الأمن السيبراني

CKS Certified Kubernetes Security Specialist — دليل كامل 2026

3 min de lecture

لماذا تستهدف شهادة CKS في 2026

CKS — Certified Kubernetes Security Specialist — هي الشهادة الأرفع في نظام Kubernetes البيئي في 2026. تُسلَّمها CNCF بشراكة مع Linux Foundation، وتُصادق أن مهندساً يعرف تأمين عنقود Kubernetes في الإنتاج: تحصين العنقود ذاته، حماية عقد Linux، التحقق من الصور، إدارة الأسرار، runtime security مع Falco، NetworkPolicies متقدمة، audit logging، والاستجابة للحوادث. ندرتها في السوق — كان أقل من 10 000 CKS فعّال في العالم نهاية 2025 — تجعلها من أفضل شهادات IT أجراً: زيادة 5 000 إلى 8 000 USD/شهر لدى pure players السحاب، وأجور استشارة 900 إلى 1 700 USD/يوم للمستقلين.

لمهندس بمنطقة MENA يجمع CKA وCKS، التوظيف الدولي شبه مضمون. scale-up أمريكية وأوروبية توظّف منصّات Kubernetes عن بُعد تبحث بنشاط عن ملفات CKS، بأجور 5 000 إلى 9 000 USD/شهر CDI عن بُعد.

هذا المقال الرئيسي يغطّي البرنامج الرسمي الكامل لـ CNCF لـ CKS v1.34: المجالات الستّة بأوزانها، صيغة الامتحان hands-on في ساعتين، المتطلبات (CKA إلزامية)، مسار الدراسة الموصى به، بيئة التدريب، والأدوات الجوهرية (Trivy، Falco، OPA Gatekeeper، kube-bench، AppArmor، seccomp).

صيغة امتحان CKS 2026 — أرقام Linux Foundation الرسمية

  • السعر: 445 USD للامتحان (تجميعات: 625 USD مع THRIVE-ONE، 645 USD مع دورة LFS260)
  • المدة: ساعتان
  • الصيغة: performance-based، طرفية على الإنترنت، مهام hands-on على عنقود Kubernetes حقيقي
  • متطلب إلزامي: اجتياز CKA قبل CKS — النظام يحجب التسجيل بلا CKA فعّالة
  • صلاحية الشهادة: سنتان
  • إصدار Kubernetes: v1.34
  • درجة النجاح: 67%
  • منصّة المراقبة: PSI Bridge

المجالات الستة الرسمية بأوزانها

  1. Cluster Setup (15%) — Network Security Policies لتقييد الوصول لـ control plane؛ CIS Benchmark لتدقيق إعداد مكوّنات Kubernetes؛ Ingress مع TLS صحيح؛ حماية ميتاداتا العقد؛ التحقق من ثنائيات المنصة.
  2. Cluster Hardening (15%) — تقييد الوصول لـ API Kubernetes؛ RBAC لتقليص التعرض؛ احترس من ServiceAccounts (تعطيل الافتراضية، تقليص صلاحيات الجديدة)؛ ترقية Kubernetes متكرراً.
  3. System Hardening (10%) — تقليص سطح هجوم OS المضيف؛ تقليص أدوار IAM؛ تقليص الوصول الشبكي الخارجي؛ AppArmor وseccomp.
  4. Minimize Microservice Vulnerabilities (20%) — Pod Security Standards، OPA Gatekeeper؛ إدارة أسرار Kubernetes؛ sandbox runtimes (gVisor، kata containers)؛ mTLS بين Pods (Cilium، Istio).
  5. Supply Chain Security (20%) — تقليص أثر صورة القاعدة (distroless، scratch)؛ تأمين سلسلة التزويد (whitelist registries، توقيع، تحقق)؛ تحليل ثابت لـ manifests (Kubesec)؛ فحص الصور (Trivy، Grype).
  6. Monitoring, Logging and Runtime Security (20%) — تحليل سلوكي لـ syscalls وملفات على مستوى عملية ومضيف؛ كشف مراحل الهجوم (recon، access، execution، persistance، escalation، exfiltration)؛ ضمان immutabilité الحاويات في runtime؛ سجلات audit لرصد الوصول.

