CNCF Certified Kubernetes Security Specialist
265 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
El Certified Kubernetes Security Specialist (CKS) es la certificación más exigente en la trayectoria de CNCF y la única con un requisito previo estricto: debes poseer una credencial de Certified Kubernetes Administrator (CKA) activa para registrarte en el CKS. El CKS es práctico: dos horas frente a clústeres reales a través de kubectl en un terminal basado en navegador, con tareas que cubren el endurecimiento de clústeres, seguridad de la cadena de suministro (firma de imágenes, SBOMs), defensa en tiempo de ejecución (Falco, AppArmor, seccomp), control de admisión (OPA Gatekeeper, Kyverno) y aplicación de políticas. El CKS distingue el rol de especialista en seguridad del de CKA (operador de clúster), CKAD (desarrollador de aplicaciones) y CNPE (ingeniero de plataforma). Es la piedra angular del paquete Kubestronaut y una de las credenciales de seguridad más valiosas en la nube.
Puntos de referencia CIS para Kubernetes, kube-bench, TLS de entrada, NetworkPolicies para aislamiento a nivel de clúster y verificación de binarios de plataforma. 15% del examen.
Minimización de RBAC, endurecimiento de cuentas de servicio, autenticación/autorización de kubelet, restricción del acceso a la API y actualización de clústeres para parchear CVEs. 15% del examen.
Endurecimiento a nivel de Linux (endurecimiento del kernel, AppArmor, perfiles seccomp, minimización de la superficie de ataque del sistema operativo host) y minimización de IAM. El dominio más pequeño con un 10%.
Estándares de seguridad de Pods, OPA Gatekeeper, Kyverno, mTLS a través de service mesh y gestión de secretos (integración de Vault, Sealed Secrets). 20% del examen.
Firma de imágenes con Sigstore / cosign, SBOMs, escaneo de imágenes (Trivy, Grype), restricción de registros de imágenes y verificación de imágenes base. 20% del examen — cada vez más enfatizado en las actualizaciones de 2024–2026.
Detección de amenazas en tiempo de ejecución con Falco, registro de auditoría, análisis de comportamiento y flujos de trabajo forenses. 20% del examen. Mucho trabajo práctico escribiendo reglas de Falco y analizando registros de auditoría.
$130k–$175k–$250k USD anual
El rango refleja roles de seguridad en la nube de nivel medio a sénior en EE. UU. donde se requiere experiencia en seguridad de Kubernetes. Los roles sénior de DevSecOps y arquitecto de seguridad en la nube en empresas FAANG y "unicornios" tienden a ser significativamente más altos (a menudo $320k+ TC). El CKS se encuentra entre las certificaciones individuales mejor pagadas en la nube, lo que refleja la persistente brecha de talento del (ISC)² Cybersecurity Workforce Study y la escasez de ingenieros que dominan tanto las operaciones de Kubernetes como las herramientas de seguridad cloud-native.
Fuente: levels.fyi 2025–2026 (seguridad en la nube / de aplicaciones), U.S. BLS OEWS Mayo 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
Kubernetes es el orquestador de facto para cargas de trabajo cloud-native, y la experiencia en seguridad específica de Kubernetes es uno de los perfiles de habilidades más escasos en la nube. El (ISC)² Cybersecurity Workforce Study ha señalado constantemente la ingeniería de seguridad en la nube como una brecha de talento persistente, y el CKS es la credencial más reconocida dentro de esa brecha. Los titulares de CKS obtienen primas salariales que superan consistentemente a las de CKA / CKAD por sí solas, y la credencial se cita cada vez más como una cualificación "preferida" o "requerida" en las trayectorias de DevSecOps sénior y arquitecto de seguridad en la nube. El CKS es la piedra angular del paquete Kubestronaut (KCNA + KCSA + CKA + CKAD + CKS) y señala un compromiso operativo y de seguridad inusualmente profundo que acelera significativamente la candidatura para roles sénior.
El CKS tiene un requisito previo estricto: debes poseer una credencial de Certified Kubernetes Administrator (CKA) activa en el momento de registrarte y en el momento de realizar el examen. Esto se aplica en el registro; no puedes adquirir una plaza para el examen CKS sin un CKA activo. Si tu CKA expira antes de realizar el CKS, deberás renovarlo o recertificarte antes de registrarte.
La progresión de seguridad sensata de CNCF es KCNA → KCSA → CKA → CKS. KCSA no es obligatorio para el CKS, pero reduce materialmente el riesgo del intento al establecer el andamiaje conceptual (4Cs, modelado de amenazas, seguridad de la cadena de suministro) que el CKS luego evalúa bajo la presión del tiempo práctico. La mayoría de los candidatos exitosos al CKS tienen de 6 a 12 meses de experiencia en operaciones de Kubernetes en producción después de CKA antes de presentarse al CKS; el examen asume fluidez operativa con kubectl, kubelet, etcd y el plano de control.
El CKS es la certificación más exigente en la trayectoria de CNCF. El examen es práctico: 15–20 tareas basadas en el rendimiento contra clústeres reales en un terminal basado en navegador, dos horas, con acceso solo a una pequeña lista permitida de dominios de documentación en una sola pestaña del navegador. La calificación para aprobar es del 67%. Espera entre 100 y 200 horas de estudio durante 10–16 semanas después de CKA, dependiendo de la experiencia previa en seguridad. Los candidatos con una sólida experiencia general en seguridad (CISSP, OSCP) y una reciente aprobación de CKA tienden al extremo inferior; los operadores puros más nuevos en el trabajo de seguridad tienden al extremo superior.
El obstáculo más común es la amplitud de las herramientas —Falco, AppArmor, seccomp, Sigstore / cosign, Trivy, OPA Gatekeeper, Kyverno, Vault— combinada con la misma presión de tiempo de kubectl que en CKA. La fluidez en Bash / jq, la edición rápida con vim y la eficiencia con kubectl siguen siendo decisivas. La cadena de herramientas específica de CKS (especialmente escribir reglas personalizadas de Falco y perfiles seccomp bajo la presión del tiempo del examen) es lo que la mayoría de los intentos fallidos citan como la dificultad. Los exámenes de práctica de killer.sh (dos intentos gratuitos incluidos) se consideran una preparación ampliamente requerida.
Lanzamiento original: la piedra angular de especialista en seguridad de la trayectoria de CNCF. La validez es de 2 años (CKS siempre ha tenido una validez de 2 años, a diferencia de CKA / CKAD que pasaron de 3 a 2 años en abril de 2024). El plan de estudios se actualiza anualmente para seguir las versiones recientes de Kubernetes y los patrones de CVE; la seguridad de la cadena de suministro y la cobertura de Sigstore se expandieron significativamente en las actualizaciones de 2023–2024.
CKS (CNCF Certified Kubernetes Security Specialist) es un examen de nivel Professional un examen desafiante, con muchos escenarios, que requiere una profunda experiencia práctica y la capacidad de tomar decisiones de compensación arquitectónica. La mayoría de los candidatos necesitan entre 150 y 300 horas de estudio distribuidas en 3 a 6 meses para los exámenes de nivel profesional y experto. Estos exámenes suelen esperar una competencia previa a nivel asociado. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 150 y 300 horas de estudio distribuidas en 3 a 6 meses para los exámenes de nivel profesional y experto. Estos exámenes suelen esperar una competencia previa a nivel asociado. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
CKS es una credencial reconocida en el ecosistema de Kubernetes y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con Kubernetes a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para CKS es 67%. El examen contiene 60 preguntas y dura 2 h.
La tarifa del examen CKS es de $445 USD. Las tarifas son establecidas por Kubernetes y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de Kubernetes antes de reservar.
Las certificaciones CNCF / Kubernetes son válidas por 2 años. Renueva volviendo a aprobar la versión actual del examen; la renovación extiende la validez 2 años más a partir de la nueva fecha de aprobación.
Sí, las certificaciones de Kubernetes se imparten solo en línea — no hay centros de examen presenciales. El examen se ejecuta en un navegador seguro supervisado; necesitarás una sala privada tranquila, una cámara web, un micrófono, banda ancha estable y una identificación con foto emitida por el gobierno.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para CKS. El modo de simulación de examen reproduce el examen real: 60 preguntas en 2 h, con el mismo umbral de aprobación de 67%. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.