KURUMSAL EĞİTİM, CERTİFİED KUBERNETES SECURİTY SPECİALİST (CKS)

CKS — CERTIFIED KUBERNETES SECURITY SPECIALIST EĞİTİMİ

Kubernetes güvenliği, cluster yönetiminin ötesinde ayrı bir uzmanlık alanına dönüştü. CNCF'nin "Cloud Native Security Whitepaper"ına göre container kaçışı, aşırı geniş RBAC politikaları, etcd'de şifrelenmemiş Secret'lar ve yanlış yapılandırılmış Admission Controller'lar — kurumsal Kubernetes ortamlarının en kritik güvenlik riskleri arasında yer alıyor. CKS (Certified Kubernetes Security Specialist), CNCF ve Linux Foundation'ın ortak sunduğu; cluster kurulumundan sistem sertleştirmeye, tedarik zinciri güvenliğinden çalışma zamanı tehdit tespitine kadar Kubernetes güvenlik zincirinin tüm halkalarını kapsayan en prestijli uzmanlaşma sertifikasyonudur.

CKS'yi diğer sertifikalardan ayıran en kritik özellik: ön koşul olarak geçerli CKA sertifikası istenmesidir. Bu, CKS'nin teknik derinliğini ve endüstri değerini kesin biçimde ortaya koyar — yalnızca Kubernetes'i yönetebilen değil, onu güvenli hale getirebilen uzmanları sertifikalandırır. Sınav tamamen hands-on formattadır; gerçek bir cluster ortamında güvenlik açıklarını tespit edip gidermek, sertleştirme konfigürasyonları yazmak ve runtime tehditlerini analiz etmek gerekir.

On modüle yayılan program; CKS'nin beş resmi domain'ini tam ağırlıklarıyla kapsar: Cluster Setup (%15) — API Server hardening, kubeadm CIS uyumu, kubeconfig güvenliği; Cluster Hardening (%15) — RBAC least-privilege, ServiceAccount güvenliği, sertifika rotasyonu, Network Policy; System Hardening (%15) — OS kullanıcı kısıtlaması, AppArmor, Seccomp, kernel modül yönetimi; Minimize Microservice Vulnerabilities (%20) — PodSecurity Standards, SecurityContext, Secret harici store, OPA Gatekeeper; Supply Chain Security (%20) — image scanning (Trivy), Distroless, imaj imzalama, Admission Webhook; Monitoring, Logging and Runtime Security (%15) — API Audit Log, Falco, Sysdig, behavioral anomaly tespiti.

Eğitim; aktif CKA sertifikasına sahip DevSecOps mühendisleri, platform ve güvenlik mühendisleri, SRE'ler ve Kubernetes güvenlik mimarisini tasarlamak isteyen çözüm mimarları için tasarlanmıştır. CKS almak isteyen katılımcıların eğitim başlangıcında geçerli (aktif) CKA sertifikasına sahip olması zorunludur.

EĞİTİM HEDEFİ

Bu eğitimin temel hedefi, aktif CKA sertifikasına sahip katılımcılara Kubernetes cluster'ını production güvenlik standartlarında sertleştirme, tehdit tespiti ve CKS sınavını başarıyla geçme yetkinliği kazandırmaktır. Eğitim sonunda katılımcılar; kube-apiserver'ı CIS Kubernetes Benchmark'a göre denetler ve hardening parametrelerini (NodeRestriction, AlwaysPullImages, anonymous-auth=false, read-only-port=0) uygular; kubeadm cluster sertifika rotasyonunu ve etcd encryption at rest konfigürasyonunu gerçekleştirir. RBAC politikalarını en düşük ayrıcalık prensibine göre tasarlar; aggregationRule ile ClusterRole birleştirme yapar; ServiceAccount'lara automountServiceAccountToken: false ve projected token konfigürasyonu uygular; kubectl auth can-i --as ile politika doğrulama gerçekleştirir. Node düzeyinde gereksiz servis ve kullanıcı hesaplarını kapatır; AppArmor profili namespace'e bağlar; Seccomp profil tanımlar; kernel modül yükleme kısıtlar; kube-bench çıktısını yorumlar ve kritik bulguları giderir. PodSecurity Standards'ın Restricted profilini namespace'e enforce/audit/warn modlarıyla uygular; Pod securityContext'ini katmanlı güvenlik kısıtlamalarıyla (runAsNonRoot, readOnlyRootFilesystem, allowPrivilegeEscalation: false, drop Capabilities) yapılandırır; OPA Gatekeeper ile özel politika kuralı yazar. Container image'larını Trivy ile tarar; CVE riskini önceiklendirir; Distroless ve multi-stage build ile saldırı yüzeyini daraltır; ImagePolicyWebhook ile yalnızca imzalı imajlara izin verir; Sealed Secrets ve External Secrets Operator ile Secret'ı Git'te güvenle yönetir. API Server Audit Policy yazar, log seviyelerini (None, Metadata, Request, RequestResponse) yapılandırır ve adli analiz için log'ları yorumlar; Falco kuralı yazar, runtime'da shell açma, sensitive file access ve unexpected network bağlantısı gibi anomalileri tespit eder; RuntimeClass (gVisor, Kata Containers) ile güçlendirilmiş container izolasyonu uygular; NetworkPolicy ile Zero Trust segmentasyonu kurar.

