云原生安全架构师岗位招聘考试试卷及答案

云原生安全架构师岗位招聘考试试卷及答案一、填空题（共10题，每题1分）1.K8s中基于角色的访问控制核心组件是______2.容器镜像扫描常用开源工具Trivy由______公司开发3.Istio中提供服务网格安全能力的核心组件是______4.CIS发布的K8s安全基准名称是______5.容器运行时安全隔离的Linux内核机制是______6.HashiCorpVault的核心功能是______7.K8s中默认Pod间网络访问是______8.容器镜像OCI标准的全称是______9.Falco是云原生______安全检测工具10.K8sSecret对象默认存储方式是______二、单项选择题（共10题，每题2分）1.K8s中负责API请求认证授权的组件是？A.kube-apiserverB.kubeletC.kube-proxyD.etcd2.容器镜像签名遵循的标准是？A.OCIB.DockerContentTrustC.CNCFD.SPIFFE3.用于K8s集群合规扫描的工具是？A.TrivyB.kube-benchC.FalcoD.Vault4.Istio服务间mTLS默认状态是？A.启用B.禁用C.生产环境启用D.按需启用5.K8sPod安全上下文不包括？A.运行用户B.特权容器C.网络策略D.能力（Capabilities）6.云原生服务身份认证框架是？A.SPIFFE/SPIREB.OAuth2C.JWTD.LDAP7.容器镜像漏洞扫描开源工具是？A.TrivyB.PrometheusC.GrafanaD.Jaeger8.K8setcd数据默认存储格式是？A.JSONB.YAMLC.ProtobufD.XML9.Falco检测容器异常基于？A.静态代码分析B.系统调用C.镜像漏洞D.网络流量10.零信任原则核心是？A.永不信任，始终验证B.仅信任内部网络C.仅信任授权用户D.信任默认网络三、多项选择题（共10题，每题2分）1.K8s安全加固措施包括？A.启用RBACB.网络策略隔离C.镜像签名D.禁用特权容器E.etcd加密2.云原生安全工具链包含？A.TrivyB.FalcoC.IstioD.VaultE.kube-bench3.容器运行时防护手段有？A.SeccompB.AppArmorC.特权限制D.只读文件系统E.能力drop4.Istio安全能力包括？A.mTLS加密B.SPIFFE身份认证C.流量授权D.审计日志E.K8s网络策略5.云原生密钥管理挑战有？A.泄露风险B.多环境同步C.轮换复杂度D.权限失控E.加密强度不足6.K8sSecret安全使用注意事项？A.禁止明文传输B.RBAC限制访问C.定期轮换D.仅存敏感数据E.明文暴露环境变量7.云原生合规要求包括？A.GDPRB.HIPAAC.PCIDSSD.CISK8s基准E.NIST800-538.容器镜像安全环节包括？A.构建扫描B.仓库加密C.签名验证D.运行时检查E.自动清理9.K8sPod安全上下文配置项？A.runAsUserB.privilegedC.只读根文件系统D.能力E.网络策略10.微服务安全关注点？A.服务认证B.数据加密C.授权控制D.流量监控E.服务发现安全四、判断题（共10题，每题2分）1.Pod安全策略（PSP）在K8s1.21+默认启用。（）2.Falco基于Linux系统调用检测容器异常。（）3.Istio默认启用服务间mTLS。（）4.K8sSecret默认加密存储。（）5.Trivy仅能扫描镜像漏洞。（）6.RBAC是K8s唯一访问控制机制。（）7.AppArmor和Seccomp都是Linux安全机制。（）8.DockerContentTrust用于镜像签名验证。（）9.K8s默认允许所有Pod网络访问。（）10.Vault仅支持云环境密钥管理。（）五、简答题（共4题，每题5分）1.简述K8sRBAC核心组件及作用。2.容器镜像安全扫描的关键环节有哪些？3.简述Istio服务网格的安全能力。4.云原生密钥管理的挑战及应对措施？六、讨论题（共2题，每题5分）1.如何设计云原生微服务安全架构？2.K8s集群ransomware防护策略有哪些？---答案部分一、填空题答案1.RBAC2.AquaSecurity3.istiod4.CISKubernetesBenchmark5.Seccomp6.密钥存储与轮换7.允许所有8.OpenContainerInitiative9.运行时10.base64编码（非加密）二、单项选择题答案1.A2.B3.B4.B5.C6.A7.A8.C9.B10.A三、多项选择题答案1.ABCDE2.ABCDE3.ABCDE4.ABCD5.ABCDE6.ABCD7.ABCDE8.ABCD9.ABCD10.ABCDE四、判断题答案1.×2.√3.×4.×5.×6.×7.√8.√9.√10.×五、简答题答案1.RBAC核心组件：Role（namespace内资源权限）、ClusterRole（集群级权限）、RoleBinding（绑定Role到namespace主体）、ClusterRoleBinding（绑定ClusterRole到集群主体）。作用：通过最小权限原则，细粒度控制K8s资源访问，避免过度授权。2.关键环节：①构建阶段扫描（CI/CDpipeline中检测漏洞）；②仓库扫描（推送前/后验证安全）；③签名验证（确保镜像未篡改）；④运行时扫描（检测容器镜像异常修改）；⑤漏洞修复跟踪（标记高危漏洞并推动修复）。3.Istio安全能力：①SPIFFE服务身份认证（唯一身份防spoofing）；②mTLS加密（服务间通信加密）；③流量授权（RBAC控制服务访问）；④安全审计（记录通信日志溯源）；⑤密钥自动管理（分发/轮换密钥）。4.挑战及应对：挑战：多环境同步、泄露风险、权限失控、轮换复杂。应对：①用Vault集中管理密钥；②RBAC限制访问；③etcd加密存储；④容器避免明文暴露密钥；⑤定期审计密钥日志。六、讨论题答案1.微服务安全架构设计：①身份认证：SPIFFE/SPIRE为服务分配身份，mTLS认证；②授权控制：IstioRBAC规则限制服务访问；③数据加密：传输（mTLS）、存储（Vault加密）；④运行时防护：Falco检测异常，Seccomp限制容器权限；⑤CI/CD集成：Trivy扫描、签名验证；⑥监控审计：集中日志检测威胁。2.rans