CNCF Kubernetes and Cloud Native Security Associate
265 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
Сертификат Kubernetes and Cloud Native Security Associate (KCSA) — это базовый уровень квалификации, представленный CNCF в конце 2022 года для подтверждения концептуального понимания облачной безопасности. Это экзамен из 60 вопросов с множественным выбором — не практический, как CKS — и он предназначен для инженеров, аналитиков по безопасности и SRE, которым необходимо компетентно обсуждать модели угроз Kubernetes, RBAC, сетевые политики, безопасность цепочки поставок и «4C» (Cloud, Cluster, Container, Code), еще не управляя защищенными производственными кластерами. KCSA является естественным вторым шагом на пути Kubestronaut после KCNA и закладывает концептуальную основу, которая делает практический экзамен CKS заметно более доступным.
«4C» облачной безопасности (Cloud, Cluster, Container, Code), модели совместной ответственности и отличия облачной безопасности от традиционной периметровой защиты. Концептуальная основа для остальной части экзамена.
API server, etcd, kubelet, controller-manager, scheduler — что каждый компонент предоставляет и как его следует усиливать. Раздел с самой большой долей в 22%.
RBAC, service accounts, управление секретами, стандарты безопасности подов (заменяющие PodSecurityPolicies) и сетевые политики. Раздел с самой большой долей в 22% — ожидается обширное покрытие.
Моделирование угроз в стиле STRIDE, примененное к Kubernetes, а также каталог угроз, специфичных для CNCF (постоянство, повышение привилегий, боковое перемещение). Напрямую соотносится с MITRE ATT&CK for Containers.
Безопасность цепочки поставок (SBOM, подписание образов с помощью Sigstore / cosign), контроль допуска (OPA Gatekeeper, Kyverno) и защита во время выполнения (Falco). Все больше акцентируется в обновлениях 2024–2026 годов.
CIS Benchmarks for Kubernetes, NIST SP 800-190, PCI-DSS в контейнерных средах и CNCF security TAG. Самый маленький домен (10%), но вопросы высокой плотности.
$105k–$145k–$200k USD годовая
Диапазон отражает средние и старшие роли в области облачной безопасности в США, где требуется знание Kubernetes. Старшие роли DevSecOps и архитекторов облачной безопасности в FAANG и "единорогах" значительно выше (часто $250k+ TC). Один только KCSA не гарантирует такие зарплаты — он дополняет опыт в области безопасности или платформенной работы.
Источник: levels.fyi 2025–2026 (роли в области безопасности / облачной безопасности), U.S. BLS OEWS May 2024 (15-1212 information security analysts), (ISC)² Cybersecurity Workforce Study 2024. Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
Облачная безопасность является одним из постоянно существующих пробелов в талантах, выделенных в (ISC)² Cybersecurity Workforce Study, а навыки безопасности, специфичные для Kubernetes, еще более редки. KCSA служит сигналом для отбора в DevSecOps и облачные службы безопасности — он сообщает рекрутерам, что кандидат может компетентно говорить о RBAC, сетевых политиках, подписании образов и модели угроз CNCF, еще не управляя защищенными кластерами. Этот сертификат имеет меньший вес, чем CKS, в старших специализациях, но все чаще используется в качестве базового фильтра для смежных с безопасностью платформенных ролей. Для кандидатов, проходящих бандл Kubestronaut, KCSA является значимым промежуточным шагом, который существенно снижает риски при попытке сдать CKS.
Формальных предварительных требований для KCSA нет, но CNCF настоятельно рекомендует предварительное знание Kubernetes на уровне KCNA. Кандидатам без какого-либо опыта работы с Kubernetes следует сначала сдать KCNA — KCSA предполагает, что вы уже знаете, что такое pod, service и namespace, и строит контекст безопасности поверх этой основы.
Разумная последовательность сертификаций CNCF по безопасности: KCNA → KCSA → CKA → CKS. KCSA не удовлетворяет никаким формальным предварительным требованиям для CKS (CKS требует активного CKA), но это самый чистый способ усвоить концептуальный материал — моделирование угроз, «4C», безопасность цепочки поставок — который затем проверяется на практическом экзамене CKS в условиях ограниченного времени. Кандидаты с сильным общим опытом в области безопасности (CISSP, OSCP) и опытом работы с Kubernetes могут разумно пропустить KCSA и перейти сразу к CKS, но большинство инженеров получают выгоду от промежуточного шага.
KCSA оценивается как базовый и по сложности находится точно между KCNA и практическим CKS. Ожидайте 30–60 часов обучения в течение 4–6 недель, если у вас есть знание Kubernetes на уровне KCNA, но ограниченный опыт в области безопасности; 15–30 часов, если у вас есть и то, и другое. Экзамен состоит из 60 вопросов с множественным выбором за 90 минут, проводится только онлайн через PSI Bridge, с одним бесплатным пересдачей в комплекте. Проходной балл — 750 из 1000.
Наиболее частым камнем преткновения является широкий охват фреймворков безопасности — кандидаты, знающие Kubernetes, но не знакомые с CIS Benchmarks, NIST SP 800-190 или MITRE ATT&CK for Containers, могут потерять баллы в областях моделирования угроз и соответствия. Sigstore / cosign и контроллеры допуска (OPA Gatekeeper, Kyverno) также являются частыми пробелами. Управление временем редко является проблемой при 90 секундах на вопрос.
Общая доступность. Текущая версия по состоянию на апрель 2026 года; обновление учебной программы 2024 года расширило раздел безопасности цепочки поставок (Sigstore, SBOM) и добавило покрытие MITRE ATT&CK for Containers. Срок действия — 2 года.
KCSA (CNCF Kubernetes and Cloud Native Security Associate) — это Foundational-уровневый экзамен, считается экзаменом начального уровня, проверяющим широту концептуального понимания, а не глубокие практические навыки. Большинству кандидатов требуется 30–80 часов обучения, распределенных на 3–6 недель, для экзаменов начального уровня. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 30–80 часов обучения, распределенных на 3–6 недель, для экзаменов начального уровня. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
KCSA — это признанная квалификация в экосистеме Kubernetes, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с Kubernetes или хотят перейти на такие должности.
Проходной балл для KCSA составляет 75%. Экзамен содержит 60 вопросов и длится 1 ч 30 мин.
Стоимость экзамена KCSA составляет $250 USD. Сборы устанавливаются Kubernetes и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации Kubernetes перед бронированием.
Сертификации CNCF / Kubernetes действительны в течение 2 лет. Продлите, пересдав текущую версию экзамена; продление увеличивает срок действия еще на 2 года с новой даты сдачи.
Да, сертификации Kubernetes сдаются только онлайн — нет очных центров тестирования. Экзамен проводится в безопасном браузере с прокторингом; вам понадобится тихая отдельная комната, веб-камера, микрофон, стабильный широкополосный доступ в интернет и государственное удостоверение личности с фотографией.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для KCSA. Режим симуляции экзамена имитирует реальный экзамен: 60 вопросов за 1 ч 30 мин, с тем же проходным порогом 75%. Режим просмотра позволяет статически читать каждый вопрос и ответ.