EĞİTİM İÇERİĞİ

MODÜL 1: KUBERNETES GÜVENLİĞİNE DERINLEMESINE BAKIŞ VE TEHDİT MODELİ

• Cloud Native Güvenlik Katman Modeli (4C): Cloud → Cluster → Container → Code güvenlik katmanları ve her katmanın saldırı yüzeyi; Defense-in-Depth prensibi; CKS sınavının beş domain'i ve ağırlıkları; CNCF Cloud Native Security Whitepaper'ın kritik bulguları.
• Kubernetes Tehdit Vektörleri: Container escape (privilege escalation, hostPath, host PID/Network erişimi); kube-apiserver'a yetkisiz erişim; etcd'de şifrelenmemiş Secret; aşırı geniş RBAC — gerçek dünya ihlal vakalarından öğrenmek; MITRE ATT&CK for Containers framework'ünün CKS perspektifi.
• Kimlik Doğrulama Mekanizmaları: TLS client certificate (X.509) ile kullanıcı kimlik doğrulama; Bearer token (ServiceAccount, Bootstrap, OIDC); OpenID Connect ile dış kimlik sağlayıcı (Dex, Keycloak) entegrasyonu; Webhook Authentication; anonim erişimin riskleri ve --anonymous-auth=false ile kapatma.
• Yetkilendirme Modelleri: RBAC — kaynaklar, fiiller ve API gruplarıyla granular izin; Node Authorization — kubelet'in yalnızca kendi node'u için nesne yönetmesi; Webhook Authorization ile dış policy engine entegrasyonu; ABAC'ın mirasla kalan riskleri ve neden devre dışı bırakılması gerektiği.
• Hands-on Lab: Açık bırakılmış kubelet read-only portu üzerinden cluster bilgisi sızdırma simülasyonu; anonim API Server erişim denemesi; overpermissive RBAC ile namespace dışı Secret erişimi — her saldırı vektörünü kapatma adımlarıyla birlikte deneyimleme.

MODÜL 2: CLUSTER SETUP GÜVENLİĞİ VE API SERVER HARDENING

• kube-apiserver Hardening Parametreleri: --enable-admission-plugins ile NodeRestriction, AlwaysPullImages, LimitRanger, ResourceQuota etkinleştirme; --anonymous-auth=false; --authorization-mode=Node,RBAC; --insecure-port=0 ile HTTP portunu kapatma; --tls-min-version=VersionTLS12; API Server'ın static pod manifest'inde güvenli konfigürasyon.
• etcd Encryption at Rest: Kubernetes Secret'larının etcd'de varsayılan olarak Base64 ile depolandığının doğrulanması; EncryptionConfiguration kaynağı ile AES-CBC veya AES-GCM şifreleme; konfigürasyonun kube-apiserver'a --encryption-provider-config ile bağlanması; mevcut Secret'ların encrypt edilmesi (kubectl get secrets --all-namespaces -o json | kubectl apply -f -); şifreleme doğrulama.
• CIS Kubernetes Benchmark ile Cluster Denetimi: kube-bench kurulumu ve çalıştırılması; PASS/FAIL/WARN çıktılarının yorumlanması; Control Plane, etcd, Scheduler, Controller Manager ve Worker Node kontrol kategorileri; kritik bulguların düzeltme adımları; CKS sınavında kube-bench'in nasıl kullanılacağı.
• Kubeconfig ve Sertifika Güvenliği: kubeconfig dosyasında credential güvenliği — sertifika, token ve exec credential karşılaştırması; sertifika süresi kontrolü (kubeadm certs check-expiration) ve yenileme; kubeconfig permission'larının kısıtlanması (chmod 600); token rotation ve projection; ServiceAccount token'larının minimum lifetime ile konfigürasyonu.
• Hands-on Lab: kube-bench çalıştırma ve FAIL listesini düzeltme; etcd encryption at rest konfigürasyonu ve şifrelenmiş Secret doğrulama; API Server'a eklenen NodeRestriction admission controller ile kubelet yetkilerini kısıtlama; insecure port kapatma ve TLS versiyonu sınırlama.

MODÜL 3: GELİŞMİŞ RBAC VE SERVİCEACCOUNT GÜVENLİĞİ

• Least Privilege RBAC Tasarımı: Developer, QA, CI/CD bot ve SRE için minimum yetki profilleri; yalnızca gerekli resources + verbs + namespace kombinasyonuyla Role; yaygın over-permission hataları — wildcard (*) kullanımı, secrets'a gereksiz erişim; kubectl auth can-i --list ile mevcut izin envanteri çıkarma; rakkam.sh gibi RBAC audit araçları.
• ClusterRole Aggregation ve Yeniden Kullanım: aggregationRule ile label-based ClusterRole birleştirme; platform ekibi için katmanlı yetki hiyerarşisi (read-only → developer → admin); built-in ClusterRole'leri (view, edit, admin, cluster-admin) kullanma ve tehlikeli atamaların tespiti; RoleBinding ile namespace-scoped ClusterRole kullanımı.
• ServiceAccount Güvenli Yapılandırması: Her uygulamaya özel ServiceAccount — default kullanımının riskleri; automountServiceAccountToken: false ile token mount'u devre dışı bırakma; Projected ServiceAccount Token ile kısa ömürlü (expiration ile) token; TokenRequest API; IRSA (AWS)/Workload Identity (GCP)/Azure Workload Identity ile cloud IAM entegrasyon prensipleri.
• Kubernetes API Güvenli Erişimi: Pod içinden API Server'a ServiceAccount tokeniyle erişim; HTTPS + CA doğrulama; kubectl proxy ve in-cluster client kullanım güvenliği; API'ye erişen uygulamaların izin kapsamını minimize etme; düşük yetkili ServiceAccount ile çalışan Pod'ların ele geçirilmesiyle ne yapılabilir senaryoları.
• Hands-on Lab: read-only namespace RBAC zinciri oluşturma ve test etme; default ServiceAccount'un over-permission riskini gösterme → özel SA + minimal Role; Projected ServiceAccount Token ile kısa ömürlü kimlik doğrulaması; kubectl auth can-i ile pozitif ve negatif izin doğrulaması.

