云原生安全工程师岗位招聘考试试卷及答案

云原生安全工程师岗位招聘考试试卷及答案试题一、填空题（每题1分，共10分）1.Kubernetes中负责容器调度的核心组件是______。2.常用容器镜像扫描工具包括Trivy、______等。3.Istio中服务身份认证的组件是______。4.K8s中Pod安全上下文配置的字段是______。5.PV与PVC的绑定方式分为静态和______绑定。6.共享宿主机PIDnamespace的容器逃逸属于______逃逸。7.K8s网络策略的API资源是______。8.Serverless函数的常见安全风险包括依赖漏洞、______等。9.CISKubernetesBenchmark是K8s的______标准。10.容器镜像签名常用工具是______。二、单项选择题（每题2分，共20分）1.K8s强制Pod安全的最新方案是？A.PodSecurityPolicyB.PodSecurityStandardsC.RBACD.NetworkPolicy2.以下不属于容器逃逸类型的是？A.特权容器逃逸B.共享namespace逃逸C.镜像漏洞逃逸D.云账号逃逸3.K8s集群合规扫描工具是？A.kube-benchB.TrivyC.kubectlD.Prometheus4.Istio中服务间流量加密的组件是？A.EnvoyB.CitadelC.MixerD.Pilot5.K8sRBAC中定义权限规则的对象是？A.RoleB.ClusterRoleC.RoleBindingD.ClusterRoleBinding6.Serverless函数安全最佳实践不包括？A.最小权限身份B.加密敏感数据C.依赖最新版本D.全云资源访问7.云原生安全左移的核心是？A.上线后修漏洞B.开发阶段嵌安全C.仅关注容器D.依赖第三方扫描8.容器runtime安全工具是？A.FalcoB.ClairC.DockerHubD.Harbor9.Pod安全上下文中限制root权限的字段是？A.runAsUserB.privilegedC.allowPrivilegeEscalationD.seLinuxOptions10.镜像仓库安全措施不包括？A.镜像签名B.权限控制C.匿名访问D.定期扫描三、多项选择题（每题2分，共20分）1.K8s安全控制面组件包括？A.kube-apiserverB.kube-controller-managerC.kube-schedulerD.etcd2.容器安全检测点包括？A.镜像漏洞B.运行时异常C.权限配置D.网络连接3.云原生安全左移阶段包括？A.设计B.开发C.构建D.部署4.Istio安全功能包括？A.服务间TLSB.身份认证C.流量控制D.访问审计5.Pod安全上下文配置项包括？A.runAsUserB.privilegedC.allowPrivilegeEscalationD.readOnlyRootFilesystem6.Serverless函数风险包括？A.依赖漏洞B.冷启动攻击C.权限过度D.数据泄露7.镜像仓库安全措施包括？A.私有仓库B.镜像签名C.权限分级D.漏洞扫描8.K8s网络安全工具包括？A.CalicoB.CiliumC.FlannelD.Istio9.云原生安全合规标准包括？A.CISBenchmarkB.NISTSP800-190C.GDPRD.PCIDSS10.容器runtime安全工具包括？A.FalcoB.SysdigSecureC.TrivyD.Clair四、判断题（每题2分，共20分）1.K8s默认开启Pod特权模式。（）2.镜像扫描仅需扫描基础镜像。（）3.Istio默认开启服务间TLS加密。（）4.Serverless函数无容器逃逸风险。（）5.K8sRBAC默认允许所有权限。（）6.镜像签名可防止恶意镜像注入。（）7.安全左移是上线后测试。（）8.Pod必须用非root用户运行。（）9.K8s网络策略默认允许所有流量。（）10.容器runtime安全仅关注漏洞。（）五、简答题（每题5分，共20分）1.简述K8sRBAC核心对象及作用。2.容器镜像安全扫描的关键阶段有哪些？3.简述Istio服务网格的安全能力。4.云原生安全左移的核心思路是什么？六、讨论题（每题5分，共10分）1.如何设计K8s集群的最小权限访问控制方案？2.分析Serverless函数的常见安全风险及应对措施。答案一、填空题1.kube-scheduler2.Clair（或DockerScout）3.Citadel4.securityContext5.动态6.共享namespace7.NetworkPolicy8.权限过度9.安全合规（基准）10.Cosign（或DockerContentTrust）二、单项选择题1.B2.D3.A4.B5.A6.D7.B8.A9.A10.C三、多项选择题1.ABCD2.ABCD3.ABCD4.ABD5.ABCD6.ABCD7.ABCD8.ABD9.ABCD10.AB四、判断题1.×2.×3.×4.×5.×6.√7.×8.×9.√10.×五、简答题1.K8sRBAC核心对象：①Role（namespace内权限规则）；②ClusterRole（集群级权限规则）；③RoleBinding（绑定Role到用户/服务账号，namespace内生效）；④ClusterRoleBinding（绑定ClusterRole到用户/服务账号，集群生效）。作用是实现最小权限访问，保障资源安全。2.镜像扫描关键阶段：①构建阶段（扫描Dockerfile和依赖）；②推送阶段（扫描待推送仓库的镜像）；③部署阶段（扫描待部署K8s的镜像）；④运行阶段（定期扫描运行中镜像）。3.Istio安全能力：①服务身份认证（Citadel颁发证书）；②服务间TLS加密；③访问控制（RBAC规则）；④审计日志（通信/认证事件记录）；⑤证书自动轮换。4.安全左移核心：将安全嵌入应用全生命周期（设计→开发→构建→部署→运行），而非上线后修复。具体：设计定安全基线，开发嵌静态分析，构建扫镜像漏洞，部署enforce策略，运行监控异常，实现早发现早修复。六、讨论题1.K8s最小权限方案：①分层账号（按角色划分，禁用通用账号）；②精细化RBAC（每个角色仅授必要权限，如开发仅操作devnamespace的Pod）；③禁用默认权限（删除cluster-admin默认绑定）；④Pod安全上下文（强制非root、只读根文件系统、禁用特权）；⑤网络策略（默认拒绝，仅允许必要通信）；⑥定期审