CNCF Certified Kubernetes Security Specialist
265 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
Certified Kubernetes Security Specialist (CKS) — самая требовательная сертификация в иерархии CNCF и единственная со строгим предварительным условием: для регистрации на CKS необходимо иметь действующую сертификацию Certified Kubernetes Administrator (CKA). CKS — это практический экзамен: два часа работы с реальными кластерами через kubectl в терминале на основе браузера, с задачами, охватывающими усиление безопасности кластера, безопасность цепочки поставок (подписание образов, SBOM), защиту во время выполнения (Falco, AppArmor, seccomp), контроль доступа (OPA Gatekeeper, Kyverno) и принудительное применение политик. CKS отличает роль специалиста по безопасности от CKA (оператор кластера), CKAD (разработчик приложений) и CNPE (инженер платформы). Это вершина пакета Kubestronaut и одна из самых ценных учетных данных по безопасности в облаке.
CIS Benchmarks для Kubernetes, kube-bench, ingress TLS, NetworkPolicies для изоляции на уровне кластера и проверка двоичных файлов платформы. 15% экзамена.
Минимизация RBAC, усиление безопасности учетных записей служб, аутентификация/авторизация kubelet, ограничение доступа к API и обновление кластеров для исправления CVE. 15% экзамена.
Усиление безопасности на уровне Linux (усиление безопасности ядра, AppArmor, профили seccomp, минимизация поверхности атаки хостовой ОС) и минимизация IAM. Самая маленькая область — 10%.
Pod Security Standards, OPA Gatekeeper, Kyverno, mTLS через service mesh и управление секретами (интеграция с Vault, Sealed Secrets). 20% экзамена.
Подписание образов с помощью Sigstore / cosign, SBOMs, сканирование образов (Trivy, Grype), ограничение реестров образов и проверка базовых образов. 20% экзамена — все большее внимание уделяется в обновлениях 2024–2026 годов.
Обнаружение угроз во время выполнения с помощью Falco, аудит логирования, поведенческий анализ и рабочие процессы судебно-медицинской экспертизы. 20% экзамена. Значительная практическая работа по написанию правил Falco и анализу журналов аудита.
$130k–$175k–$250k USD годовая
Диапазон отражает зарплаты для специалистов среднего и высшего звена в области облачной безопасности в США, где требуется опыт работы с безопасностью Kubernetes. Старшие инженеры DevSecOps и архитекторы облачной безопасности в FAANG и стартапах-«единорогах» получают значительно больше (часто > 320 тыс. долларов США общего дохода). CKS входит в число самых высокооплачиваемых индивидуальных сертификаций в облаке — это отражает постоянный дефицит кадров, выявленный в исследовании (ISC)² Cybersecurity Workforce Study, и нехватку инженеров, свободно владеющих как операциями Kubernetes, так и инструментами облачной безопасности.
Источник: levels.fyi 2025–2026 (cloud / application security), U.S. BLS OEWS May 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
Kubernetes является де-факто оркестратором для облачных рабочих нагрузок, а экспертные знания в области безопасности Kubernetes — одним из самых дефицитных навыков в облаке. Исследование (ISC)² Cybersecurity Workforce Study постоянно отмечает инженерию облачной безопасности как область с постоянным дефицитом кадров, и CKS является наиболее признанным сертификатом в этой области. Обладатели CKS получают надбавки к зарплате, которые стабильно превышают зарплаты обладателей только CKA / CKAD, и этот сертификат все чаще упоминается как «предпочтительная» или «обязательная» квалификация для старших позиций DevSecOps и архитекторов облачной безопасности. CKS — это вершина пакета Kubestronaut (KCNA + KCSA + CKA + CKAD + CKS) и свидетельство необычайно глубокой операционной приверженности и приверженности безопасности, что значительно ускоряет продвижение кандидатов на старшие позиции.
У CKS есть строгое предварительное условие — вы должны иметь действующую сертификацию Certified Kubernetes Administrator (CKA) на момент регистрации и на момент сдачи экзамена. Это условие обязательно при регистрации; вы не сможете приобрести слот для экзамена CKS без действующей CKA. Если срок действия вашей CKA истечет до сдачи CKS, вам потребуется продлить или повторно сертифицироваться перед регистрацией.
