CNCF Kubernetes and Cloud Native Security Associate
265道练习题
最后审核:April 2026
为你的学习之旅记录个人笔记和资源链接
按认证筛选
Kubernetes 和云原生安全助理 (KCSA) 是 CNCF 于 2022 年末推出的基础级证书,旨在验证对云原生安全的概念性理解。它是一项 60 道选择题考试 — 不像 CKS 那样是动手操作的 — 目标受众是需要可靠地讨论 Kubernetes 威胁模型、RBAC、网络策略、供应链安全以及 4C(云、集群、容器、代码)的工程师、安全分析师和 SRE,即使他们尚未操作加固的生产集群。KCSA 是继 KCNA 之后,在 Kubestronaut 之路上自然而然的第二步,它为动手操作的 CKS 考试奠定了概念性基础,使其更易于掌握。
云原生安全的 4C(云、集群、容器、代码)、共享责任模型,以及云原生安全与传统边界安全的区别。为考试的其余部分设定概念性场景。
API server、etcd、kubelet、controller-manager、scheduler — 各组件暴露的内容以及应如何加固。与另一个领域并列最大,占比 22%。
RBAC、服务账户、秘密管理、Pod 安全标准(取代 PodSecurityPolicies)和网络策略。与另一个领域并列最大,占比 22% — 预计会重点覆盖。
应用于 Kubernetes 的 STRIDE 风格威胁建模,以及 CNCF 特定的威胁目录(持久性、权限提升、横向移动)。直接映射到 MITRE ATT&CK for Containers。
供应链安全 (SBOMs, 使用 Sigstore / cosign 进行镜像签名)、准入控制 (OPA Gatekeeper, Kyverno) 和运行时防御 (Falco)。在 2024–2026 年的更新中日益受到重视。
Kubernetes 的 CIS Benchmarks、NIST SP 800-190、容器化环境中的 PCI-DSS 和 CNCF 安全 TAG。最小的领域 (10%) 但问题密度高。
$105k–$145k–$200k USD 每年
该范围反映了美国境内中高级云安全职位,这些职位要求具备 Kubernetes 知识。在 FAANG 和独角兽公司中,高级 DevSecOps 和云安全架构师职位的薪资趋势显著更高(通常 $250k+ TC)。KCSA 单独并不能带来这些薪资 — 它补充了安全或平台背景。
来源:levels.fyi 2025–2026 (安全 / 云安全职位), 美国劳工统计局 (BLS) OEWS 2024 年 5 月 (15-1212 信息安全分析师), (ISC)² 网络安全劳动力研究 2024。数据为估算值;实际薪酬取决于职位、地区和经验。
云原生安全是 (ISC)² 网络安全劳动力研究中强调的长期人才缺口之一,而 Kubernetes 专用的安全技能则更为稀缺。KCSA 作为 DevSecOps 和云安全招聘流程的筛选信号 — 它告诉招聘人员,即使候选人尚未操作加固的集群,也能可靠地讨论 RBAC、网络策略、镜像签名和 CNCF 威胁模型。该证书在高级招聘流程中的份量不及 CKS,但它日益被用作安全相关平台职位的基准筛选条件。对于追求 Kubestronaut 捆绑认证的候选人来说,KCSA 是一个有意义的中间步骤,可以显著降低尝试 CKS 的风险。
KCSA 没有正式的先决条件,但 CNCF 强烈建议具备 KCNA 级别的 Kubernetes 知识。没有任何 Kubernetes 背景的候选人应首先考取 KCNA — KCSA 假设您已经了解 pod、service 和 namespace 是什么,并在此基础上构建安全上下文。
合理的 CNCF 安全进阶路径是 KCNA → KCSA → CKA → CKS。KCSA 不满足 CKS 的任何正式先决条件(CKS 需要有效的 CKA 证书),但它是吸收概念性材料(威胁建模、4C、供应链安全)最清晰的方式,这些材料随后会在 CKS 动手考试的时间压力下进行测试。具有强大通用安全背景(CISSP、OSCP)和 Kubernetes 操作经验的候选人可以合理地跳过 KCSA 直接考取 CKS,但大多数工程师会从这个中间步骤中受益。
KCSA 被评定为基础级,难度介于 KCNA 和动手操作的 CKS 之间。如果您具备 KCNA 级别的 Kubernetes 知识但安全背景有限,预计需要 4–6 周的学习时间(30–60 小时);如果您两者兼备,则为 15–30 小时。考试包含 60 道选择题,时长 90 分钟,仅通过 PSI Bridge 在线进行,包含一次免费重考。及格分数为 750 / 1000。
最常见的障碍是安全框架的广度 — 了解 Kubernetes 但不了解 CIS Benchmarks、NIST SP 800-190 或 MITRE ATT&CK for Containers 的考生可能会在威胁模型和合规领域失分。Sigstore / cosign 和准入控制器 (OPA Gatekeeper, Kyverno) 也是常见的知识空白点。每题 90 秒的作答时间,时间管理很少成为问题。
普遍可用。截至 2026 年 4 月的当前版本;2024 年课程更新扩展了供应链安全(Sigstore, SBOMs)并增加了 MITRE ATT&CK for Containers 的覆盖范围。有效期为 2 年。
KCSA (CNCF Kubernetes and Cloud Native Security Associate) 是一门被认为是入门级考试,测试概念理解的广度而非实际操作的深度Foundational级别考试。大多数考生需要为基础级别考试学习 30-80 小时,分摊在 3-6 周内完成。 大多数在模拟考试中持续得分高于及格线的考生,在第一次尝试时都能通过。
大多数考生需要为基础级别考试学习 30-80 小时,分摊在 3-6 周内完成。 通过考试所需时间因个人经验而异。在底层技术方面具有实际生产经验的工程师通常所需时间较少;平台新手则应计划在学习时间范围的上限。
KCSA 是 Kubernetes 生态系统中公认的证书,向雇主、招聘人员和客户表明您已具备经过验证的知识。它是否值得您投入时间和费用取决于您的角色和目标——对于日常使用 Kubernetes 或希望从事相关工作的云工程师、架构师和顾问来说,其回报通常最大。
KCSA 的及格分数是 75%。考试包含 60 道题,时长为 1 小时 30 分钟。
KCSA 考试费用为 $250 USD。费用由 Kubernetes 设定,并可能因地区而异;预订前请务必在 Kubernetes 官方认证页面确认当前价格。
CNCF / Kubernetes 认证有效期为 2 年。通过重新通过当前版本的考试来续订;续订将从新的通过日期起延长有效期 2 年。
是的,Kubernetes 认证仅在线提供——没有线下考试中心。考试在安全的有监考浏览器中进行;您需要一个安静的私人房间、网络摄像头、麦克风、稳定的宽带和政府颁发的带照片的身份证件。
CertLabPro 为 KCSA 提供了包含 15 种学习模式的练习题库。考试模拟模式与真实考试一致:60 道题,时长 1 小时 30 分钟,及格分数同样为 75%。浏览模式允许您静态阅读所有问答。