المجالات 4 و5 و6 تجمع 60% من الامتحان — استثمر زمن تدريبك أساساً عليها.

معمارية أمان Kubernetes — ما يجب تصوّره

CKS تستلزم التفكير الأمني على أربع طبقات متمايزة. طبقة العنقود: تأمين control plane (kube-apiserver TLS، تشفير etcd at-rest، audit logging، NetworkPolicies على pods النظام). طبقة العقدة: تحصين OS (kernel parameters، SELinux/AppArmor، seccomp profiles، حذف الثنائيات غير المفيدة). طبقة workload: Pod Security Standards Restricted، RBAC دقيق، ResourceQuotas، تحقق من الصور الموقَّعة قبل النشر. طبقة runtime: Falco لرصد سلوكيات شاذة (shell في حاوية، mount حساس، تصعيد الامتيازات)، audit logs، immutabilité الحاويات.

الامتحان يختبر قدرتك على تطبيق الطبقات الأربع في سيناريوهات واقعية: Pod مخترَقة تصعّد، حاوية تنفّذ ثنائياً مشبوهاً، manifest يطلب capabilities مفرطة، سرّ يتسرب في السجلات التطبيقية. إتقان الأدوات — Trivy، Falco، kube-bench، OPA Gatekeeper، gVisor — لا غنى عنه.

دروس السلسلة — انتقل من النظرية إلى التطبيق

  1. Pod Security Standards وOPA Gatekeeper — قبول صارم CKS — Restricted، ConstraintTemplate Rego، whitelist للـ registry، منع hostPath. يغطّي المجال 4.
  2. Falco runtime security وaudit Kubernetes — Falco modern_ebpf، قواعد مخصّصة، Sidekick Slack، audit logs، immutabilité runtime. يغطّي المجال 6.

مسار دراسة موصى به — 12 إلى 16 أسبوعاً بعد CKA

CKS تطلب تحضيراً أعلى بكثير من CKAD أو CKA. احسب 120 إلى 180 ساعة تدريب فعّال موزَّعة على 12-16 أسبوعاً.

الأسابيع 1-3: Cluster setup وhardening

kube-bench، CIS Benchmark، إعداد TLS، audit logging، RBAC دقيق. هذا الأساس الذي يقوم عليه الباقي.

الأسابيع 4-6: System hardening

AppArmor profiles، seccomp profiles، تحصين النواة، gVisor للأحمال غير الموثوقة. هذه المواضيع الأقل توثيقاً بالعربية — استثمر في labs hands-on.

الأسابيع 7-9: Microservice security

Pod Security Standards، OPA Gatekeeper، mTLS مع Cilium أو Linkerd. هنا تتعلّم كتابة policies إعلانية تنجو من كل إصدارات Kubernetes المستقبلية.

الأسابيع 10-12: Supply chain

Trivy، Cosign، ImagePolicyWebhook، صور distroless. أتمتة سلسلة CI/CD لتسليم صور مفحوصة وموقَّعة فقط.

الأسبوعان 13-14: Runtime security

Falco، audit logs، ImmutableConfigMap، رصد eBPF. أقوى أدوات المجال 6.

الأسبوعان 15-16: امتحانات بيضاء ومراجعات

Killer.sh وKiller Coda CKS. برمج الامتحان عند تحصيل 75%+ على ثلاثة محاكيات متتالية.

أدوات جوهرية لإتقان CKS

kube-bench — يتحقق أن عنقودك يحترم CIS Kubernetes Benchmark. شغّل kube-bench run --targets master,node,etcd,policies وصحّح findings.

Trivy — فاحص الصور المرجع في 2026. يكشف CVE في طبقات الصورة، أسرار طارئة، misconfigurations لـ manifests. trivy image nginx:1.27 أمر للاعتياد.

Falco — runtime security بـ eBPF. يكشف سلوكيات شاذة (shell في حاوية، وصول إلى /etc/shadow، mount ممتاز). قواعد مخصّصة بـ YAML، تنبيهات عبر Slack أو Mattermost.

