Tüm Yazılar
2026-02-05Malek ZAAG

2025 CKS Sınav Rehberi: Falco ve Pod Güvenlik Standartları

KubernetesSecurityCKSFalcoPod Security
2

Certified Kubernetes Security Specialist (CKS) sınavını geçmek, küme sıkılaştırma (cluster hardening), sistem güvenliği ve çalışma zamanı tehdit algılama konularında derinlemesine bilgi gerektirir. 2025 güncellemeleriyle birlikte sınav, Falco'nun yapılandırılması ve Pod Güvenlik Standartlarının (PSS) uygulanması gibi gerçek dünya senaryolarına odaklanarak daha pratik hale geldi. Bu rehber, sınavı başarıyla tamamlamanız için temel stratejileri, Falco kurallarını ve güvenlik profillerini bir araya getiriyor.

CKS Sınav Taslağı (2025)

CKS sınavı, Kubernetes ortamlarını derleme, dağıtım ve çalışma zamanı aşamalarında güvence altına almanızı gerektiren 2 saatlik uygulamalı bir testtir. Ön koşul olarak geçerli bir CKA sertifikası gereklidir. Sınav içeriği şu şekilde dağılmıştır:

  • Küme Kurulumu (%10): Güvenli kurulum, ağ politikaları ve TLS.
  • Küme Sıkılaştırma (%15): RBAC, API sunucusu kısıtlamaları ve kabul kontrolleri (admission controls).
  • Sistem Sıkılaştırma (%15): Ana makine işletim sistemi ayak izinin ve çekirdek saldırı yüzeyinin en aza indirilmesi.
  • Mikroservis Açıklarını En Aza İndirme (%20): Güvenlik bağlamları, imaj tarama ve gizli bilgi (secret) yönetimi.
  • Tedarik Zinciri Güvenliği (%20): İmaj bütünlüğü ve boru hattı güvenliği.
  • İzleme, Günlükleme ve Çalışma Zamanı Güvenliği (%20): Falco ve denetim günlükleri ile tehdit algılama.

CKS İçin Falco'da Ustalaşmak

Falco, çalışma zamanı güvenliği bölümü için kritik bir araçtır. Sınavda dokümantasyonu keşfetmek için vaktiniz olmayacak; kesin bir iş akışına ihtiyacınız var.

Temel Falco İş Akışı

  1. İstemi Analiz Edin: Olayı (örn. kabuk başlatma), kapsamı (konteyner veya ana makine) ve hedefi belirleyin.
  2. Koşulu Yazın: execve, open veya connect gibi sistem çağrılarına odaklanın.
  3. Çıktıyı Biçimlendirin: İstenen çıktı formatıyla tam olarak eşleştirin.
  4. Önceliği Ayarlayın: CRITICAL, WARNING veya NOTICE olarak ayarlayın.
  5. Kuralları Kaydedin: Kuralları /etc/falco/falco_rules.local.yaml dosyasına yazın.
  6. Yeniden Başlat ve Doğrula: systemctl restart falco komutunu kullanın ve journalctl -u falco ile günlükleri kontrol edin.

Ezberlenmesi Gereken Önemli Falco Kuralları

1. Konteynerlerde Kabuk Başlatılmasını Algılama:

- rule: Shell Spawned in Container
  desc: Detect shells started inside containers
  condition: >
    (evt.type in (execve, execveat)) and
    container and
    (proc.name in (bash, sh, zsh))
  output: "SHELL_ALERT: %evt.time %k8s.ns.name %k8s.pod.name %container.name"
  priority: WARNING
  tags: [container, shell]

2. Giden Bağlantıları Algılama (Curl/Wget):

- rule: Curl or Wget Outbound Connect
  desc: Detect outbound connects from curl/wget
  condition: >
    (evt.type = connect) and
    container and
    (proc.name in (curl, wget))
  output: "OUTBOUND_CONNECT: %evt.time %k8s.pod.name"
  priority: WARNING

Falco Mimarisi

Pod Güvenlik Standartlarını Anlamak

Kubernetes Pod Güvenlik Standartları (PSS), pod yeteneklerini kısıtlamak için üç politika tanımlar: Privileged (Ayrıcalıklı), Baseline (Temel) ve Restricted (Kısıtlı).

Ayrıcalıklı (Privileged) Profil

Ayrıcalıklı profil en az kısıtlayıcı olanıdır ve en yüksek riski oluşturur. Şunlara izin verir:

  • Sınırsız Yetenekler: SYS_ADMIN dahil tüm Linux yetenekleri.
  • Ana Makine İsim Alanı Paylaşımı: Ana makine ağı, PID ve IPC isim alanlarına erişim.
  • Ana Makine Dosya Sistemi Erişimi: Kök dosya sistemini bağlama yeteneği.
  • Root Olarak Çalıştırma: Konteynerleri root kullanıcısı (UID 0) olarak çalıştırma.

Bu profili yalnızca ağ eklentileri veya düğüm izleme ajanları gibi sistem düzeyindeki iş yükleri için kullanın. Çoğu uygulama için, saldırı yüzeyini en aza indirmek adına Baseline veya Restricted profillerini uygulayın.

Pod Güvenliği

Başarı İçin Sınav İpuçları

  • Zaman Yönetimi: İlk turu 90 dakikada bitirmeyi hedefleyin. Tek bir soruda takılıp kalmayın.
  • Kısayollar (Aliases): alias k=kubectl, alias kgp='kubectl get pods' gibi kısayolları ayarlayın ve otomatik tamamlamayı etkinleştirin.
  • Bağlamı Doğrulayın: Değişiklik yapmadan önce her zaman doğru kümede ve düğümde olduğunuzdan emin olun.
  • Dokümantasyon: Falco kurallarını ve PSS tanımlarını resmi dokümanlarda hızlıca nerede bulacağınızı bilin.

Altyapınızı güvence altına alma konusunda uzman desteği için Kubernetes danışmanlık hizmetlerimizi değerlendirebilirsiniz. Organizasyonların CKS standartlarına uygun, güçlü güvenlik duruşları oluşturmasına yardımcı oluyoruz.