisions CKA + Pod Security
Section intitulée « Semaines 1-2 : Révisions CKA + Pod Security »Objectif : Consolider les bases CKA et découvrir Pod Security Standards.
Ce que vous devez faire :
- Revoir RBAC (Roles, ClusterRoles, bindings)
- Revoir NetworkPolicies (default deny, autorisation sélective)
- Comprendre SecurityContext (runAsNonRoot, capabilities)
- Lire la documentation Pod Security Standards
- Revoir la gestion des ServiceAccounts et des Secrets
- Installer un lab local (Kind + Falco + Trivy)
Critère de validation : Créer un RBAC complet (Role + Binding + ServiceAccount) et une NetworkPolicy deny-all en moins de 5 minutes.
Guides du site :
RBAC Kubernetes Contrôle d'accès basé sur les rôles
Network Policies Isolation réseau pod-to-pod
Pod Security Standards Privileged, Baseline, Restricted
Security Context runAsNonRoot, capabilities, readOnlyRootFilesystem
Secrets Kubernetes Gestion sécurisée des données sensibles
ServiceAccounts Identité des Pods et auto-montage des tokens
Semaines 3-4 : Cluster & System Hardening (30%)
Section intitulée « Semaines 3-4 : Cluster & System Hardening (30%) »Objectif : Durcir le cluster et le système.
Ce que vous devez faire :
- Configurer SecurityContext sur les Pods (runAsNonRoot, capabilities)
- Appliquer PSA sur des namespaces (labels enforce/warn)
- Scanner le cluster avec kube-bench (CIS Benchmark)
- Configurer le chiffrement des Secrets dans etcd
- Comprendre Seccomp et AppArmor
- Écrire des Validating Admission Policies
- Comparer les solutions d’admission (VAP, Kyverno, Gatekeeper)
Critère de validation : Appliquer PSA Restricted sur un namespace et scanner le cluster CIS Benchmark sans erreur critique.
Guides du site :
Sécuriser Kubernetes Guide de durcissement complet
CIS Benchmark Auditer la conformité sécurité avec kube-bench
Admission Controllers Valider et muter les ressources
Validating Admission Policy Politiques d'admission natives Kubernetes
AppArmor Profils de sécurité pour confiner les conteneurs
VAP vs Kyverno vs Gatekeeper Comparatif des solutions d'admission
Kyverno Politiques Kubernetes en YAML natif
Gatekeeper (OPA) Politiques avec Open Policy Agent
Semaines 5-6 : Supply Chain + Runtime Security (40%)
Section intitulée « Semaines 5-6 : Supply Chain + Runtime Security (40%) »Ce sont les domaines les plus lourds. Passez plus de temps ici.
Ce que vous devez faire :
- Scanner des images avec Trivy et interpréter les CVE
- Utiliser des digests au lieu de tags
- Comprendre la signature d’images (Cosign)
- Configurer les audit logs Kubernetes
- Installer et manipuler Falco
- Analyser des alertes de sécurité runtime
- Comprendre la supply chain de bout en bout (build → registry → deploy)
Critère de validation : Scanner une image, identifier une CVE critique, et configurer une politique d’admission qui bloque les images non scannées.
Guides du site :
Supply Chain Security Sécuriser la chaîne d'approvisionnement de bout en bout
Image Scanning Scanner les images conteneurs pour détecter les CVE
Trivy Scanner de vulnérabilités images et clusters
Audit Logs Kubernetes Configurer et analyser les logs d'audit
Falco Détection runtime des comportements suspects
Kyverno Bloquer les images non conformes via admission
Outils à manipuler :
trivy image— scan de vulnérabilitéstrivy k8s— audit du clusterkube-bench— CIS Benchmarkcosign— signature d’imagesfalco— détection runtime
Semaines 7-8 : Simulations et révisions
Section intitulée « Semaines 7-8 : Simulations et révisions »Objectif : Valider votre niveau avec les simulateurs.
Ce que vous devez faire :
- Passer les 2 simulations incluses avec l’inscription
- Chronométrer chaque exercice
- Identifier vos points faibles et les retravailler
- Optimiser votre workflow (alias, autocomplétion)
Critère de validation : Score > 75% sur les simulateurs.
Checklist finale :
- Alias
k=kubectlconfiguré - Autocomplétion activée
- SecurityContext maîtrisé
- PSA labels mémorisés
- Trivy et kube-bench manipulés
- Audit logs compris
Commandes essentielles CKS Référence complète
Labs CKS Entraînement chronométré
Configuration initiale le jour J
Section intitulée « Configuration initiale le jour J »Dès le début de l’examen, configurez votre environnement :
# Alias indispensablesalias k=kubectlalias kn='kubectl config set-context --current --namespace'export do="--dry-run=client -o yaml"
# Autocomplétionsource <(kubectl completion bash)complete -F __start_kubectl k
# Vérifier le contexte actuelkubectl config current-contextkubectl config get-contextsCommandes les plus rentables
Section intitulée « Commandes les plus rentables »# RBAC : vérifier les permissionsk auth can-i --list --as=system:serviceaccount:ns:sak auth can-i create pods --as=user@example.com
# Pod Security : appliquer PSA sur un namespacek label ns production pod-security.kubernetes.io/enforce=restrictedk label ns production pod-security.kubernetes.io/warn=restricted
# SecurityContext : générer un Pod sécurisék run secure-pod --image=nginx $do | \ yq '.spec.containers[0].securityContext = {"runAsNonRoot": true, "readOnlyRootFilesystem": true}'
# Scan d'imagestrivy image nginx:1.28trivy k8s --report summary
# Audit : vérifier la politique d'auditcat /etc/kubernetes/audit-policy.yamlk logs -n kube-system kube-apiserver-* | grep audit
# Secrets : vérifier le chiffrement etcdk get secret -n kube-system -o json | jq '.items[0].data'ETCDCTL_API=3 etcdctl get /registry/secrets/default/mysecret | hexdump -C | head
# NetworkPolicies : deny-all puis autoriserk create -f deny-all.yamlk describe netpol -n production
# CIS Benchmarkkube-bench run --targets=masterkube-bench run --targets=nodeOutils à maîtriser
Section intitulée « Outils à maîtriser »| Outil | Usage CKS |
|---|---|
| kubectl | Administration, RBAC, inspection |
| jq | Parsing des sorties JSON |
| trivy | Scan d’images et de clusters |
| kube-bench | Vérification CIS Benchmark |
| cosign | Signature et vérification d’images |
| falco | Détection runtime (selon le lab) |
Pièges à éviter
Section intitulée « Pièges à éviter »| Piège | Conséquence | Solution |
|---|---|---|
| Ne pas lire l’énoncé en entier | Vous oubliez une contrainte de sécurité | Lisez TOUT, notez les exigences |
| Bloquer sur une question | Vous perdez du temps précieux | Passez après 10 minutes, revenez après |
| Appliquer une policy sans tester | Vous bloquez le workload | Utilisez --dry-run=server d’abord |
| Oublier de vérifier vos réponses | Erreurs non détectées | Un kubectl get rapide pour confirmer |
| Ignorer les audit logs | Vous ne savez pas investiguer | Pratiquez la lecture des logs |
| Oublier de changer de contexte | Vous travaillez sur le mauvais cluster | Vérifiez le contexte à chaque question |
Différences avec CKA et CKAD
Section intitulée « Différences avec CKA et CKAD »| Aspect | CKAD | CKA | CKS |
|---|---|---|---|
| Focus | Applications | Cluster | Sécurité |
| Prérequis | Aucun | Aucun | CKA réussie |
| Score minimum | 66% | 66% | 67% |
| RBAC | Basique | Complet | Avancé + audit |
| NetworkPolicies | Basiques | Couvert | Avancées + isolation |
| Secrets | Usage | Usage | + Chiffrement etcd |
| Supply chain | Non couvert | Non couvert | Scan, signature, admission |
| Runtime security | Non couvert | Bases | Audit, Falco, détection |
| Public cible | Développeurs | Administrateurs | Security engineers |
Comparer CKA, CKAD et CKS Choisir la certification adaptée à votre profil
Ressources recommandées
Section intitulée « Ressources recommandées »Simulateurs et cours
Section intitulée « Simulateurs et cours »- Killer.sh — 2 simulations incluses avec l’inscription (utilisez-les en semaines 7-8)
- KodeKloud CKS — Cours structuré avec labs pratiques
Documentation officielle
Section intitulée « Documentation officielle »Environnement de pratique
Section intitulée « Environnement de pratique »- Kind — Cluster local pour expérimenter
- kube-bench — Scanner CIS Benchmark
- Trivy — Scanner de vulnérabilités
- Falco — Détection runtime
À retenir
Section intitulée « À retenir »- CKS = CKA + sécurité : consolidez vos bases avant de passer
- 60% sur 3 domaines : Minimize Vulnerabilities, Supply Chain, Runtime
- Score minimum 67% contre 66% pour CKA/CKAD
- CKA réussie obligatoire (mais pas forcément active)
- Validité 2 ans, 1 retake inclus — vous avez le droit à l’erreur
- Utilisez les 2 simulations avant l’examen réel
- Maîtrisez SecurityContext et PSA — ils reviennent constamment
- Pratiquez Trivy et les audit logs — domaines à 20%
Prochaines étapes
Section intitulée « Prochaines étapes » Commandes essentielles CKS Référence complète des commandes de sécurité
Labs CKS Entraînement chronométré aux tâches de sécurité
Hub Sécuriser Kubernetes Tous les guides sécurité K8s du site
Comparer les certifications CKA vs CKAD vs CKS — quelle certification choisir ?