CNCF Kubernetes and Cloud Native Security Associate
265 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
O Kubernetes and Cloud Native Security Associate (KCSA) é uma credencial de nível fundamental introduzida pela CNCF no final de 2022 para validar a compreensão conceitual da segurança nativa da nuvem. É um exame de múltipla escolha com 60 questões — não prático como o CKS — e destina-se a engenheiros, analistas de segurança e SREs que precisam falar com credibilidade sobre modelos de ameaça do Kubernetes, RBAC, políticas de rede, segurança da cadeia de suprimentos e os 4Cs (Nuvem, Cluster, Contêiner, Código) sem ainda operar clusters de produção reforçados. O KCSA é o segundo passo natural no caminho Kubestronaut após o KCNA, e estabelece as bases conceituais que tornam o exame prático CKS visivelmente mais acessível.
Os 4Cs da segurança nativa da nuvem (Cloud, Cluster, Container, Code), modelos de responsabilidade compartilhada e como a segurança nativa da nuvem difere da segurança de perímetro tradicional. Definição conceitual do cenário para o resto do exame.
Servidor API, etcd, kubelet, controller-manager, scheduler — o que cada componente expõe e como deve ser reforçado. Empatado como o maior domínio, com 22%.
RBAC, contas de serviço, gerenciamento de segredos, padrões de segurança de pods (substituindo PodSecurityPolicies) e políticas de rede. Empatado como o maior, com 22% — espere cobertura intensa.
Modelagem de ameaças estilo STRIDE aplicada ao Kubernetes, além do catálogo de ameaças específico da CNCF (persistência, escalada de privilégios, movimento lateral). Mapeia diretamente para MITRE ATT&CK for Containers.
Segurança da cadeia de suprimentos (SBOMs, assinatura de imagem com Sigstore / cosign), controle de admissão (OPA Gatekeeper, Kyverno) e defesa em tempo de execução (Falco). Cada vez mais enfatizado nas atualizações de 2024–2026.
CIS Benchmarks for Kubernetes, NIST SP 800-190, PCI-DSS em ambientes conteinerizados e o CNCF security TAG. Menor domínio (10%), mas com questões de alta densidade.
$105k–$145k–$200k USD anual
A faixa reflete cargos de segurança na nuvem de nível médio a sênior baseados nos EUA, onde a familiaridade com Kubernetes é esperada. Cargos de DevSecOps sênior e de arquiteto de segurança na nuvem em empresas FAANG e unicórnios tendem a ser significativamente mais altos (frequentemente $250k+ TC). A KCSA sozinha não garante esses salários — ela complementa uma experiência em segurança ou plataforma.
Fonte: levels.fyi 2025–2026 (cargos de segurança / segurança na nuvem), U.S. BLS OEWS May 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Os valores são aproximados; a compensação real depende da função, região e experiência.
A segurança nativa da nuvem é uma das lacunas de talento persistentes destacadas no (ISC)² Cybersecurity Workforce Study, e as habilidades de segurança específicas do Kubernetes são ainda mais escassas. O KCSA funciona como um sinal de triagem para pipelines de DevSecOps e segurança na nuvem — ele informa aos recrutadores que um candidato pode falar com credibilidade sobre RBAC, políticas de rede, assinatura de imagem e o modelo de ameaça da CNCF sem ainda operar clusters reforçados. A credencial tem menos peso que a CKS em pipelines seniores, mas é cada vez mais utilizada como um filtro de linha de base para funções de plataforma adjacentes à segurança. Para candidatos que buscam o pacote Kubestronaut, o KCSA é um passo intermediário significativo que reduz materialmente o risco da tentativa CKS.
Não há pré-requisitos formais para o KCSA, mas a CNCF recomenda fortemente a familiaridade prévia com Kubernetes no nível KCNA. Candidatos sem qualquer experiência em Kubernetes devem fazer o KCNA primeiro — o KCSA assume que você já sabe o que são um pod, service e namespace, e constrói o contexto de segurança sobre essa estrutura.
A progressão de segurança sensata da CNCF é KCNA → KCSA → CKA → CKS. O KCSA não satisfaz nenhum pré-requisito formal para o CKS (o CKS exige um CKA ativo), mas é a maneira mais clara de absorver o material conceitual — modelagem de ameaças, os 4Cs, segurança da cadeia de suprimentos — que o CKS então testa sob pressão de tempo prática. Candidatos com forte experiência geral em segurança (CISSP, OSCP) e experiência operacional em Kubernetes podem razoavelmente pular o KCSA e ir direto para o CKS, mas a maioria dos engenheiros se beneficia do passo intermediário.
O KCSA é classificado como fundamental e se posiciona claramente entre o KCNA e o CKS prático em dificuldade. Espere 30 a 60 horas de estudo em 4 a 6 semanas se você tiver familiaridade com Kubernetes no nível KCNA, mas experiência limitada em segurança; 15 a 30 horas se tiver ambos. O exame tem 60 questões de múltipla escolha em 90 minutos, somente online via PSI Bridge, com uma refacção gratuita incluída. A nota de aprovação é 750 / 1000.
O obstáculo mais comum é a amplitude entre os frameworks de segurança — candidatos que conhecem Kubernetes, mas não CIS Benchmarks, NIST SP 800-190 ou MITRE ATT&CK for Containers, podem perder pontos nos domínios de modelo de ameaças e conformidade. Sigstore / cosign e controladores de admissão (OPA Gatekeeper, Kyverno) também são lacunas frequentes. O gerenciamento do tempo raramente é um problema, com 90 segundos por questão.
Disponibilidade geral. Versão atual a partir de abril de 2026; a atualização do currículo de 2024 expandiu a segurança da cadeia de suprimentos (Sigstore, SBOMs) e adicionou cobertura do MITRE ATT&CK for Containers. A validade é de 2 anos.
KCSA (CNCF Kubernetes and Cloud Native Security Associate) é um exame de nível Foundational considerado um exame de nível de entrada que testa a amplitude da compreensão conceitual, em vez da profundidade prática. A maioria dos candidatos precisa de 30 a 80 horas de estudo distribuídas em 3 a 6 semanas para exames de nível fundamental. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 30 a 80 horas de estudo distribuídas em 3 a 6 semanas para exames de nível fundamental. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
KCSA é uma credencial reconhecida no ecossistema Kubernetes e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com Kubernetes diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para KCSA é 75%. O exame contém 60 questões e dura 1 h 30 min.
A taxa do exame KCSA é $250 USD. As taxas são definidas por Kubernetes e podem variar por região; sempre confirme o preço atual na página oficial de certificação Kubernetes antes de agendar.
As certificações CNCF / Kubernetes são válidas por 2 anos. Renove passando novamente na versão atual do exame; a renovação estende a validade por mais 2 anos a partir da nova data de aprovação.
Sim, as certificações Kubernetes são realizadas apenas online — não há centros de teste presenciais. O exame é executado em um navegador seguro supervisionado; você precisará de uma sala privada silenciosa, webcam, microfone, banda larga estável e um documento de identidade com foto emitido pelo governo.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para KCSA. O modo de simulação de exame espelha o exame real: 60 questões em 1 h 30 min, com o mesmo limite de aprovação de 75%. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.