Bitte wählen Sie die Bereiche, die Sie exportieren möchten:
Schulung Certified Kubernetes Security Specialist (CKS): Zertifizierungsvorbereitung
Cluster-Hardening, Supply-Chain-Sicherheit und Runtime-Security mit Falco, Trivy, Cosign und Pod Security Admission
Schulungsformen
Offene Schulung
- 4 Tage
- 6 gesicherte Termine
- Köln / Online
- 2.660,00 p. P. zzgl. MwSt.
- Dritter Mitarbeitende kostenfrei
- Learning & Networking in einem. Garantierte Durchführung ab 1 Teilnehmenden.
Inhouse-/Firmenschulung
- 4 Tage - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Individualschulung
- 4 Tage - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Beschreibung
Das Curriculum hat sich in den letzten Jahren stark professionalisiert. Pod Security Policies (PSP) wurden in Kubernetes 1.25 entfernt und durch Pod Security Admission (PSA) mit den Pod Security Standards Privileged, Baseline und Restricted ersetzt. Falco ist heute das Standardtool für Runtime-Threat-Detection, Trivy für Image Vulnerability Scanning, Cosign mit Sigstore für Image-Signierung. OPA Gatekeeper und das modernere Kyverno decken Policy-as-Code ab, Kubesec und KubeLinter die statische Manifest-Analyse. Daneben sind klassische Kernel-Hardening-Mechanismen (AppArmor , seccomp , Capabilities , gvisor , kata-Container ) und Kubernetes-native Themen (Network Policies mit Default Deny , etcd-Verschlüsselung at Rest , Audit Policy , RBAC mit Least Privilege ) Pflicht.
Mit bestehender CKA und drei bis fünf Jahren Praxis ist die Prüfung in vier Tagen Seminar plus vier bis sechs Wochen Eigenstudium und zwei Killer.sh -Simulator-Versuchen (im Voucher inklusive) schaffbar.
Unser vielseitiges Angebot an Kubernetes Kurse
Schulungsziel
Jede teilnehmende Person verlässt das Seminar mit einem strukturierten Verständnis der sechs CKS-Prüfungsdomänen in offizieller Gewichtung (Cluster Setup 15 %, Cluster Hardening 15 %, System Hardening 10 %, Microservice Vulnerabilities 20 %, Supply Chain Security 20 %, Monitoring/Logging/Runtime Security 20 %), der Beherrschung der Pflicht-Tools des aktuellen Curriculums (Pod Security Admission, Falco, Trivy, Cosign/Sigstore, OPA Gatekeeper und Kyverno, AppArmor und seccomp, Kubesec und KubeLinter, crictl, kube-bench), der Routine in Cluster-Hardening (CIS Benchmark, RBAC mit Least Privilege, etcd-Verschlüsselung at Rest, Audit Policy), dem Werkzeug für Lieferkettensicherheit (minimale Images, Signierung, statische Manifest-Analyse, Vulnerability Scanning, Admission-basierte Image-Verifikation), der Praxis in Runtime-Threat-Detection (Falco-Custom-Rules, Audit-Logs, Container-Forensik mit crictl, Incident-Response-Patterns), einer absolvierten Probeklausur mit Domänen-Schwächenanalyse und einem persönlichen Lernplan - gut vorbereitet auf das CKS-Examen der CNCF.
Details
Inhalt
- Ziele und Erwartungen der Teilnehmenden
- Klärung individueller Lernziele und Erwartungen für ein praxisnahes und relevantes Seminar
- Tag 1: Domain 1 - Cluster Setup (15 %) und Domain 2 - Cluster Hardening (15 %)
- 1. Cluster Setup: sichere Cluster-Komponenten
- CIS Kubernetes Benchmark mit kube-bench: Prüfung von kube-apiserver, etcd, kubelet, CoreDNS, scheduler, controller-manager.
- TLS-Konfiguration für API-Server, kubelet und etcd; Zertifikats-Lifecycle und -Rotation.
- Ingress-Sicherheit: TLS-Termination, sichere Annotations, Schutz vor häufigen Misconfigurations.
