2026年云安全考试题及答案

2026年云安全考试题及答案一、单项选择题（每题2分，共20分）1.2026年，某金融企业将核心交易系统迁移至多云环境，采用“零信任+微隔离”架构。下列哪项最能体现该架构对横向移动攻击的防御效果？A.所有流量默认通过VPN加密B.工作负载身份与网络位置解耦，每30秒重新验证一次C.在VPC边界部署下一代防火墙D.使用对象存储桶策略限制公网读取答案：B解析：零信任核心在于“永不信任、持续验证”。微隔离通过将身份与网络位置解耦，并以短周期重新验证，可显著降低攻击者在东西向流量中的横向移动成功率。A仅解决传输加密，C侧重南北向边界，D属于存储访问控制，均不直接针对横向移动。2.某Serverless平台提供“冷启动加速”功能，其原理是提前将函数依赖注入到轻量级沙箱缓存。若攻击者上传的依赖包内含恶意ELF共享对象，平台方最应补充哪项安全控制？A.在函数URL启用HTTPS强制跳转B.对缓存层镜像执行SBOM签名与运行时校验C.提高函数内存配额D.将函数日志投递到外部SIEM答案：B解析：冷启动缓存本质是镜像复用，若镜像被投毒则所有后续实例均受影响。SBOM（软件物料清单）签名+运行时校验可确保缓存层未被篡改。A、C、D与依赖包完整性无关。3.2026年3月，云服务商A发布“机密计算2.0”实例，其CPU支持可验证的嵌套虚拟化。客户希望在可信执行环境（TEE）内运行K8skubelet，同时防止云运营商运维人员通过物理内存探针提取业务密钥。该场景主要依赖哪项硬件能力？A.SGX2.0Enclave动态内存加密B.AMDSEV-SNP的内存完整性（MemoryIntegrity）C.IntelTDX的TDVMCS结构D.AWSNitroEnclaves的vsock隔离通道答案：B解析：SEV-SNP通过内存完整性技术防止重放与物理探针，且支持嵌套虚拟化，适合运行kubelet这类需要系统级能力的组件。SGX2.0更适用于进程级Enclave，TDVMCS侧重虚拟机控制结构，NitroEnclaves则属于云厂商专有方案。4.在多云CI/CD流水线中，安全团队要求“每次构建均生成不可抵赖的制品签名”。若采用Sigstore项目，下列哪项最能保证签名私钥的短期有效性？A.将私钥存储于云KMS并启用定时轮换B.使用Fulcio颁发短期证书，私钥仅驻留于内存C.将私钥加密后存入Git仓库，由构建脚本解密D.让构建容器以Root权限运行并挂载宿主机/dev/sgx答案：B解析：Fulcio作为透明日志CA，仅签发短周期（通常10分钟）证书，构建完成后私钥即消失，实现“无状态签名”。A仍需长期密钥，C存在仓库泄露风险，D与密钥生命周期无关。5.2026年6月，某企业发现其云账单突增300%，经排查为攻击者滥用预留实例券（RI券）进行“挖矿套利”。攻击者利用了哪类控制缺失？A.对象存储版本控制未开启B.云账号未启用MFAC.财务权限与资源权限未分离D.未启用CloudTrail日志校验答案：C解析：RI券本质是财务资产，可转售或抵扣高阶实例。若财务角色与资源角色未分离，攻击者一旦获得财务权限即可购买大量高算力实例并挖矿。A、B、D与RI券滥用无直接因果。6.某政务云采用“国密SM9”标识密码实现跨域数据共享。下列哪项最能降低密钥托管带来的主权风险？A.将KGC（密钥生成中心）部署在本地HSM集群，私钥分片存储B.使用海外云HSM托管KGC私钥C.将SM9算法替换为RSA-4096D.禁用密钥撤销列表（KRL）答案：A解析：SM9的私钥由KGC集中生成，托管风险最高。将KGC部署于本地HSM并通过门限秘密共享分片，可确保任何单点无法恢复完整私钥，降低主权依赖。B引入海外托管与政务合规冲突，C算法替换不解决托管问题，D削弱撤销能力。7.2026年，云原生应用普遍采用“可观测即服务”（OaaS）。若攻击者通过恶意OpenTelemetryCollector侧车窃取追踪数据，最可能利用哪类接口？