CNCF Certified Kubernetes Security Specialist
265 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
O Certified Kubernetes Security Specialist (CKS) é a certificação mais exigente na trilha da CNCF e a única com um pré-requisito rigoroso — você deve possuir uma credencial Certified Kubernetes Administrator (CKA) ativa para se registrar no CKS. O CKS é prático: duas horas em clusters reais via kubectl em um terminal baseado em navegador, com tarefas cobrindo o endurecimento do cluster, segurança da cadeia de suprimentos (assinatura de imagem, SBOMs), defesa em tempo de execução (Falco, AppArmor, seccomp), controle de admissão (OPA Gatekeeper, Kyverno) e aplicação de políticas. O CKS distingue a função de especialista em segurança de CKA (operador de cluster), CKAD (desenvolvedor de aplicações) e CNPE (engenheiro de plataforma). É a culminação do pacote Kubestronaut e uma das credenciais de segurança mais valiosas na nuvem.
CIS Benchmarks para Kubernetes, kube-bench, TLS de ingresso, NetworkPolicies para isolamento em nível de cluster e verificação de binários de plataforma. 15% do exame.
Minimização de RBAC, endurecimento de contas de serviço, autenticação/autorização de kubelet, restrição de acesso à API e atualização de clusters para aplicar patches de CVEs. 15% do exame.
Endurecimento em nível de Linux (endurecimento de kernel, AppArmor, perfis seccomp, minimização da superfície de ataque do SO host) e minimização de IAM. O menor domínio, com 10%.
Padrões de Segurança de Pod, OPA Gatekeeper, Kyverno, mTLS via service mesh e gerenciamento de segredos (integração Vault, Sealed Secrets). 20% do exame.
Assinatura de imagem com Sigstore / cosign, SBOMs, varredura de imagem (Trivy, Grype), restrição de registros de imagem e verificação de imagens base. 20% do exame — cada vez mais enfatizado nas atualizações de 2024–2026.
Detecção de ameaças em tempo de execução Falco, registro de auditoria, análise comportamental e fluxos de trabalho forenses. 20% do exame. Trabalho prático intenso na escrita de regras Falco e análise de logs de auditoria.
$130k–$175k–$250k USD anual
A faixa reflete funções de segurança na nuvem de nível médio a sênior baseadas nos EUA, onde a expertise em segurança de Kubernetes é exigida. Funções sênior de DevSecOps e arquiteto de segurança na nuvem em FAANG e unicórnios tendem a ser significativamente mais altas (muitas vezes $320k+ de remuneração total). O CKS está entre as certificações individuais mais bem pagas na nuvem — refletindo a persistente lacuna de talentos identificada pelo (ISC)² Cybersecurity Workforce Study e a escassez de engenheiros fluentes tanto em operações de Kubernetes quanto em ferramentas de segurança cloud-native.
Fonte: levels.fyi 2025–2026 (segurança na nuvem / de aplicações), U.S. BLS OEWS May 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Os valores são aproximados; a compensação real depende da função, região e experiência.
Kubernetes é o orquestrador de facto para cargas de trabalho cloud-native, e a expertise em segurança específica de Kubernetes é um dos perfis de habilidades mais escassos na nuvem. O (ISC)² Cybersecurity Workforce Study tem consistentemente apontado a engenharia de segurança na nuvem como uma lacuna de talento persistente, e o CKS é a credencial mais reconhecida dentro dessa lacuna. Os detentores de CKS recebem prêmios salariais que consistentemente excedem CKA / CKAD isoladamente, e a credencial é cada vez mais citada como uma qualificação "preferencial" ou "obrigatória" em pipelines de DevSecOps sênior e arquiteto de segurança na nuvem. O CKS é a culminação do pacote Kubestronaut (KCNA + KCSA + CKA + CKAD + CKS) e sinaliza um comprometimento operacional e de segurança incomumente profundo que acelera significativamente a candidatura para pipelines sênior.