- Knoten-Metadaten und Cloud-Provider-Endpunkte schützen (AWS IMDSv2, Azure IMDS, GCP Metadata).
- Kubernetes Dashboard und GUI-Zugriff minimieren oder vermeiden.
- Plattform-Binärdateien überprüfen (Hashes, Signaturen).
- Network Policies mit Default-Deny als Cluster-Baseline.
- Praxis-Übung: kube-bench-Audit auf einem Beispiel-Cluster ausführen, drei kritische Findings beheben (TLS-Konfiguration, Audit-Logging, anonymous Auth abschalten); Default-Deny Network Policy für ein Namespace umsetzen.
- 2. Cluster Hardening: API-Sicherheit und RBAC
- Beschränkung des Zugriffs auf die Kubernetes-API: anonymous Auth abschalten, sichere Authentifizierungs-Methoden.
- Role-Based Access Control (RBAC): Roles, ClusterRoles, RoleBindings, ClusterRoleBindings; Least-Privilege-Patterns.
- Service Accounts: automatische Token-Mountings deaktivieren, sichere Token-Verwendung mit Audience-bound Tokens.
- Kubernetes regelmässig aktualisieren: kubeadm-Upgrade-Strategie, Node-Drain, Skip-Versionen, Sicherheits-Releases.
- etcd-Verschlüsselung at Rest: EncryptionConfiguration, KMS-Provider, Key Rotation.
- Praxis-Übung: RBAC für ein Multi-Team-Cluster entwerfen mit zwei Service Accounts, Least-Privilege-Policy; etcd-Verschlüsselung at Rest aktivieren und mit verschlüsseltem Beispiel-Secret verifizieren.
- Tag 2: Domain 3 - System Hardening (10 %) und Domain 4 - Minimize Microservice Vulnerabilities (20 %)
- 3. System Hardening: Host-OS und Kernel
- Host-OS-Angriffsfläche reduzieren: minimale Distributionen (Bottlerocket, Talos, Flatcar), unnötige Pakete entfernen, automatische Sicherheitsupdates.
- IAM-Rollen für Cloud-Worker minimieren: Pod-bound Identities (IRSA, Workload Identity), Vermeidung von Node-IAM-Vererbung.
- Externer Netzwerkzugriff minimieren: Security Groups, NACLs, Bastion-Konzepte für Cluster-Operations.
- Kernel-Hardening-Tools: AppArmor und seccomp Profile für Pods, Beispiel-Profile (RuntimeDefault, Localhost), Profile-Distribution auf Nodes.
- Linux-Capabilities: capabilities drop, fine-grained Privilege-Reduzierung in Containern.
- Praxis-Übung: Ein Pod-Manifest hardening: seccomp RuntimeDefault, AppArmor-Profil, Capabilities-Drop auf "all" mit gezieltem Hinzufügen, runAsNonRoot, readOnlyRootFilesystem.
- 4. Minimize Microservice Vulnerabilities: PSA, OPA, Kyverno und Sandboxing
- Pod Security Admission (PSA) und Pod Security Standards (Privileged, Baseline, Restricted): Namespace-Labeling, Enforce/Audit/Warn-Modi.
- Migration von Pod Security Policies (PSP, in K8s 1.25 entfernt) zu PSA und Policy-Engines.
- Open Policy Agent (OPA) Gatekeeper und Kyverno als Policy-Engines: Constraint Templates, Policies, ValidatingAdmissionPolicy.
- Security Contexts auf Pod- und Container-Ebene: SecurityContext-Felder, fsGroup, supplementalGroups.
- Kubernetes Secrets: Encryption at Rest, externe Secret Stores (External Secrets Operator, Vault, AWS Secrets Manager), Vermeidung von Secrets in Environment Variables.
- Container-Sandboxing für mandantenfähige Umgebungen: gvisor und kata-Container als RuntimeClasses.
- mTLS für Pod-zu-Pod-Verschlüsselung: Service Mesh (Istio, Linkerd, Cilium Service Mesh).