A.PrometheusExporter的/metrics端点B.OTLPgRPC的Header走私C.KubernetesDownwardAPI的投影卷D.JaegerUI的SearchAPI答案：B解析：OTLPgRPC默认使用HTTP/2，Header字段可被注入恶意标签，导致Collector将数据转发至攻击者控制的后端。A仅暴露指标，C用于环境变量注入，D为UI查询接口，均不直接用于数据窃取。8.某企业在阿里云与腾讯云之间建立“私网互联”实现双活。若需防止BGP路由劫持导致流量绕行至第三方，最优先部署哪项机制？A.在云企业网启用RPKIRouteOriginValidationB.开启DDoS高防包C.使用SSL证书固定（CertificatePinning）D.将私网网段拆分为/25小网段答案：A解析：RPKI通过ROA证书校验AS是否拥有路由起源权限，可阻断非法BGP宣告。B仅缓解容量型攻击，C解决的是TLS层，D拆分网段无法对抗劫持。9.2026年，某云厂商推出“量子安全通道”产品，采用CRYSTALS-KYBER算法。下列哪项描述正确？A.该算法基于椭圆曲线离散对数难题B.其公钥尺寸约为800字节，适合DNSSEC小报文场景C.可与传统TLS1.3通过HybridKeyShare方式并存D.私钥可复用于数字签名答案：C解析：KYBER属于格基密钥封装机制，与TLS1.3的HybridKeyShare扩展结合，可在同一握手内完成经典+抗量子密钥协商。A错误，KYBER非EC问题；B公钥尺寸实际约1.2KB，对DNSSEC仍偏大；D为KEM，不直接提供签名能力。10.在多云灾备场景中，企业使用“不可变备份”功能。若攻击者获取云账号根权限，下列哪项措施最能确保备份不可被删？A.将备份桶启用MFADelete，物理MFA令牌由法务部封存B.使用跨账号备份，备份桶的写权限仅授予独立审计账号C.每日将备份导出到本地NASD.启用桶级日志并投递至Splunk答案：B解析：跨账号备份配合最小权限，可确保即使生产账号被完全接管，攻击者亦无权限删除备份桶对象。A的MFADelete仍可被根用户关闭，C无法保证实时性且本地NAS可能被物理破坏，D仅提供审计无法阻止删除。二、多项选择题（每题3分，共15分）11.2026年，某医疗云采用“联邦学习”训练AI模型。为防止参与方通过梯度泄露推断原始影像，平台可采取哪些技术？A.使用差分隐私（DP-SGD）添加噪声B.采用SecureAggregation协议加密梯度C.将影像先进行同态加密再训练D.在TEE内执行聚合，远程证明通过后释放模型E.将BatchSize设为1答案：A、B、D解析：A通过噪声降低泄露信噪比；B确保服务器仅看到聚合后梯度；D借助TEE防止聚合方窥探。C同态加密计算开销极高，当前无法用于影像级CNN实时训练；E反而增大泄露风险，因单样本梯度更易反演。12.以下哪些做法可有效降低容器镜像的“供应链投毒”风险？A.在CI阶段使用cosign对最终镜像签名B.基于distroless镜像构建，移除包管理器C.启用KubernetesImagePolicyWebhook，拒绝未通过CVE扫描的镜像D.将Dockerfile中的基础镜像标签从“latest”改为具体digestE.使用Falco监控容器运行时syscall，发现异常即杀死Pod答案：A、B、C、D解析：A提供签名溯源；B减少攻击面；C阻断高危镜像；D防止基础镜像被同名覆盖。E属于运行时检测，无法阻断投毒镜像启动。13.2026年，云服务商推出“后量子TLS1.4草案”。客户端与服务端协商后，可选用的算法组合包括：A.TLS_AES_256_GCM_SHA384+kyber768B.TLS_CHACHA20_POLY1305_SHA256+dilithium3C.TLS_AES_128_CCM_SHA256+frodokem640D.