Certified Kubernetes Security Specialist

I. Giới thiệu khóa học:

Khóa học Certified Kubernetes Security Specialist cung cấp kiến thức và kỹ năng thực hành chuyên sâu về bảo mật hệ thống Kubernetes trong môi trường doanh nghiệp. Chương trình giúp học viên hiểu và triển khai các biện pháp bảo mật xuyên suốt vòng đời của một Kubernetes cluster: từ thiết lập ban đầu, kiểm soát truy cập, bảo mật workload, bảo mật chuỗi cung ứng phần mềm đến giám sát và phát hiện rủi ro trong quá trình vận hành.

Khóa học được thiết kế cho System Administrators, DevOps Engineers, Platform Engineers, Cloud Engineers và Security Engineers đang vận hành hoặc bảo vệ containerized workloads trên Kubernetes. Nội dung chương trình có tham chiếu đến các domain quan trọng của chứng chỉ Certified Kubernetes Security Specialist (CKS), tuy nhiên trọng tâm chính là năng lực triển khai Kubernetes Security trong thực tế

II. Thời lượng: 32 giờ (4 ngày)

III. Hình thức đào tạo:

Đào tạo trực tiếp tại lớp học, đào tạo online tương tác với giảng viên, đào tạo kết hợp online và trực tiếp tại lớp học, đào tạo tại văn phòng khách hàng theo yêu cầu

IV. Mục tiêu khóa học:

Hiểu các nguyên tắc cốt lõi trong bảo mật Kubernetes.
Cấu hình bảo mật cho Kubernetes cluster ở cấp độ control plane, node, network và workload.
Sử dụng NetworkPolicy để kiểm soát traffic giữa namespace, pod và service.
Đánh giá cấu hình cluster theo CIS Benchmark bằng kube-bench.
Thiết kế RBAC theo nguyên tắc least privilege.
Quản lý ServiceAccount và hạn chế rủi ro từ token tự động mount vào pod.
Áp dụng Pod Security Admission, Pod Security Standards và Security Context để giảm thiểu rủi ro từ workload.
Sử dụng Seccomp, AppArmor, Linux capabilities và read-only filesystem để tăng cường bảo mật container.
Kiểm tra image và manifest bằng Trivy, Kubesec và Checkov.
Hiểu các khái niệm cơ bản về SBOM, image signing và policy-based admission control.
Triển khai OPA Gatekeeper để kiểm soát chính sách bảo mật trong Kubernetes.
Sử dụng Falco và Kubernetes Audit Logs để giám sát, phát hiện và phân tích hành vi bất thường.
Hiểu tổng quan về chứng chỉ CKS và cách tiếp tục tự ôn thi nếu có nhu cầu.

V. Đối tượng tham gia:

System Administrators đang quản trị hạ tầng Linux/Kubernetes.
DevOps Engineers và Platform Engineers phụ trách triển khai, vận hành và bảo mật Kubernetes.
Cloud Engineers làm việc với container platform trên cloud hoặc hybrid cloud.
Security Engineers muốn chuyên sâu về Container Security và Kubernetes Security.
Cloud/System Architects cần thiết kế nền tảng Kubernetes an toàn cho doanh nghiệp.

VI. Điều kiện tiên quyết:

Có kiến thức nền tảng về Kubernetes tương đương CKA hoặc đã từng vận hành Kubernetes trong thực tế.
Thành thạo Linux command line.
Biết sử dụng kubectl, YAML manifest, Pod, Deployment, Service, Namespace, ConfigMap và Secret.
Có kiến thức cơ bản về container, Dockerfile, networking và security principles.
Lưu ý: Khóa học không dạy lại Kubernetes căn bản

VII. Nội dung khóa học:

Phần I. Tổng quan về Kubernetes Security

1. Bài 1. Kubernetes Security Model

Nội dung:

Vì sao Kubernetes cần bảo mật riêng?
Các lớp bảo mật: cluster, node, network, workload, supply chain và runtime.
Các rủi ro thường gặp: API Server exposed, RBAC quá rộng, Pod chạy quyền cao, image có lỗ hổng, Secret bị lộ, network traffic không kiểm soát.

Thực hành / hoạt động:

Khảo sát một Kubernetes cluster mẫu.
Xác định các thành phần cần bảo mật.
Review các security misconfigurations phổ biến.

Phần II. Cluster Setup & Network Security

2. Bài 2. Secure Cluster Setup

Nội dung:

Bảo mật Kubernetes API Server.
Authentication, Authorization và Admission Control.
Anonymous access, insecure access và bảo vệ control plane components.
Node metadata, sensitive endpoints và CIS Benchmark cho Kubernetes.

Thực hành / hoạt động:

Chạy kube-bench.
Đọc report CIS Benchmark.
Phân tích lỗi cấu hình phổ biến.
Đề xuất cách hardening API Server.

3. Bài 3. Network Security trong Kubernetes

Nội dung:

Kubernetes network model.
Ingress/Egress traffic và NetworkPolicy.
Default deny policy, namespace isolation, pod selector và namespace selector.
Bảo mật kết nối Ingress với TLS và khái niệm mTLS trong microservices.

Thực hành / hoạt động:

Viết NetworkPolicy cho phép/chặn traffic.
Cô lập namespace.
Cho phép frontend gọi backend trên port cụ thể.
Kiểm tra traffic giữa các pod.

Phần III. Cluster Hardening

4. Bài 4. RBAC và Least Privilege

Nội dung:

Role, ClusterRole, RoleBinding và ClusterRoleBinding.
Least privilege trong Kubernetes.
Các lỗi RBAC phổ biến: cluster-admin quá rộng, wildcard permissions, gán quyền sai namespace.
Kiểm tra quyền bằng kubectl auth can-i.