- Praxis-Übung: Namespace mit PSA "restricted" labeln und drei Pods migrieren, die ursprünglich nicht-konform waren; Kyverno-Policy schreiben, die Image-Pull aus nicht erlaubten Registries verbietet; gvisor-RuntimeClass für ein sensitive Workload aktivieren.
- Tag 3: Domain 5 - Supply Chain Security (20 %) und Domain 6 - Monitoring, Logging, Runtime Security (20 %)
- 5. Supply Chain Security: minimale Images, Signierung und Scanning
- Minimal-Image-Strategien: Distroless, Alpine, Scratch; Multi-Stage-Builds für minimale Final-Images.
- Image-Whitelisting: Admission Controllers für erlaubte Registries, ImagePolicyWebhook, Kyverno verifyImages.
- Image-Signierung mit Cosign und Sigstore : Keyless Signing, Verifikation in Admission, Rekor Transparency Log.
- Statische Analyse von Manifesten und Dockerfiles: Kubesec für YAML-Manifeste, KubeLinter für Best-Practice-Checks, hadolint für Dockerfiles.
- Image Vulnerability Scanning mit Trivy : CVE-Datenbank, SBOM, Severity-Filtering, Integration in CI/CD.
- Software Bill of Materials (SBOM) und SLSA-Levels: Begriffsklärung und praktische Bedeutung.
- Praxis-Übung: Dockerfile auf Distroless-Basis refaktorieren mit hadolint-Lint; Image mit Cosign signieren und in Kyverno-Policy nur signierte Images zulassen; Trivy-Scan eines bekannten Images mit CVE-Findings auswerten.
- 6. Monitoring, Logging und Runtime Security: Falco, Audit Logs und Forensik
- Verhaltensanalyse von Systemaufrufen mit Falco : Default-Rules, Custom-Rules, Falcosidekick, Output-Channels.
- Threat Detection in Echtzeit: typische Angriffsmuster (Shell in Container, Privilege Escalation, sensitive File Reads, Cryptomining).
- Kubernetes Audit Logs: Audit Policy konfigurieren (Metadata, Request, RequestResponse, None), Backend-Konfiguration, Forwarding an SIEM.
- Container-Runtime-Forensik mit crictl : Pods inspizieren, Logs ausserhalb der API auslesen, Investigation auf kompromittierten Nodes.
- Container-Unveränderlichkeit: readOnlyRootFilesystem, Tmpfs für Schreibvorgänge, Image-Pull-Policies.
- Incident-Response-Workflow: Pod isolieren mit Network Policy, Cordon/Drain für Node-Quarantäne, Forensik-Daten sichern.
- Praxis-Übung: Falco mit Custom-Rule für sensitive File Access (z. B. /etc/shadow im Container) konfigurieren und Alert verifizieren; Audit Policy für sensitive Namespace mit Logging-Level Metadata einrichten und Logs auswerten; einen kompromittierten Pod mit Network Policy isolieren und mit crictl forensisch untersuchen.
- Tag 4: Vertiefung, Prüfungsstrategie und Probeklausur
- 7. Vertiefung kritischer Themen und Tool-Vergleiche
- Tool-Vergleich Policy-Engines: OPA Gatekeeper vs. Kyverno vs. ValidatingAdmissionPolicy - wann welche Variante.
- Tool-Vergleich Image-Sicherheit: Trivy vs. Grype vs. Clair vs. Snyk - Funktionsumfang und Examen-Relevanz.
- Tool-Vergleich Runtime: Falco vs. Tetragon (Cilium) vs. Tracee - wann welcher Stack.
- Häufige Stolperfallen im CKS-Examen: PSA-Label-Syntax, Network-Policy-DNS-Egress, Falco-Rule-Reload, Audit-Policy-Pfad, Cosign-Verifikation in Kyverno.
- Praxis-Übung: Speed-Drill mit zwanzig häufig verwechselten Begriffspaaren in Karteikarten-Manier.