MODÜL 4: SİSTEM SERTLEŞTİRME — HOST VE NODE GÜVENLİĞİ

• Node OS Güvenliği: Gereksiz servis ve daemon'ları kapatma (systemctl disable/mask); kullanılmayan network portlarını kapatma (netstat/ss ile denetim); node'a SSH erişiminin kısıtlanması ve audit log'u; sudoers dosyası güvenliği; ufw/iptables ile node level güvenlik duvarı; CIS Linux Benchmark ile OS uyum kontrolü.
• Kernel Modülü Kısıtlama: modprobe.d ile gereksiz kernel modüllerini kara listeye alma; sctp, dccp, rds, tipc gibi saldırı yüzeyi oluşturan modüllerin engellenmesi; kernel parametrelerinin sysctl ile sertleştirilmesi (net.ipv4.ip_forward, kernel.dmesg_restrict); node'da Linux capability kısıtlaması.
• AppArmor — Uygulama Davranış Profili: AppArmor modları (complain, enforce); varsayılan Docker/containerd AppArmor profilleri; özel profil yazımı — izin verilen dosya yolları, ağ erişimi, çalıştırılabilir dosyalar; Pod manifest'inde container.apparmor.security.beta.kubernetes.io annotation ile profil bağlama; profil yükleme (apparmor_parser) ve doğrulama.
• Seccomp — Sistem Çağrısı Kısıtlama: Linux syscall ve container izolasyon ilişkisi; runtime/default profili; özel Seccomp JSON profili yazımı (whitelist/blacklist); securityContext.seccompProfile.type (RuntimeDefault, Localhost, Unconfined); unshare, ptrace gibi tehlikeli syscall'ların engellenmesi; strace ile uygulama syscall profili çıkarma.
• Hands-on Lab: Node üzerinde gereksiz servisleri tespit edip kapatma; sctp kernel modülünü modprobe.d ile kara listeye alma; nginx için AppArmor deny-write profili yazma ve Pod'a bağlama; Seccomp RuntimeDefault profili ile Pod başlatma ve syscall kısıtlamasını doğrulama.

MODÜL 5: POD GÜVENLİĞİ — SECURITY CONTEXT VE POD SECURITY STANDARDS

• Security Context Katmanlı Konfigürasyonu: Pod düzeyinde runAsUser, runAsGroup, fsGroup, runAsNonRoot; container düzeyinde allowPrivilegeEscalation: false; readOnlyRootFilesystem: true; privileged: false; Capabilities — drop: [ALL] + add: [NET_BIND_SERVICE] gibi minimal capability profili; hostPID, hostIPC, hostNetwork false zorunluluğu.
• Pod Security Standards (PSS) — Privileged, Baseline, Restricted: CNCF'nin tanımladığı üç güvenlik profili ve her birinin kısıtlama kapsamı; Restricted — en katı profil gereksinimleri (runAsNonRoot, no privileged, drop ALL, no hostPath); namespace label ile PodSecurity Admission Controller aktifleştirme; enforce/audit/warn modlarının farkı ve gradual enforcement stratejisi.
• OPA Gatekeeper ile Özel Politika: Open Policy Agent (OPA) Gatekeeper kurulumu ve CRD (ConstraintTemplate, Constraint) yapısı; Rego diliyle özel politika yazımı; "tüm Deployment'larda memory limit zorunlu", "belirli image registry dışından image yasağı" politika örnekleri; audit vs enforce modu; politika ihlali mesajları ve hata yönetimi.
• Admission Controller Güvenlik Zinciri: API Server'a gelen isteğin Authentication → Authorization → Admission Controller → etcd zinciri; Mutating Admission Webhook ile otomatik güvenlik enjeksiyonu (default SecurityContext ekleme, readOnlyRootFilesystem: true yama); Validating Admission Webhook ile politika reddi; AlwaysPullImages Admission Controller ile imaj cache saldırısı önleme.
• Hands-on Lab: Privileged container çalıştırma → Security Context ile engelleme kasıtlı karşılaştırması; namespace'e Restricted PSS enforce etme → uyumsuz Pod'ların neden reddedildiğini gözlemleme ve düzeltme; OPA Gatekeeper ile "tüm Pod'lar latestTag kullanamaz" politikası yazma ve test etme.