O CKS tem um pré-requisito rigoroso — você deve possuir uma credencial Certified Kubernetes Administrator (CKA) ativa no momento do registro e no momento da realização do exame. Isso é imposto no registro; você não pode adquirir uma vaga de exame CKS sem um CKA ativo. Se o seu CKA expirar antes de você fazer o CKS, você precisará renovar ou recertificar antes de se registrar.
A progressão de segurança sensata da CNCF é KCNA → KCSA → CKA → CKS. O KCSA não é obrigatório para o CKS, mas desrisca materialmente a tentativa, estabelecendo o arcabouço conceitual (4Cs, modelagem de ameaças, segurança da cadeia de suprimentos) que o CKS então testa sob pressão de tempo prática. A maioria dos candidatos bem-sucedidos ao CKS tem de 6 a 12 meses de experiência em operações de Kubernetes em produção após o CKA antes de fazer o CKS — o exame assume fluência operacional com kubectl, kubelet, etcd e o plano de controle.
O CKS é a certificação mais exigente na trilha da CNCF. O exame é prático: 15–20 tarefas baseadas em desempenho contra clusters reais em um terminal baseado em navegador, duas horas, com acesso apenas a uma pequena lista permitida de domínios de documentação em uma única aba do navegador. A nota de aprovação é de 67%. Espere de 100 a 200 horas de estudo ao longo de 10 a 16 semanas após o CKA, dependendo da experiência anterior em segurança. Candidatos com forte formação geral em segurança (CISSP, OSCP) e uma aprovação recente no CKA tendem para o limite inferior; operadores puros mais novos no trabalho de segurança tendem para o limite superior.
O obstáculo mais comum é a amplitude das ferramentas — Falco, AppArmor, seccomp, Sigstore / cosign, Trivy, OPA Gatekeeper, Kyverno, Vault — combinada com a mesma pressão de tempo do kubectl do CKA. Fluência em Bash / jq, edição rápida com vim e eficiência com kubectl continuam sendo decisivas. A cadeia de ferramentas específica do CKS (especialmente a escrita de regras Falco personalizadas e perfis seccomp sob pressão de tempo do exame) é o que a maioria das tentativas falhas cita como a lacuna. Os exames simulados da killer.sh (duas tentativas gratuitas incluídas) são amplamente considerados preparação obrigatória.
Lançamento original — a certificação culminante de especialista em segurança da trilha da CNCF. A validade é de 2 anos (o CKS sempre teve validade de 2 anos, ao contrário do CKA / CKAD que mudaram de 3 para 2 anos em abril de 2024). O currículo é atualizado anualmente para acompanhar os lançamentos recentes do Kubernetes e os padrões de CVE; a segurança da cadeia de suprimentos e a cobertura do Sigstore foram materialmente expandidas nas atualizações de 2023–2024.
CKS (CNCF Certified Kubernetes Security Specialist) é um exame de nível Professional um exame desafiador, com muitos cenários, que exige profunda experiência prática e a capacidade de tomar decisões de trade-off arquitetônicas. A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
CKS é uma credencial reconhecida no ecossistema Kubernetes e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com Kubernetes diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para CKS é 67%. O exame contém 60 questões e dura 2 h.
A taxa do exame CKS é $445 USD. As taxas são definidas por Kubernetes e podem variar por região; sempre confirme o preço atual na página oficial de certificação Kubernetes antes de agendar.
As certificações CNCF / Kubernetes são válidas por 2 anos. Renove passando novamente na versão atual do exame; a renovação estende a validade por mais 2 anos a partir da nova data de aprovação.
Sim, as certificações Kubernetes são realizadas apenas online — não há centros de teste presenciais. O exame é executado em um navegador seguro supervisionado; você precisará de uma sala privada silenciosa, webcam, microfone, banda larga estável e um documento de identidade com foto emitido pelo governo.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para CKS. O modo de simulação de exame espelha o exame real: 60 questões em 2 h, com o mesmo limite de aprovação de 67%. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.