- 8. Prüfungsstrategie und Praxis-Workshop
- Prüfungsstrategie (45 Min):
- CKS-Examen-Format: 2 Stunden, 15-20 performance-based Tasks, Pass-Score 67 %, K8s v1.34, ausschliesslich Englisch, PSI-Bridge-Browser-Umgebung mit mehreren Cluster-Kontexten.
- Erlaubte Dokumentation: kubernetes.io, falco.org, trivy.dev, sigstore.dev, kyverno.io, gatekeeper.gatekeeper.sh, aquasec/trivy GitHub - kein Wechsel zu anderen Domains.
- Drei-Pass-Strategie: Quick Wins zuerst, komplexe Tasks danach, Validierung am Ende; nie Tasks unbeantwortet lassen wegen partieller Punktevergabe.
- Anti-Patterns: Ctrl+W im PSI-Browser (schliesst Tab), Reboot der Base-Node, fehlende Validierung von Network Policies mit DNS-Egress, fehlendes kubectl-Alias-Setup zu Beginn.
- Zeitmanagement: 7-8 Minuten pro Task im Schnitt, kubectl-Alias und Auto-Completion sofort nach Start einrichten.
- Praxis-Workshop (180 Min):
- Phase 1 - Hands-on-Sprint (60 Min): Drei reale Aufgaben (Network Policy mit Default Deny und gezielten Allows, Cosign-Image-Verifikation in Kyverno, Falco-Custom-Rule mit Verifikation) mit gegenseitigem Code-Review.
- Phase 2 - Probeklausur unter Prüfungsbedingungen (90 Min): 12 performance-based Tasks über alle sechs Domänen in offizieller Gewichtung, 90 Minuten als verkürzte Trainingseinheit, ohne Hilfsmittel ausser erlaubter Dokumentation.
- Phase 3 - Auswertung und Peer-Review (30 Min): Score pro Domäne, Schwächenanalyse, Lernplan. Peer-Review der schwierigsten Tasks: PSA-Migration vs. PSP, Cosign-Verifikation, Falco-Rule-Format, Audit-Policy-Pfad, etcd-Encryption-Verifikation.
Zielgruppe & Vorkenntnisse
- Senior Kubernetes-Administratorinnen und -Administratoren mit CKA: Die ihre Plattform-Praxis um Sicherheits-Disziplin und Hardening-Verantwortung erweitern.
- DevSecOps- und Plattform-Engineers: Die Kubernetes-Cluster über Build, Deploy und Runtime hinweg absichern und Compliance-Anforderungen umsetzen.
- Security Engineers im Cloud-Native-Umfeld: Die Pod Security, Network Policies, Image-Signierung und Runtime-Threat-Detection produktiv einsetzen.
- Site Reliability Engineers mit Sicherheitsverantwortung: Die Audit-Logs, Incident Response und Lieferkettensicherheit für Kubernetes-Workloads operationalisieren.
Abgrenzung: Bereitet auf das CKS-Examen der Cloud Native Computing Foundation vor (aktuelle Prüfungsversion auf Kubernetes v1.34/v1.35, Stand 2025/2026) - nicht auf CKA (Vorstufe und Pflichtvoraussetzung), nicht auf CKAD (Application Developer), nicht auf KCSA (Cloud Native Security Associate als entry-level Pendant), nicht auf vendor-spezifische Pendants wie Red Hat OpenShift Security oder AWS/Azure/GCP-Kubernetes-Security-Spezialisierungen. Hinweis: Die Prüfung ist nur in Englisch verfügbar.