MODÜL 6: AĞ POLİTİKASI VE SIFIR GÜVEN MİMARİSİ

• Zero Trust Ağ Modeli ve Kubernetes: Kubernetes'in varsayılan "tüm Pod'lar birbirine açık" modelinin riskleri; Zero Trust prensibine göre default-deny ingress + default-deny egress ile başlangıç; uygulamaya özgü beyaz liste açma; NetworkPolicy'nin CNI desteği gerektirdiği gerçeği (Calico, Cilium, Antrea).
• İleri NetworkPolicy Kural Tasarımı: podSelector, namespaceSelector ve ipBlock kombinasyonları; çok katmanlı mikroservis ağ segmentasyonu — frontend sadece API'ye, API sadece database'e, database'e hiçbir yerden doğrudan erişim yok; cross-namespace namespaceSelector ile güvenli servis erişimi; Egress kurallarıyla Pod'ların internete erişimini sınırlama.
• Cilium ve eBPF Tabanlı Gelişmiş Politika: Cilium'un L7 (HTTP, gRPC) uygulama katmanı politikaları; eBPF tabanlı kısıtlamaların kernel düzeyindeki avantajları; Cilium Network Policy ile HTTP path/method bazlı erişim kontrolü; Hubble ile ağ görünürlüğü ve politika ihlali tespiti; mTLS (mutual TLS) ile Pod arası şifreli iletişim.
• Ingress ve Egress Güvenliği: Ingress Controller güvenlik konfigürasyonu — rate limiting, WAF entegrasyonu; TLS termination ve certificate management; Egress Gateway ile Pod çıkış trafiğinin merkezi kontrol noktasından yönlendirilmesi; DNS Egress Policy ile yalnızca beyaz listedeki FQDN'lere izin verme.
• Hands-on Lab: default-deny-all politikası uygulama → üç katmanlı uygulama için whitelist kurallarını adım adım açma → her adımda connectivity testi; NamespaceSelector ile cross-namespace izinlendirme; Egress kuralıyla yalnızca belirli CIDR'a izin verme ve yasak bağlantının reddini doğrulama.

MODÜL 7: SECRET YÖNETİMİ VE TEDARİK ZİNCİRİ GÜVENLİĞİ

• Kubernetes Secret Güvenli Kullanımı: env yerine volume mount tercihinin güvenlik gerekçesi (process tablosunda görünmeme); defaultMode: 0400 ile dosya izni kısıtlama; immutable: true ile production güvenliği; Secret değiştiğinde Pod'un otomatik güncellenmemesi ve yönetim süreci; Secret tiplerine göre kullanım (TLS, docker-registry, Opaque, service-account-token).
• Harici Secret Store Entegrasyonu: HashiCorp Vault Agent Injector — sidecar ile Secret dinamik enjeksiyonu; Secrets Store CSI Driver ile HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager bağlantısı; Secret rotasyonu sırasında uygulama kesintisizliği; Vault dinamik Secret'ı ile kısa ömürlü database credential.
• Sealed Secrets ve GitOps Güvenliği: Bitnami Sealed Secrets — controller tarafından şifrelenen SealedSecret CR; kubeseal ile Secret şifreleme; şifreli manifest'in Git'te güvenle saklanması; Flux veya ArgoCD ile güvenli GitOps pipeline; SOPS (Secrets OPerationS) ile alternatif şifreleme yaklaşımı.
• Container Image Güvenliği ve Supply Chain: Trivy ile image tarama (trivy image nginx:latest); CVE severity seviyeleri (Critical, High, Medium, Low) ve önceliklendirme; multi-stage build ile final image'da build tool'larını bırakmama; Distroless base image ile saldırı yüzeyini minimize etme; imaj imzalama (Cosign, Notation) ve imza doğrulama; SBOM (Software Bill of Materials) üretme.
• Hands-on Lab: Trivy ile bir image'ı tarama → Critical CVE tespiti → base image güncelleme → yeniden tarama; Distroless multi-stage build ile shell-less image oluşturma; Sealed Secrets ile production Secret'ını Git'e güvenle komit etme; Vault Agent Injector ile Pod'a dinamik Secret enjeksiyonu.