Разумная последовательность сертификаций CNCF по безопасности — KCNA → KCSA → CKA → CKS. KCSA не является обязательной для CKS, но существенно снижает риск неудачи, создавая концептуальную основу (4Cs, моделирование угроз, безопасность цепочки поставок), которую CKS затем проверяет под давлением времени при выполнении практических заданий. Большинство успешных кандидатов на CKS имеют 6–12 месяцев опыта работы с Kubernetes в продакшене после получения CKA, прежде чем сдавать CKS — экзамен предполагает свободное владение kubectl, kubelet, etcd и control plane.
CKS — самая требовательная сертификация в иерархии CNCF. Экзамен практический: 15–20 задач, основанных на производительности, выполняются на реальных кластерах в терминале на основе браузера, длится два часа, с доступом только к небольшому списку разрешенных доменов документации в одной вкладке браузера. Проходной балл — 67%. Ожидайте 100–200 часов обучения в течение 10–16 недель после CKA, в зависимости от предыдущего опыта в области безопасности. Кандидаты с сильным общим опытом в области безопасности (CISSP, OSCP) и свежей сдачей CKA, как правило, укладываются в меньшие сроки; операторы без опыта в безопасности — в большие.
Наиболее распространенным камнем преткновения является широкий спектр инструментов — Falco, AppArmor, seccomp, Sigstore / cosign, Trivy, OPA Gatekeeper, Kyverno, Vault — в сочетании с тем же временным давлением kubectl, что и на CKA. Свободное владение Bash / jq, быстрое редактирование в vim и эффективность kubectl остаются решающими. Инструментарий, специфичный для CKS (особенно написание пользовательских правил Falco и профилей seccomp в условиях ограниченного времени экзамена), является тем, что большинство неудачных попыток называют причиной провала. Пробные экзамены от killer.sh (включены две бесплатные попытки) повсеместно считаются обязательной подготовкой.
Первоначальный выпуск — вершина иерархии CNCF для специалистов по безопасности. Срок действия — 2 года (CKS всегда имел 2-летний срок действия, в отличие от CKA / CKAD, которые перешли с 3 на 2 года в апреле 2024 года). Учебная программа ежегодно обновляется для отслеживания последних выпусков Kubernetes и моделей CVE; охват безопасности цепочки поставок и Sigstore существенно расширился в обновлениях 2023–2024 годов.
CKS (CNCF Certified Kubernetes Security Specialist) — это Professional-уровневый экзамен, сложный, насыщенный сценариями экзамен, требующий глубокого практического опыта и способности принимать решения по архитектурным компромиссам. Большинству кандидатов требуется 150–300 часов обучения, распределенных на 3–6 месяцев, для экзаменов профессионального и экспертного уровня. Эти экзамены обычно предполагают предварительную подготовку на уровне Associate. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 150–300 часов обучения, распределенных на 3–6 месяцев, для экзаменов профессионального и экспертного уровня. Эти экзамены обычно предполагают предварительную подготовку на уровне Associate. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
CKS — это признанная квалификация в экосистеме Kubernetes, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с Kubernetes или хотят перейти на такие должности.
Проходной балл для CKS составляет 67%. Экзамен содержит 60 вопросов и длится 2 ч.
Стоимость экзамена CKS составляет $445 USD. Сборы устанавливаются Kubernetes и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации Kubernetes перед бронированием.
Сертификации CNCF / Kubernetes действительны в течение 2 лет. Продлите, пересдав текущую версию экзамена; продление увеличивает срок действия еще на 2 года с новой даты сдачи.
Да, сертификации Kubernetes сдаются только онлайн — нет очных центров тестирования. Экзамен проводится в безопасном браузере с прокторингом; вам понадобится тихая отдельная комната, веб-камера, микрофон, стабильный широкополосный доступ в интернет и государственное удостоверение личности с фотографией.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для CKS. Режим симуляции экзамена имитирует реальный экзамен: 60 вопросов за 2 ч, с тем же проходным порогом 67%. Режим просмотра позволяет статически читать каждый вопрос и ответ.