Ihre Schulung
In Präsenz | Online |
|---|---|
| Lernmethode | |
Ausgewogene Mischung aus Theorie und Praxis | Wie auch bei unseren Präsenz-Seminaren: Ausgewogene Mischung aus Theorie und praktischen Übungen. Trainer durchgehend präsent. |
| Unterlagen | |
Seminarunterlagen oder Fachbuch zum Seminar inklusive, das man nach Rücksprache mit dem Trainer individuell auswählen kann. | Seminarunterlagen oder Fachbuch inklusive (via DHL). Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne. |
| Arbeitsplatz | |
| PC/VMs für jeden Teilnehmenden Hochwertige und performante Hardware Große, höhenverstellbare Bildschirme Zugang zu Ihrem Firmennetz erlaubt |
|
| Lernumgebung | |
Neu aufgesetzte Systeme für jeden Kurs in Abstimmung mit dem Seminarleiter. | |
| Arbeitsmaterialien | |
DIN A4 Block, Notizblock, Kugelschreiber, USB-Stick, Textmarker, Post-its | |
| Teilnahmezertifikat | |
Nach Abschluss des Seminars erhalten Sie das Teilnahmezertifikat inkl. Inhaltsverzeichnis per E-Mail als PDF. | |
Organisation
In Präsenz | Online | |
|---|---|---|
| Teilnehmendenzahl | ||
min. 1, max. 8 Personen | ||
| Garantierte Durchführung | ||
Ab 1 Teilnehmenden* | ||
| Schulungszeiten | ||
| ||
| Ort der Schulung | ||
 GFU SchulungszentrumAm Grauen Stein 27 51105 Köln-Deutz oder online im Virtual Classroom oder europaweit bei Ihnen als Inhouse-Schulung Um ein optimales Raumklima zu gewährleisten, haben wir das Schulungszentrum mit 17 hochmodernen Trotec TAC V+ Luftreinigern ausgestattet. Diese innovative Filtertechnologie (H14 zertifiziert nach DIN EN1822) sorgt dafür, dass die Raumluft mehrfach pro Stunde umgewälzt wird und Schadstoffe zu 99.995% im HEPA-Filter abgeschieden und infektiöse Aerosole abgetötet werden. Zusätzlich sind alle Räume mit CO2-Ampeln ausgestattet, um jederzeit eine hervorragende Luftqualität sicherzustellen. | ||
| Räumlichkeiten | ||
Helle und modern ausgestattete Räume mit perfekter Infrastruktur | Bequem aus dem Homeoffice von überall | |
| Preisvorteil | ||
Dritter Mitarbeitende nimmt kostenfrei teil. Eventuell anfallende Prüfungskosten für den dritten Teilnehmenden werden zusätzlich berechnet - auch bei Seminaren inkl. Prüfungsgebühr. Hinweis: Um den Erfolg der Schulung zu gewährleisten, sollte auch der dritte Teilnehmende die erwarteten Vorkenntnisse mitbringen. | ||
| KOMPASS — Förderung für Solo-Selbstständige | ||
Solo-Selbstständige können für dieses Seminar eine Förderung via KOMPASS beantragen. | ||
| All-Inclusive | ||
Gebäck, Snacks und Getränke ganztägig, Mittagessen im eigenen Restaurant, täglich 6 Menüs, auch vegetarisch | Eine Auswahl unserer Frühstücks-Snacks und Nervennahrungs-Highlights senden wir Ihnen mit den Seminarunterlagen via DHL zu. | |
| Barrierefreiheit | ||
Das GFU-Schulungszentrum (Am Grauen Stein 27) ist barrierefrei | - | |
Buchen ohne Risiko
| Rechnungsstellung |
Erst nach dem erfolgreichen Seminar. Keine Vorkasse. |
| Stornierung |
Kostenfrei bis zum Vortag des Seminars |
| Vormerken statt buchen |
Sichern Sie sich unverbindlich Ihren Seminarplatz schon vor der Buchung - auch wenn Sie selbst nicht berechtigt sind zu buchen |
Kostenfreie Services
In Präsenz | Online |
|---|---|
|
|
Buchungsmöglichkeiten
Online oder in Präsenz teilnehmen
Sie können sowohl Online als auch in Präsenz am Seminar teilnehmen. Klicken Sie bei Ihrer Buchung oder Anfrage einfach die entsprechende Option an.
