¿Cómo certificarse como Kubernetes Security Specialist?

Kubernetes es el orquestador de contenedores más utilizado y popular del mercado, y, por lo tanto, es el centro de posibles ataques de seguridad. Según la última encuesta anual de Cloud Native Computing Foundation (CNCF), durante los años 2021 y 2022 aumentó el uso de herramientas de seguridad. Sin embargo, la seguridad sigue estando entre las mayores preocupaciones.

En este post, quiero compartir contigo mi experiencia sobre la certificación Certified Kubernetes Security Specialist (CKS). Esta certificación aporta las habilidades, conocimiento y competencia necesarios para securizar la plataforma de Kubernetes y las aplicaciones que se ejecutan en ella.

Mi experiencia previa

Hace algunos años, participé en un proyecto en el que utilizaban Kubernetes, no tenía experiencia previa y mis primeras tareas fueron comprobar logs de Pods y crear Secrets y ConfigMaps.

Al poco tiempo, realicé un curso introductorio a Kubernetes, con el que obtuve una buena base sobre Kubernetes. Tras finalizar el curso tenía claro que quería obtener la certificación Certified Kubernetes Administrator (CKA), y conseguí obtenerla gracias al curso de Udemy de Mumshad Mannambeth.

Esta certificación me aportó grandes conocimientos y pude ponerlos en práctica realizando tareas como migraciones, actualizaciones y definiciones de buenas prácticas en múltiples clústeres con decenas de nodos.

Sobre el examen

La certificación Certified Kubernetes Security Specialist es un examen donde se ponen en práctica las habilidades del candidato mediante ejercicios prácticos que deben ser resueltos en un periodo de tiempo.

Los exámenes se actualizan trimestralmente para que coincidan con los lanzamientos de versiones de Kubernetes.

Algunos datos a tener en cuenta:

• Duración del examen: 2 horas
• Porcentaje de aprobación: 67%
• Validez CKS: 2 años
• Requisitos: CKA en vigor
• Idiomas: Inglés, chino simplificado y japonés.
• Precio: $395
• Ejercicios: 15-20
• Intentos: La compra del examen incluye dos intentos.

Los dominios que evalúa la certificación son los siguientes:

• Cluster Setup: se centra en los aspectos de seguridad de los componentes de un clúster, como Network Policies, CIS benchmark, Ingress Security, Node Metadata & Endpoints, Kubernetes GUI y Verify binaries before deploying.
• Cluster Hardening: basado en restricciones sobre la API de Kubernetes (Cluster API access methods, Admission Controllers, Admission Webhooks, Certificates, Authentication y Authorization), RBAC (Role, ClusterRole, RoleBinding, ClusterRoleBinding), Service Accounts y actualizaciones de Kubernetes.
• System Hardening: esta sección comprende herramientas que ayudan a reducir vulnerabilidades en las aplicaciones y en los componentes de la infraestructura (AppArmor y Seccomp).
• Minimize Microservice Vulnerabilities: trata sobre las comunicaciones de servicio a servicio, aplicando OPA y SecurityContext, Secrets, RuntimeClass con Gvisor y Kata y mTLS de Pod a Pod.
• Supply Chain Security: engloba buenas prácticas durante la construcción de imágenes, ImagePolicyWebhook, análisis estático de YAMLs y Dockerfiles y el análisis de vulnerabilidades con Trivy.
• Monitoring, Logging, and Runtime Security: evalúa conocimientos sobre herramientas y configuraciones en llamadas al sistema con Seccomp, detección de amenazas con Falco y como configurar logs de Auditoría en Kubernetes.

¿Cómo preparé mi examen de certificación?

Para poder realizar este examen, es requisito tener en vigor la certificación CKA. En el caso de no ser así, podrás comprarlo pero no realizarlo.

Linux Foundation ofrece paquetes en los que incluye un curso de preparación y el derecho a realizar el examen. Sin embargo, yo preparé el examen realizando un curso de Udemy de Kim Wüstkamp, creador de Killer Shell. El curso cubre todas las áreas del examen con un total de 11 horas de videos y concede acceso a Killercoda para la realización de múltiples laboratorios.

Antes de cualquier certificación, me preparo del siguiente modo.