MODÜL 8: API SERVER AUDIT LOG VE GÖZLEMLENEBİLİRLİK

• Audit Log Mimarisi: API Server'ın her isteği (kim, ne zaman, hangi kaynak, hangi fiil, sonuç) kaydetmesi; audit stage'leri (RequestReceived, ResponseStarted, ResponseComplete, Panic); log seviyeleri — None (kaydetme), Metadata (header only), Request (body dahil), RequestResponse (response dahil); kube-apiserver --audit-policy-file ve --audit-log-path parametreleri.
• Audit Policy Yazımı: AuditPolicy YAML kaynağı ile kural tanımı; hassas kaynaklar (secrets, configmaps, tokens) için RequestResponse seviyesi; system:authenticated ve system:anonymous isteklerinin farklı seviyelerde loglanması; gürültüyü azaltmak için Metadata seviyesinin doğru kullanımı; stage bazlı filtreleme; log rotation ve retention konfigürasyonu.
• Audit Log Adli Analiz: JSON formatındaki audit log kaydını yorumlama; yetkisiz Secret okuma girişimini logdan tespit etme; belirli bir kullanıcının tüm işlemlerini filtreleme (jq kullanımı); ihlal sonrası zaman çizelgesi oluşturma; SIEM sistemlerine (Elasticsearch, Splunk) audit log akışı; log'ların tamper-proof saklanması.
• Kubernetes Güvenlik Gözlemlenebilirliği: metric-server ve Prometheus ile güvenlik anomali metrikleri; auth failure spike tespiti; API Server error rate izleme; Grafana dashboard ile cluster güvenlik görünürlüğü; kubeaudit ve kubectl-who-can gibi ek denetim araçları; güvenlik olayı müdahale playbook'u.
• Hands-on Lab: kube-apiserver'a Audit Policy dosyası bağlama; Secret'lara yapılan erişimi RequestResponse seviyesinde loglama; log dosyasını jq ile parse ederek yetkisiz erişim girişimi tespiti; farklı stage ve level kombinasyonlarını deneyerek log boyutu vs görünürlük dengesini öğrenme.

MODÜL 9: ÇALIŞMA ZAMANI GÜVENLİĞİ — FALCO VE RUNTIMECLASS

• Falco ile Runtime Tehdit Tespiti: Falco'nun kernel eBPF/eBPF driver veya kmod ile sistem çağrılarını yakalaması; davranışsal kural motoru — YAML tabanlı rule formatı (rule, desc, condition, output, priority); predefined rules seti (shell in container, write in sensitive dir, network outside namespace); Falco alert çıktı kanalları (stdout, syslog, HTTP, gRPC).
• Özel Falco Kuralı Yazımı: Shell açma tespiti (spawned_process and shell_procs); sensitive file (passwd, shadow, SSH key) okuma tespiti; container dışına çıkış girişimi; beklenmedik outbound ağ bağlantısı; Falco exception ile false positive azaltma; rule priority (EMERGENCY, ALERT, CRITICAL, ERROR, WARNING, NOTICE, INFO, DEBUG).
• RuntimeClass ile Güçlendirilmiş Container İzolasyonu: Kubernetes'in varsayılan containerd/runc izolasyonunun sınırları; gVisor (runsc) — user space kernel ile guest syscall intercepting; Kata Containers — lightweight VM ile donanım seviyesi izolasyon; RuntimeClass kaynağı ve Pod spec'te runtimeClassName; güvenlik seviyesine göre iş yükü sınıflandırma (PCI-DSS, HIPAA gereksinimi olan workload).
• Sysdig ve Diğer Runtime Araçları: sysdig ile canlı syscall takibi (sysdig -p "%proc.name %fd.type"); container içi süreç izleme; Sysdig Secure ile policy engine; container forensics — ihlal sonrası adli analiz için syscall kaydını replay etme; runtime güvenlik araçlarının CKS sınavındaki yeri ve kullanım senaryoları.
• Hands-on Lab: Falco'yu DaemonSet olarak cluster'a kurma; container içinde cat /etc/shadow tetiklendiğinde Falco alert üretme; özel kural yazarak Python script çalıştırma anomalisini tespit etme; gVisor RuntimeClass ilke tanımlama ve Pod'a bağlama; sysdig ile çalışan container'ın syscall profilini çıkarma.

MODÜL 10: DEVSECOPS, KILLER.SH SINAV SİMÜLASYONU VE CKS STRATEJİSİ

• Shift Left Güvenlik ve DevSecOps Pipeline: SAST ile kaynak kod güvenlik analizi (Semgrep, SonarQube); SCA ile bağımlılık zafiyet taraması (OWASP Dependency Check, Snyk); CI pipeline'a Trivy entegrasyonu — Critical CVE tespit edilince build durdurma (Security Gate); pre-commit hook ile Secret sızıntısı önleme (gitleaks, detect-secrets); imaj imzalama pipeline adımı (Cosign).
• Kubernetes Güvenlik Denetim Araçları: kube-bench — CIS Benchmark otomatik denetim; kubeaudit — Docker ve Kubernetes best practice kontrol; kubectl-who-can — hangi kullanıcı/SA hangi kaynağa erişebilir; popeye — cluster sanitization; Checkov — IaC (Terraform, Helm) güvenlik tarama; Polaris — production readiness ve güvenlik skoru.
• Compliance ve Regülasyon Uyumu: PCI-DSS Kubernetes gereksinimleri — network segmentasyon, encryption, erişim kontrolü; HIPAA uyumu için audit trail ve data protection; SOC 2 için logging ve monitoring; GDPR uyumu için veri sınıflandırma ve Secret yönetimi; CIS Kubernetes Benchmark'ın compliance kanıtlama sürecindeki rolü.
• CKS Sınav Stratejisi ve Zaman Yönetimi: 2 saat, ~15-20 soru, %67 geçme eşiği; CKS'nin CKA'ya göre çok daha az "bilinen" ve çok daha fazla "analiz ve düzeltme" gerektirmesi; soru önceliklendirme — domain ağırlığına göre skipleme kararı; kubernetes.io/docs, falco.org, OPA dokümanlarının hızlı navigasyonu; hangi araçların (trivy, kube-bench, falco, kubectl) sınavda mevcut olduğunun bilinmesi.
• Killer.sh CKS Simülasyonu: Gerçek CKS ortamını yansıtan iki tam Killer.sh simülasyonu; simülasyon sonrası performans analizi — hangi CKS domain'i eksik; en çok hata yapılan konulara hedefli lab dönüşü: etcd encryption, Seccomp profil, Falco kural, Audit Policy seviyeleri; sınav günü teknik ve zihinsel hazırlık.

EĞİTİM YÖNTEMİ

• CKS Müfredatıyla Birebir Uyum: CNCF'nin resmi CKS curriculum domain ağırlıkları eğitime yansıtılır: Cluster Setup %15, Cluster Hardening %15, System Hardening %15, Minimize Microservice Vulnerabilities %20, Supply Chain Security %20, Monitoring/Logging/Runtime Security %15. Her domain'in sınav ağırlığına göre lab yoğunluğu ayarlanır.
• Saldırı-Savunma Tabanlı Laboratuvarlar: Her güvenlik kontrolü iki yönlü öğretilir: önce zafiyeti exploit etme (container escape, Secret sızdırma, over-permissioned RBAC), ardından tam savunma implementasyonu. Bu yaklaşım, "neden" sorusunu "nasıl"dan önce yanıtlayarak kalıcı öğrenme sağlar.
• Killer.sh CKS Sınav Simülasyonu: CKS sınavıyla aynı PSI Browser ortamını yansıtan iki tam Killer.sh simülasyonu. CKS soruları CKA'ya göre çok daha analitik ve çok adımlıdır; simülasyon deneyimi sınav ortamında güven ve hız kazandırır.
• Gerçek Güvenlik Araçları ile Uygulama: Trivy, kube-bench, Falco, kubeaudit, Sealed Secrets, Cosign, OPA Gatekeeper — tüm araçlar teorik anlatımla değil, gerçek cluster ortamında uygulamalı olarak kullanılır. "Aracı çalıştırmak" değil, "çıktıyı yorumlayıp düzeltmek" yetkinliği kazandırılır.
• kubernetes.io/docs ve Güvenlik Dokümantasyonu Hızlı Kullanımı: CKS sınavında erişilebilen kubernetes.io/docs, falco.org ve OPA dokümanlarının hangi sayfalarının hangi senaryolarda açılacağı pratikle öğretilir. YAML manifest kopyalama ve uyarlama hızı sınav başarısını belirleyen kritik faktördür.
• Danışmanlık ve Sertifikasyon Sonrası Yol Haritası: Her gün sonunda serbest danışmanlık; katılımcıların production cluster güvenlik sorunları tartışılır. CKS sonrası KCSA (Kubernetes and Cloud Native Security Associate), CISSP Cloud Security domain'i ve cloud provider security sertifikasyonları hakkında kariyer rehberliği sağlanır.

HEDEF KİTLE

DEVSECOPS VE GÜVENLİK MÜHENDİSLERİ

• Kubernetes workload güvenliğini "shift left" prensibiyle CI/CD'ye entegre etmek; Falco, Trivy ve OPA Gatekeeper ile otomatik güvenlik kontrolü uygulamak; container runtime ve supply chain saldırı vektörlerine karşı savunma derinliği oluşturmak ve CKS ile Kubernetes güvenlik uzmanlığını belgelemek isteyen DevSecOps ve güvenlik mühendisleri.