OPA Gatekeeper — admission webhook يرفض manifests التي تنتهك policies. مثلاً: منع الصور من خارج registry الخاص، اشتراط labels، حجب Pods بـ hostNetwork.

Cosign — توقيع صور الحاويات. مدمج مع Sigstore للتحقق keyless.

AppArmor / seccomp — ملفات Linux تقيّد syscalls والملفات المتاحة لحاوية. تحجب أغلب escapes container.

gVisor — sandbox runtime من Google يعزل الحاويات بنواة user-space. أداء أقل لكن عزل مُعزَّز للأحمال غير الموثوقة.

أخطاء شائعة لتجنّبها

الخطأ السبب الحل
محاولة CKS بلا CKA فعّالة قراءة سيئة للمتطلبات تحقّق أن CKA لم تنتهِ (سنتان) قبل شراء CKS
تقدير ضعيف للمجال 6 runtime Falco سيئ الفهم درّب 20+ قاعدة Falco مخصّصة وكشفها على عنقود حقيقي
الخلط بين Pod Security Standards وPSP توثيق قد يكون مربكاً — PSP محذوف في 1.25 ادرس حصراً Pod Security Standards (Privileged/Baseline/Restricted)
صورة distroless سيئة المعالجة لا shell للتشخيص درّب kubectl debug --copy-to لتشخيص Pods distroless
OPA Gatekeeper في وضع dry-run policies غير مطبَّقة سهواً تحقّق enforcementAction: deny (لا dryrun) على policies الحرجة
برمجة CKS باكراً بعد CKA فرط ثقة على الأقل 4-6 أسابيع تدريب CKS قبل البرمجة

أسئلة شائعة

هل أحتاج فعلاً CKA قبل CKS؟
نعم، متطلب إلزامي يُتحقَّق منه عند التسجيل. CKA تبقى صالحة سنتين — تستطيع برمجة CKS في هذه النافذة. ما بعد، أعد CKA.

الفرق بين CKS وCCSP وCISSP؟
CKS متخصّصة جداً Kubernetes. CCSP (ISC²) تغطي أمن السحاب عاماً (AWS، Azure، GCP، multi-cloud). CISSP المستوى المتقدّم العام لأمن المعلومات. مسار مهني متماسك: CKA ← CKS ← CCSP ← CISSP في 3-5 سنوات.

كم سنة خبرة قبل CKS؟
الحد الأدنى سنة تدريب Kubernetes إنتاجي. مثالياً 2-3 سنوات. دون هذه الخبرة، كثير من حيل الامتحان ستفلت منك.

هل الامتحان بالفرنسية أو العربية؟
لا، إنجليزي فقط. إتقان المصطلحات التقنية الإنجليزية (admission webhook، runtime، hardening، supply chain) لا غنى عنه.

متوسط مدة النجاح في CKS؟
لملف 2-3 سنوات Kubernetes مع CKA حديثة: 12-16 أسبوعاً بـ 8-10 ساعات/أسبوع. لملف متقدم بـ 4+ سنوات: 8-10 أسابيع تكفي.

هل retake مجاني مشمول؟
نعم، 1 retake مجاني خلال 12 شهراً عند الفشل (تحقّق من الشروط عند الشراء).

للتعمق

  • صفحة CKS الرسمية: training.linuxfoundation.org/certification/certified-kubernetes-security-specialist
  • CIS Kubernetes Benchmark: cisecurity.org/benchmark/kubernetes
  • توثيق Trivy: aquasecurity.github.io/trivy
  • توثيق Falco: falco.org/docs
  • OPA Gatekeeper: open-policy-agent.github.io/gatekeeper

سلسلة دروس CKS

للأساسيات، ارجع إلى شهادة CKAD.

مقالات ذات صلة

#cluster-cks #cluster-cks-ar #Kubernetes #Kubernetes Certification
Sponsoriser ce contenu

Cet emplacement est à vous

Position premium en fin d'article — c'est l'instant où les lecteurs sont le plus engagés. Réservez cet espace pour votre marque, votre formation ou votre offre.

Recevoir nos tarifs
Publicité