Zenn
AEON TECH HUBPublicationへの投稿
👺

Kubestronautに認定されました

Hikaru Saito
2024/08/07に公開
Kubernetes
cks
cncf
kubestronaut
kcsa
idea

イオン⁠⁠⁠⁠⁠⁠⁠スマートテクノロジーの DevSecOps Div SREチーム @hikkie13 です。

このたび、Cloud Native Computing Foundation (CNCF) からKubestronautに認定頂いたので色々書いていこうと思います。

Kubestronautとは

Kubestronautとは、CNCFのすべてのKubernetes認定資格(CKA、CKAD、CKS、KCNA、KCSA)を同時に保有する個人に与えられる称号です。

各資格の有効期限は2年間ですので、中々メンテナンスが難しいやつですね。
費用も高額のため、CyberMondayなどのセールを狙いましょう。

僕は日本で12番目の認定となりました。
日本で認定された最初の11人は以下のページで紹介されています(とてもとても悔しいです)

https://www.linkedin.com/posts/kubestronaut_kubestronauts-japan-tokyo-activity-7223282591523557376-4s_l/?utm_source=share&utm_medium=member_desktop

僕のページはこんな感じです。
https://www.cncf.io/training/kubestronaut/?_sft_lf-country=jp&p=hikaru-saito

取得すると何が良いのか

特典の詳細は以下に記載があります。
https://www.cncf.io/training/kubestronaut/

  • 限定Kuberstronautジャケット
  • Credlyのbadge
  • Kubestronaut専用/非公開のSlackチャンネルとメーリングリストへの招待
  • 毎年、対象の5資格に対する50%オフクーポン(他社に譲渡も可)
  • CNCFイベント(KubeCon or KubeDays)の参加20%クーポン(年3回まで)

ジャケットは身体が温まりますし
クーポンは懐が温まりますね...!!

取得のキッカケ

キッカケはXのタイムラインに以下が流れて、存在を知ったことです。
(うろ覚えですが、多分これ)
https://x.com/Typhon666_death/status/1805200790770114676

このプログラムをちゃんと把握していなかったのですが、見ると限定ジャケットがもらえるそうな!

そんな中、日頃から尊敬する吉川さんのこんなツイートも流れてくる始末。高まる機運🚀
https://x.com/ussvgr/status/1805614946283405528

また、自分の現職への入社理由の一つに自分がKubernetesを軸に会社を改善できそうであることがあり、Kubernetsは自分の一つの拠り所でもあります。微力でも盛り上げたいという気持ちしかありません。
そして、既にCKA/CKAD/CKSを持っていたため、入門資格であるKCNA/KCSAさえ受ければ取得できるという心理的ハードルが低かったことも後押しの一つです。

とは言えジャケット欲しさに $500払って受験するか・・?と悩んでいたら、Kuberstronautパイセンの@ystkfujii がクーポンを譲ってくれました・・・!ありがてぇ!!(それでも高いのは全部円安のせい!)

そんな形で受験に踏み切ります。

そして、その心理的ハードルの低さゆえのやらかしをしました。

CKS持ってるからってKCSAを舐めてかかると落ちる(落ちた)

前述の通りKubestronautの取得を考えていた時点で、CKA/CKAD/CKSは全て取得済みの状態でした。

そのため、残りが難易度が低めのKCNA(Kubernetes and Cloud Native Associate)とKCSA(Kubernetes and Cloud Native Security Associate)であり、正直まぁノー勉でも合格するだろうと思ってました。

結果、KCNAは一発合格しましたが、KCSAは一度落ちました(とてつもなく恥ずかしいパティーン)

敗因(という名の言い訳)は以下です。

  • 普段、AKS(Azure Kubernetes Service)というマネージドのKubernetesを利用しておりセキュリティの細かい仕組みを気にする事が少ない(それだけ恩恵を受けている)
    • Control Planeを触れない。
  • セキュリティ関連の英単語に馴染みがなく、普通に分からない英単語が多かった。
    • KCSAは日本語受験できない。
    • 自分は基本Kubernetesの試験は全て英語で受けています。(意味の取り違いを防ぐため原文を読む)

そのため、同じような境遇の方向けには受験前に以下を読み直すことをお勧めします。

Kubernetes OWASP Top10

https://owasp.org/www-project-kubernetes-top-ten/
こちらのqiitaが読みやすいです。
https://qiita.com/ryysud/items/dcb23f4a7e24f22e0ab4

The Current State of Kubernetes Threat Modelling

Kubernetes Trust Boundaries - Courtesy of CNCF の図を頭に入れておくと良い。
https://blog.marcolancini.it/2020/blog-kubernetes-threat-modelling/

K8S Threat Model(cloud sec docs)

https://cloudsecdocs.com/containers/theory/threats/k8s_threat_model/

kubernetes admission controllerについて

https://sysdig.jp/blog/kubernetes-admission-controllers/
https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/

admission plugin周り。
CKSではimagePolicyWebhookがよく出ますが、KCSAでは、Validating/Mutating Admission Webhookを抑えた方が良いです。
認証認可とadmissionのタイミング(順序)もおさらいしておきましょう。

https://kakakakakku.hatenablog.com/entry/2022/04/18/104727
https://blog.mosuke.tech/entry/2022/05/29/image-policy-webhook/

STRIDEモデルについて

https://www.newton-consulting.co.jp/itilnavi/glossary/stride_model.html

Pod Security Admissionについて

https://jpn.nec.com/cybersecurity/blog/221209/index.html

終わりに

早くジャケット届かないかな〜

採用のお知らせ

イオンスマートテクノロジーではエンジニアをはじめとした様々な職種を積極的に採用中です!
これからとてもおもしろいフェーズへ突入していくと思いますので興味のある方は是非カジュアル面談などで話を聞いてください!

https://engineer-recuruiting.aeon.info/

AEON TECH HUB
AEON TECH HUBPublication

AEONグループのテックブログです!今後様々なグループ会社を巻き込みながらAEONのテクニカルな側面をお届けしていきます!(いきたい!)

Discussion