Thực hành / hoạt động:

Tạo Role chỉ cho phép đọc Pod.
Tạo RoleBinding cho user hoặc ServiceAccount.
Kiểm tra quyền.
Phát hiện và thu hồi quyền dư thừa.

5. Bài 5. ServiceAccount và Secret Security

Nội dung:

ServiceAccount và ServiceAccount token.
Rủi ro khi tự động mount token vào Pod.
Tắt automountServiceAccountToken.
Bảo mật Kubernetes Secret và secret exposure risks.

Thực hành / hoạt động:

Tạo ServiceAccount riêng cho application.
Tắt auto-mount token.
Kiểm tra token trong container.
Review workload đang dùng default ServiceAccount.

Phần IV. Workload & System Hardening

6. Bài 6. Pod Security, Security Context và Pod Security Admission

Nội dung:

Pod Security Admission và Pod Security Standards: Privileged, Baseline, Restricted.
Security Context ở cấp Pod và Container.
runAsNonRoot, readOnlyRootFilesystem, allowPrivilegeEscalation.
Linux capabilities, privileged container, hostNetwork, hostPID, hostIPC và hostPath risks.

Thực hành / hoạt động:

Cấu hình namespace với Pod Security Admission.
Chuyển namespace sang mức Restricted.
Sửa Pod spec để đáp ứng security baseline.
Harden một Deployment có cấu hình không an toàn.

7. Bài 7. Seccomp, AppArmor và Container Runtime Hardening

Nội dung:

Seccomp và AppArmor.
System calls và rủi ro container escape.
Container runtime security.
Khi nào nên dùng Seccomp/AppArmor và giới hạn thực tế trong doanh nghiệp.

Thực hành / hoạt động:

Áp dụng Seccomp profile cho Pod.
Áp dụng AppArmor profile.
Kiểm tra workload sau khi bị giới hạn syscall.
Phân tích lỗi khi policy quá chặt.

Phần V. Policy as Code & Admission Control

8. Bài 8. OPA Gatekeeper và Policy Enforcement

Nội dung:

Admission control trong Kubernetes.
Policy-as-code với OPA và Gatekeeper.
ConstraintTemplate và Constraint.
Use cases: chặn privileged container, bắt buộc non-root, chặn tag latest, giới hạn registry, bắt buộc resource limits, label/annotation chuẩn.

Thực hành / hoạt động:

Cài đặt Gatekeeper.
Viết policy chặn privileged container.
Viết policy yêu cầu resource limits.
Viết policy chặn image tag latest.

Phần VI. Supply Chain Security

9. Bài 9. Container Image Security

Nội dung:

Rủi ro trong container image.
Base image, multi-stage build, minimal image và distroless image.
Không chạy application bằng root và không lưu secret trong image.
CVE scanning, image provenance, SBOM overview và image signing overview.

Thực hành / hoạt động:

Scan image bằng Trivy.
Phân tích CVE theo severity.
Scan Kubernetes YAML bằng Kubesec.
Scan manifest bằng Checkov.
Generate SBOM ở mức cơ bản.
Demo image signing.

10. Bài 10. Image Policy và Deployment Control

Nội dung:

ImagePolicyWebhook.
Admission policy cho container image.
Chặn image không đạt yêu cầu, không đúng registry hoặc dùng tag latest.
Tích hợp security scanning vào CI/CD pipeline.

Thực hành / hoạt động:

Cấu hình ImagePolicyWebhook hoặc mô phỏng image admission control.
Viết policy kiểm soát registry.
Viết policy kiểm soát image tag.
Thảo luận cách áp dụng trong doanh nghiệp.

Phần VII. Monitoring, Logging & Runtime Security

11. Bài 11. Runtime Security với Falco

Nội dung:

Runtime security và lý do scan image là chưa đủ.
Falco architecture và Falco rules.
Phát hiện shell exec, truy cập file nhạy cảm, process lạ, privilege escalation và outbound connection bất thường.
False positive và rule tuning.

Thực hành / hoạt động:

Cài đặt Falco.
Trigger hành vi bất thường.
Đọc Falco alert.
Viết custom Falco rule đơn giản.
Phân tích sự kiện runtime.

12. Bài 12. Kubernetes Audit Logs và Incident Investigation

Nội dung:

Kubernetes Audit Logging và Audit Policy.
Audit level: Metadata, Request, RequestResponse.
Audit stages.
Các hành động nên audit: tạo/xóa Secret, tạo RoleBinding, tạo Pod privileged, exec vào Pod, thay đổi ConfigMap.
Phân tích log để điều tra sự cố.

Thực hành / hoạt động:

Bật audit logging.
Viết audit policy.
Tạo hành vi giả lập.
Phân tích audit log để xác định user/serviceaccount thực hiện hành động.

Phần VIII. Tổng kết, Case Study và Định hướng CKS

13. Bài 13. Kubernetes Security Case Study

Nội dung:

Phân tích mô hình Kubernetes trong doanh nghiệp.
Xác định rủi ro theo từng lớp: cluster, node, network, workload, image và runtime.
Thiết kế security baseline cho Kubernetes environment.
Checklist triển khai Kubernetes Security trong thực tế.

Thực hành / hoạt động:

Review một cluster scenario.
Đề xuất hardening plan.
Trình bày security controls cần áp dụng.

14. Bài 14. Định hướng chứng chỉ CKS

Nội dung:

CKS là gì?
Điều kiện đầu vào: cần có CKA còn hiệu lực.
Các domain chính và hình thức thi performance-based.
Kỹ năng cần luyện thêm: tốc độ dùng kubectl, quản lý context/namespace, làm quen exam environment và luyện mock exam.
Lộ trình tự ôn sau khóa học.

Thực hành / hoạt động: