是 K8s 三件套里最难的。除了 K8s 本身，还要懂容器安全、供应链安全、运行时检测（如 Falco）等工具链。

CKS 认证完全指南（2026 最新版）— Kubernetes 安全专家考试怎么考、怎么学

Q: CKS 考什么工具？

常见有 Trivy（镜像扫描）、Falco（运行时检测）、AppArmor/seccomp（系统调用限制）、OPA/Gatekeeper、NetworkPolicy、kube-bench、审计日志等。

更新时间： 2026 年 6 月 · 阅读时长： 12 分钟 · 难度： 高级

CKS（Certified Kubernetes Security Specialist）是 Kubernetes 三件套里最难、单证含金量最高的认证，专门考你能不能把一个 K8s 集群从设计到运行时全链路加固。它有一个硬门槛：报考前必须持有有效的 CKA。本文从前置条件、考纲六大领域、安全工具链到备考重点，一篇看完。

一图看懂 CKS

项目	详情
认证名称	Certified Kubernetes Security Specialist
颁发机构	Cloud Native Computing Foundation (CNCF) / Linux 基金会
报名费	$395（约 ¥2,850，含一次免费补考）
考试时长	2 小时
考试形式	在线远程考试，全程实操（命令行操作真实集群）
考试语言	英文（无中文版本）
通过分数	67%
有效期	2 年
报考条件	必须持有有效的 CKA 认证
建议备考时长	4-6 周（在已有 CKA 基础上）

⚠️ Linux 基金会会不定期调整考试规则与考纲权重，正式报名前请到 CNCF 官网确认最新信息。

CKS 是什么？和 CKA / CKAD 什么关系？

CKS 和 CKA、CKAD 一样是 纯实操考试，但视角完全不同：CKA 管运维、CKAD 管应用交付，而 CKS 只管一件事 —— 安全。你会被要求加固集群、限制容器权限、扫描镜像漏洞、配置运行时检测、排查并堵住安全配置错误。

关键关系：

CKS 强制要求先有 CKA（报考当下 CKA 必须仍然有效）。
CKAD 不是 CKS 的前置，两者没有依赖关系。
CKS 默认你已经熟练 kubectl 和集群基本操作 —— 它不再教你 K8s，而是教你怎么把 K8s 守住。

谁应该考 CKS？

适合人群：

已经拿了 CKA、想往安全方向走 的 DevOps / SRE
云安全 / 平台安全工程师 —— 负责容器与 K8s 安全基线
想拿薪资溢价 的工程师 —— 安全方向人才稀缺，CKS 是稀缺的硬信号

不适合：还没有 K8s 实战经验的同学。CKS 假设你已经会用集群，先把 CKA 拿下、积累一些生产经验再来。

考试形式 & 费用（2026 最新）

项目	详情
时长	2 小时
题量	15-20 个实操场景题
环境	浏览器内终端，真实 Linux + K8s 集群（含多种安全工具）
允许查阅	kubernetes.io，以及考纲指定工具的官方文档（如 Trivy、Falco、AppArmor 等，以考试说明为准）
费用	$395（含 12 个月内一次免费补考）
省钱技巧	CKA + CKAD + CKS 套餐（Kubestronaut 路径）常有折扣，比单买省不少

💡 CKS 的开卷范围比 CKA / CKAD 更广 —— 除了 kubernetes.io，还允许查若干安全工具的官方文档。提前把这些文档的常用页面整理成书签。

怎么报名

通过 Linux 基金会培训平台注册，由 PSI 远程监考。报名前确认你的 CKA 仍在有效期内。

CKS 考纲详解（6 大领域）

领域	权重	真正在考什么
集群加固（Cluster Hardening）	15%	RBAC 最小权限、限制 API Server 暴露、升级修复、ServiceAccount 加固
系统加固（System Hardening）	15%	最小化主机攻击面、内核加固、AppArmor / seccomp 限制系统调用
最小化微服务漏洞	20%	SecurityContext、Pod Security Standards、OPA/Gatekeeper、mTLS、Secret 管理
供应链安全	20%	镜像最小化与签名、镜像扫描（Trivy）、准入控制、可信镜像源
监控、日志与运行时安全	20%	Falco 运行时检测、审计日志（audit log）、行为分析、不可变容器
集群安装与配置	10%	用 kube-bench 跑 CIS 基线、NetworkPolicy、安全的集群初始化