Gesicherte offene Termine
| Termin | Ort | Preis | ||
|---|---|---|---|---|
| 07.09.-10.09.2026 Plätze vorhanden Köln / Online 2.660,00 | Köln / Online | 2.660,00 | Buchen Vormerken | |
| 23.11.-26.11.2026 Plätze vorhanden Köln / Online 2.660,00 | Köln / Online | 2.660,00 | Buchen Vormerken | |
| 2027 | ||||
| 22.02.-25.02.2027 Plätze vorhanden Köln / Online 2.660,00 | Köln / Online | 2.660,00 | Buchen Vormerken | |
| 31.05.-03.06.2027 Plätze vorhanden Köln / Online 2.660,00 | Köln / Online | 2.660,00 | Buchen Vormerken | |
| 30.08.-02.09.2027 Plätze vorhanden Köln / Online 2.660,00 | Köln / Online | 2.660,00 | Buchen Vormerken | |
| 22.11.-25.11.2027 Plätze vorhanden Köln / Online 2.660,00 | Köln / Online | 2.660,00 | Buchen Vormerken | |
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
- Alle folgenden Schulungsformen können auch Online als Virtual Classroom durchgeführt werden.
- Eine Offene Schulung findet zu einem festgelegten Zeitpunkt im voll ausgestatteten Schulungszentrum oder Online/Remote statt. Sie treffen auf Teilnehmende anderer Unternehmen und profitieren vom direkten Wissensaustausch.
- Eine Inhouse-/Firmen-Schulung geht auf die individuellen Bedürfnisse Ihres Unternehmens ein. Sie erhalten eine kostenfreie Beratung von Ihrem Seminarleiter und können Inhalte und Dauer auf Ihren Schulungsbedarf anpassen. Inhouse-Schulungen können Europaweit durchgeführt werden.
- Bei einer Individual-Schulung erhalten Sie eine 1-zu-1 Betreuung und bestimmen Inhalt, Zeit und Lerntempo. Der Dozent passt sich Ihren Wünschen und Bedürfnissen an.
Sie können unsere Schulungen auch als Remote Schulung im Virtual Classroom anfragen.
In drei Schritten zum Online Seminar im Virtual Classroom:
- Seminar auswählen und auf "Buchen" klicken
- Wählen Sie bei "Wie möchten Sie teilnehmen?" einfach "Online" aus.
- Formular ausfüllen und über den Button "Jetzt buchen" absenden.
Unser Kundenservice meldet sich bei Ihnen mit der Buchungsbestätigung.
Unsere Online Schulungen finden im Virtual Classroom statt. Ein Virtual Classroom bündelt mehrere Werkzeuge, wie Audio-Konferenz, Text-Chat, Interaktives Whiteboard, oder Application Sharing.
Vorteile von Virtual Classroom:
- Sie erhalten 1 zu 1 die gleiche Lernumgebung, die Sie auch vor Ort bei uns vorfinden
- Die technische Vorbereitung wird von den GFU-Technikern vorgenommen
- Sie erhalten remote Zugriff auf Ihren persönlichen Schulungs-PC im GFU-Seminarraum
- Die Virtual Classroom Lösung lässt sich auch im Browser betreiben
- Die GFU-Technik leistet wie gewohnt Soforthilfe bei Problemen
- Die Schulungsunterlagen bekommen Sie via DHL zugeschickt
- Sie sparen Reisekosten und Zeit
- 07. Sep. - 10. Sep. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 23. Nov. - 26. Nov. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 22. Feb. - 25. Feb. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 31. Mai - 03. Jun. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 30. Aug. - 02. Sep. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- Auch als Inhouse-Schulung, bundesweit mit Termin nach Wunsch und individuellen Inhalten
- Buchen ohne Risiko! Kostenfreie Stornierung bis zum Vortag des Seminars
Die Seminare der GFU finden in angenehmer Atmosphäre statt und sind perfekt organisiert. Profitieren Sie von dem Rundum-Service der GFU!
Machen Sie sich keinen Kopf um die Anreise! Unser Shuttle fährt Sie. Oder Sie parken einfach auf einem extra für Sie reservierten Parkplatz.
Hotelzimmer gesucht? Wir organisieren Ihnen eins. Ihr Vorteil: Sie sparen Zeit und Geld!
Stornierung bei offenen Seminaren kostenfrei bis einen Tag vor Schulungsbeginn.
Unsere Techniker sind immer zur Stelle, egal ob online oder vor Ort.