PLATFORM VE SRE MÜHENDİSLERİ

• Production Kubernetes cluster'ını CIS Benchmark standartlarına uygun sertleştirmek; RBAC politikalarını en düşük ayrıcalık prensibine göre tasarlamak; etcd encryption at rest, Audit Log ve NetworkPolicy Zero Trust mimarisini production'da uygulamak ve CKS ile platform güvenlik liderliğini üstlenmek isteyen platform ve SRE mühendisleri — aktif CKA sertifikası ön koşuldur.

BULut GÜVENLİK MİMARLARI VE ÇÖZÜM MİMARLARI

• PCI-DSS, HIPAA, SOC 2 ve GDPR uyumu için Kubernetes güvenlik mimarisini tasarlamak; Zero Trust ağ modelini uygulama düzeyine taşımak; Secret yönetimi zincirini (Vault, Sealed Secrets, External Secrets) mimari olarak planlamak ve organizational güvenlik standartlarını Kubernetes'te somutlaştırmak isteyen bulut güvenlik mimarları.

CKA SAHİPLERİ — KUBERNETES GÜVENLİĞİNE UZMANLAŞMA

• Geçerli CKA sertifikasına sahip olup Kubernetes uzmanlığını güvenlik boyutuna taşımak; cluster yönetiminin ötesinde güvenli altyapı tasarlama yetkinliği kazanmak; CNCF sertifikasyon serisini (CKA → CKS) tamamlamak ve ekipleri için güvenlik standardını belirlemek isteyen deneyimli Kubernetes profesyonelleri.

PENETRASYON TEST UZMANLAR VE KIRMIZI TAKIM

• Kubernetes ortamlarına yönelik container escape, RBAC privilege escalation ve supply chain saldırı vektörlerini anlamak; savunma tarafından bakış açısıyla konteynerize altyapıda güvenlik değerlendirmesi yapabilmek; cloud-native pentest metodolojisini derinleştirmek isteyen penetrasyon test uzmanları ve kırmızı takım üyeleri.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Geçerli CKA Sertifikası (Zorunlu): CKS sınavı için CNCF'nin resmi ön koşulu aktif (süresi dolmamış) CKA sertifikasıdır. Bu eğitime katılmak için de geçerli CKA sertifikasına sahip olmak zorunludur. CKA bilgileri eğitimde tekrar anlatılmaz; doğrudan CKS konularına geçilir.
• Kubernetes Operasyonel Yetkinlik: kubeadm ile cluster kurulumu, kubectl ile tüm temel kaynak yönetimi, YAML manifest yazımı, Deployment/StatefulSet/Service/Ingress yönetimi, etcd yedekleme ve küme yükseltme konularında aktif deneyim. Bu temel olmadan CKS konularını takip etmek mümkün değildir.
• Linux Sistem Yönetimi Bilgisi: systemctl ile servis yönetimi, iptables/ufw ile güvenlik duvarı kuralı, dosya izinleri (chmod, chown), audit log okuma (journalctl) ve vim/nano ile yapılandırma dosyası düzenleme. CKS'nin System Hardening domain'i doğrudan Linux sistem yönetimi bilgisi gerektirir.
• Temel Ağ ve Güvenlik Kavramları: TCP/IP, CIDR, port ve protokoller; TLS/SSL sertifika zinciri; PKI temel kavramları (CA, certificate, private key); RBAC ve kimlik yönetimi prensipleri. Bu bilgiler CKS modüllerinde derinleştirilir fakat sıfırdan öğretilmez.
• Güvenlik Araçları Kullanımına Açıklık: Trivy, kube-bench, Falco ve OPA Gatekeeper gibi araçları eğitim boyunca aktif kullanmaya ve çıktılarını yorumlamaya hazır olmak. CKS sınavı bu araçları canlı cluster'da kullanma becerisi gerektirir; araç kullanımı yalnızca teorik anlatımla değil, bol uygulamayla hazırlanır.