权重以 CNCF 官方最新考纲为准，CKS 考纲会随 K8s 版本演进调整。

必须动手练熟的工具

Trivy —— 镜像 / 文件系统漏洞扫描
Falco —— 运行时异常行为检测
AppArmor / seccomp —— 限制容器可用的系统调用
OPA / Gatekeeper —— 策略准入控制
kube-bench —— CIS Kubernetes 基线检查
NetworkPolicy —— 网络层最小化访问
audit logging —— API Server 审计配置

备考计划（4-6 周，已有 CKA 基础，每周 ~8 小时）

Week 1：加固基础

复习 RBAC、ServiceAccount，练「最小权限」改造
API Server 安全参数、集群升级流程
目标：能把一个过宽的 RBAC 收敛到最小权限

Week 2：系统与微服务加固

AppArmor、seccomp profile 的编写与挂载
SecurityContext、Pod Security Standards
目标：给一个 Pod 配好 seccomp + 非 root + 只读根文件系统

Week 3：供应链安全

Trivy 扫镜像、解读 CVE
镜像最小化（distroless）、准入控制限制不可信镜像
目标：拦下一个带高危 CVE 的镜像部署

Week 4：运行时安全与监控

Falco 规则、触发与解读告警
API Server 审计日志配置
目标：写一条 Falco 规则检测容器内异常 shell

Week 5-6：模考冲刺

完整做 2 套模拟题（CKS 报名自带 2 次 killer.sh 机会）
每道错题复盘，整理安全工具速查表
目标：模考稳定 >75%（CKS 真考偏难，时间也紧）

📥 想要可打印的 PDF 版备考清单？ 在本页下方留邮箱，免费领取 CKS 安全工具速查 + 备考计划 PDF。

2026 年最推荐的 CKS 学习资源

🆓 免费资源

kubernetes.io 安全章节 —— 考试期间可查，提前整理书签
killercoda.com —— 浏览器内交互式 CKS 场景
killer.sh —— 你 $395 报名费里送 2 次免费模考，CKS 必用
kube-bench / Trivy / Falco 官方文档 —— 边读边动手

💰 付费课程

经过人工核实的付费课程与培训推荐，见本文下方的「推荐学习资源」卡片区（我们只列自己核实过、确认在售的资源，避免推荐已下架或失效的链接）。

🎯 CKS 是工具密集型考试，光看视频没用。每个工具都要亲手跑通一遍，模考至少完整做 2-3 套。

5 个最常见的踩坑

CKA 临到期才考 CKS。报考当下 CKA 必须有效，先确认有效期。
只看视频不动手。Falco 规则、seccomp profile、Trivy 扫描必须自己敲过。
AppArmor / seccomp 不熟。这两个是高频失分点，练到能默写挂载方式。
审计日志配置没练。API Server 审计策略 + 日志后端要会从零配。
时间没规划。CKS 题目读题量大，先扫一遍挑会做的先做。

CKA vs CKAD vs CKS 怎么选？

维度	CKA	CKAD	CKS
方向	集群管理员	应用开发者	安全专家
难度	中-难	中	难
前置	无	无	必须先有 CKA
目标岗位	DevOps / SRE	后端 / 平台开发	安全工程师

建议：CKS 是进阶证，路径是 先 CKA → 积累生产经验 → 再 CKS。三件套全拿（再加 KCNA/KCSA）可以走 CNCF 的 Kubestronaut 认证路径。

常见问题 FAQ

考 CKS 必须先有 CKA 吗？ 是的。CKS 强制要求报考时持有有效的 CKA 认证，这是 CNCF 的硬性前置条件。

CKS 难度如何？ 是三件套里最难的。除了 K8s 本身，还要懂容器安全、供应链安全、运行时检测等工具链。

CKS 考什么工具？ 常见有 Trivy、Falco、AppArmor/seccomp、OPA/Gatekeeper、NetworkPolicy、kube-bench、审计日志等。

CKS 备考要多久？ 已有 CKA 基础，每周 8 小时，4-6 周比较现实。安全工具链需要单独动手练。

CKS 有效期多久？ 2 年。CKS 的有效期不依赖 CKA，但报考当下 CKA 必须仍然有效。

CKS 值得考吗？ 安全方向岗位薪资高、人才稀缺，单证含金量在三件套里最高。适合已有 K8s 实战经验、想往安全方向走的工程师。

准备好开始了吗？

📥 在本页下方留下邮箱，免费领取 CKS 备考计划 + 安全工具速查 PDF。

免责声明：本文部分链接为联盟推广链接，您通过这些链接购买不会增加您的费用，但我们可能获得少量佣金。我们只推荐自己审核过的资源。考纲权重与考试规则以 CNCF 官网为准。