1. Pienso cuánto tiempo puedo dedicar a preparar la certificación. Ser realista al hacer la planificación evitará una sobrecarga o, por el contrario, abandono por aburrimiento. Mi planificación fue de entre 2 y 3 días por semana con una dedicación de 2 horas cada día.
2. Tener un lugar donde escribir mis notas. Suelo utilizar un repositorio de código para poder recurrir a mis notas en cualquier momento. Teniendo en cuenta que es una preparación que requiere de bastantes horas de dedicación, puede que en algún momento necesites consultar algún dato que viste hace días o semanas. Además, antes del examen puede ser de mucha ayuda tener un documento en el que se resume toda tu preparación.

Una vez definidos los dos puntos anteriores es el momento de comenzar con la preparación. Mi recomendación es que tomes tu tiempo para ver los videos y comprenderlos, complementa tu aprendizaje con la documentación oficial de Kubernetes y la documentación de las herramientas de las que se hacen uso.

Una vez terminado el curso, ¡practica, practica y practica!

Cuando compras el examen tienes acceso a un Killer Shell, un simulador del que puedes hacer uso hasta en dos ocasiones, cada intento te permite realizar los ejercicios tantas veces como quieras durante un periodo de 36 horas. Trata de realizar los ejercicios como si del mismo examen se tratase, consultando la documentación permitida en el periodo de tiempo definido. Esto permite simular la tensión que sentirás durante el examen.

Algunas recomendaciones

Probablemente, tu sensación en este momento es que es un examen difícil (debo reconocer que lo es). Tu peor enemigo es el tiempo. El examen consta de entre 15 y 20 ejercicios que debes tratar de resolver en 2 horas, por lo tanto, tienes 7 minutos aproximadamente para resolver cada ejercicio. Cualquier error puede hacerte perder unos minutos muy valiosos, por ello debes estar preparado. Voy a compartir contigo algunos consejos:

• Justo antes de comenzar el examen, te proporcionarán un link para descargar el navegador seguro de PSI. Te permitirá acceder a un escritorio remoto (Ubuntu XFCE) donde realizarás tu examen. Puedes familiarizarte con un entorno similar a través de este simulador.
• Anteriormente, podías utilizar tu navegador y tener marcadores para acceder a links de la documentación permitida; sin embargo, desde hace algunos meses esto no es posible.
• Puedes abrir varias pestañas del navegador en el escritorio remoto para consultar la documentación permitida.
• Te proporcionan links a la documentación relacionados con cada ejercicio. Debes ser ágil buscando para no perder demasiado tiempo.
• Puede que durante el examen notes retrasos en el escritorio remoto, al mover ventanas o desplazarte por los documentos. Según Linux Foundation, debería solucionarse.
• Cada ejercicio tiene un porcentaje de peso sobre el examen, no pierdas demasiado tiempo en los ejercicios con <5%, siempre puedes marcarlos y volver más tarde.
• Para cada ejercicio, existe un cluster dedicado compuesto por un master y un worker. Se indica el comando para cambiar de contexto.
• Puedes acceder a cada nodo del cluster con ssh <node-name>.
• Asegúrate de estar en la máquina principal cuando cambies de ejercicio.
• Tu rapidez con kubectl es tu mejor arma contra el tiempo. Debes ser muy ágil lanzando Pods para el testeo de configuraciones, comprobando comunicaciones entre Pods, creando Services, Roles, ClusterRoles, RoleBindings, ClusterRoleBindings, comprobando permisos con kubectl auth can-i, por ejemplo.
• Utiliza --grace-period=0 --force, en ocasiones puede tardar hasta 30 segundos borrar un Pod.
• Siempre que puedas, utiliza un monitor externo. La pantalla de un portátil es demasiado pequeña para realizar el examen con comodidad.
• Revisa las instrucciones para el día de tu examen.

El día del examen es muy probable que tengas nervios, pero cuando entres en “modo examen”, parte de esos nervios desaparecerán y la otra parte te ayudarán a superar el examen con éxito.

Y, por fin…

Una vez terminado tu examen, deberás esperar aproximadamente 24 horas para recibir el resultado.

El tiempo que he invertido para obtener esta certificación ha sido alrededor de dos meses, desde que inicié el curso hasta que realicé el examen. El examen de certificación CKS es el más difícil que he abordado hasta el momento, principalmente por el tiempo disponible durante la realización del examen. Sin embargo, con las recomendaciones recogidas en este post, muy probablemente, mejorará tu experiencia de examen. Con este artículo, espero poder resolver posibles dudas y animarte a querer obtener la certificación. Y si tienes alguna pregunta, ¡déjanos un comentario!