CNCF Kubernetes and Cloud Native Security Associate
265 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
La certificación Kubernetes and Cloud Native Security Associate (KCSA) es una credencial de nivel fundamental introducida por CNCF a finales de 2022 para validar la comprensión conceptual de la seguridad nativa de la nube. Es un examen de opción múltiple de 60 preguntas —no práctico como CKS— y está dirigido a ingenieros, analistas de seguridad y SRE que necesitan hablar con credibilidad sobre modelos de amenazas de Kubernetes, RBAC, políticas de red, seguridad de la cadena de suministro y las 4C (Cloud, Cluster, Container, Code) sin operar todavía clusters de producción reforzados. KCSA es el segundo paso natural en la trayectoria Kubestronaut después de KCNA, y sienta las bases conceptuales que hacen que el examen práctico CKS sea notablemente más accesible.
Las 4C de la seguridad nativa de la nube (Cloud, Cluster, Container, Code), modelos de responsabilidad compartida y cómo la seguridad nativa de la nube difiere de la seguridad perimetral tradicional. Establecimiento del escenario conceptual para el resto del examen.
Servidor API, etcd, kubelet, controller-manager, scheduler — qué expone cada componente y cómo debe ser reforzado. Empatado como el dominio más grande con un 22%.
RBAC, cuentas de servicio, gestión de secretos, estándares de seguridad de pods (que reemplazan a PodSecurityPolicies) y políticas de red. Empatado como el más grande con un 22% — espera una cobertura intensiva.
Modelado de amenazas al estilo STRIDE aplicado a Kubernetes, más el catálogo de amenazas específico de CNCF (persistencia, escalada de privilegios, movimiento lateral). Se mapea directamente a MITRE ATT&CK for Containers.
Seguridad de la cadena de suministro (SBOMs, firma de imágenes con Sigstore / cosign), control de admisión (OPA Gatekeeper, Kyverno) y defensa en tiempo de ejecución (Falco). Cada vez más enfatizado en las actualizaciones de 2024–2026.
CIS Benchmarks para Kubernetes, NIST SP 800-190, PCI-DSS en entornos contenerizados y el TAG de seguridad de CNCF. El dominio más pequeño (10%) pero con preguntas de alta densidad.
$105k–$145k–$200k USD anual
El rango refleja roles de seguridad en la nube de nivel medio a senior en EE. UU. donde se espera el dominio de Kubernetes. Los roles senior de DevSecOps y arquitecto de seguridad en la nube en FAANG y "unicornios" tienden a ser significativamente más altos (a menudo más de $250k TC). KCSA por sí solo no garantiza estos salarios — complementa una experiencia en seguridad o plataforma.
Fuente: levels.fyi 2025–2026 (roles de seguridad / seguridad en la nube), U.S. BLS OEWS May 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
La seguridad nativa de la nube es una de las brechas de talento persistentes destacadas en el (ISC)² Cybersecurity Workforce Study, y las habilidades de seguridad específicas de Kubernetes son aún más escasas. KCSA funciona como una señal de filtrado para las vías de DevSecOps y seguridad en la nube — indica a los reclutadores que un candidato puede hablar con credibilidad sobre RBAC, políticas de red, firma de imágenes y el modelo de amenazas de CNCF sin operar aún clusters reforzados. La credencial tiene menos peso que CKS en las vías senior, pero se utiliza cada vez más como filtro base para roles de plataforma adyacentes a la seguridad. Para los candidatos que buscan el paquete Kubestronaut, KCSA es un paso intermedio significativo que reduce materialmente el riesgo del intento de CKS.
No existen requisitos previos formales para KCSA, pero CNCF recomienda encarecidamente una formación previa en Kubernetes a nivel de KCNA. Los candidatos sin experiencia en Kubernetes deberían realizar primero KCNA — KCSA asume que ya sabes qué son un pod, un servicio y un namespace, y construye el contexto de seguridad sobre esa base.
La progresión de seguridad sensata de CNCF es KCNA → KCSA → CKA → CKS. KCSA no satisface ningún requisito previo formal para CKS (CKS requiere una CKA activa), pero es la forma más clara de absorber el material conceptual —modelado de amenazas, las 4C, seguridad de la cadena de suministro— que CKS luego evalúa bajo la presión del tiempo en un entorno práctico. Los candidatos con sólidos conocimientos generales de seguridad (CISSP, OSCP) y experiencia operativa en Kubernetes pueden razonablemente omitir KCSA e ir directamente a CKS, pero la mayoría de los ingenieros se benefician del paso intermedio.
KCSA está clasificada como fundamental y se sitúa directamente entre KCNA y el examen práctico CKS en dificultad. Espera de 30 a 60 horas de estudio durante 4 a 6 semanas si tienes conocimientos de Kubernetes a nivel de KCNA pero experiencia limitada en seguridad; de 15 a 30 horas si tienes ambos. El examen consta de 60 preguntas de opción múltiple en 90 minutos, solo en línea a través de PSI Bridge, con un intento de repetición gratuito incluido. La puntuación de aprobación es 750 / 1000.
El obstáculo más común es la amplitud de los marcos de seguridad — los candidatos que conocen Kubernetes pero no CIS Benchmarks, NIST SP 800-190 o MITRE ATT&CK for Containers pueden perder puntos en los dominios de modelo de amenazas y cumplimiento. Sigstore / cosign y los controladores de admisión (OPA Gatekeeper, Kyverno) también son lagunas frecuentes. La gestión del tiempo rara vez es un problema con 90 segundos por pregunta.
Disponibilidad general. Versión actual a partir de abril de 2026; la actualización del currículo de 2024 amplió la seguridad de la cadena de suministro (Sigstore, SBOMs) y añadió cobertura de MITRE ATT&CK for Containers. La validez es de 2 años.
KCSA (CNCF Kubernetes and Cloud Native Security Associate) es un examen de nivel Foundational considerado un examen de nivel de entrada que evalúa la amplitud de la comprensión conceptual en lugar de la profundidad práctica. La mayoría de los candidatos necesitan entre 30 y 80 horas de estudio distribuidas en 3 a 6 semanas para los exámenes de nivel fundamental. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 30 y 80 horas de estudio distribuidas en 3 a 6 semanas para los exámenes de nivel fundamental. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
KCSA es una credencial reconocida en el ecosistema de Kubernetes y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con Kubernetes a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para KCSA es 75%. El examen contiene 60 preguntas y dura 1 h 30 min.
La tarifa del examen KCSA es de $250 USD. Las tarifas son establecidas por Kubernetes y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de Kubernetes antes de reservar.
Las certificaciones CNCF / Kubernetes son válidas por 2 años. Renueva volviendo a aprobar la versión actual del examen; la renovación extiende la validez 2 años más a partir de la nueva fecha de aprobación.
Sí, las certificaciones de Kubernetes se imparten solo en línea — no hay centros de examen presenciales. El examen se ejecuta en un navegador seguro supervisado; necesitarás una sala privada tranquila, una cámara web, un micrófono, banda ancha estable y una identificación con foto emitida por el gobierno.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para KCSA. El modo de simulación de examen reproduce el examen real: 60 preguntas en 1 h 30 min, con el mismo umbral de aprobación de 75%. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.