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384+ntruE.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256+classic_mceliece答案：A、C解析：草案规定仅KEM算法可插入密钥协商，签名算法保持经典或后量子可选。A、C均为KEM+AEAD组合。B将签名算法Dilithium用于密钥协商，错误；D、E为TLS1.2套件，不支持后量子扩展。14.某企业在AWS与Azure之间启用“私网DNS同步”，需防止内部域名被恶意篡改。可采取哪些控制？A.在Route53启用DNSSEC并上传KSK至父域B.使用DNS-over-TLS同步区域传输（AXFR）C.将域名的Registrar锁定TransferProhibitD.在AzurePrivateDNS启用虚拟网络链接并启用反向查询E.部署企业自托管HSM对ZSK进行离线签名答案：A、B、E解析：A确保解析链完整；B保障传输层加密；E私钥离线防泄露。C防止域名被转移，与记录篡改无关；D仅支持反向解析，不防止正向记录篡改。15.2026年，云原生数据库普遍支持“透明数据加密（TDE）+列级加密”双层机制。下列哪些做法可确保列级密钥即使数据库进程被调试也无法明文导出？A.将列级主密钥存入KMS，使用HSM背书，并启用请求配额B.在TEE内运行数据库引擎，通过eCALL将密钥导入EnclaveC.使用mlock()将密钥页面锁定在物理内存，禁止swapD.启用KMS的“自动轮换”并设置轮换周期为7天E.使用IntelPKU（ProtectionKeysforUserspace）隔离密钥缓冲区答案：A、B、E解析：A借助HSM防导出；B通过Enclave防止调试器读取；E利用CPU级页权限隔离。C仅防swap，无法阻止gdbattach；D轮换与运行时泄露无关。三、判断题（每题1分，共10分）16.2026年，云厂商默认启用“IPv6-only”子网，NAT64网关可无缝访问遗留IPv4API，因此不再需要IPv4弹性公网IP。答案：错解析：部分老旧第三方API仍仅IPv4，且合规审计要求双栈日志，弹性公网IP仍需保留。17.在多云场景下，使用SPIFFEID作为工作负载身份，可天然防止不同云厂商的IP地址冲突问题。答案：对解析：SPIFFEID基于URIScheme，与底层网络地址无关，故无IP冲突。18.2026年，Kubernetes1.32默认启用“BoundServiceAccountTokenVolume”，因此ServiceAccountToken永不过期，适合长期离线任务。答案：错解析：该卷仍使用ProjectedToken，默认有效期1小时，需通过TokenRequestAPI续期。19.云防火墙的“基于域名的出站白名单”可阻断恶意程序通过DNS-over-HTTPS（DoH）隧道外泄数据。答案：错解析：DoH将DNS流量封装在HTTPS中，防火墙无法识别域名，需结合DoH解密或EDNS检测。20.采用“多云成本FinOps”策略时，将Spot实例用于无状态计算，可节省70%以上费用，且不影响SLA。答案：对解析：Spot实例价格可低至按需价30%，无状态应用可容忍回收，通过自动伸缩保持SLA。21.2026年，云厂商提供的“量子随机数发生器（QRNG）”基于激光相位噪声，其输出可通过NISTSP800-90B健康测试。答案：对解析：QRNG已纳入NIST熵源标准，通过实时健康测试确保熵质量。22.在多云灾备中，使用“异步复制+RPO=5秒”即可满足证券交易系统监管要求。答案：错解析：证券核心系统通常要求RPO<1秒，需同步复制或“零数据丢失”方案。23.2026年，云原生应用采用“WebAssembly（WASM）+WASI”运行时，可完全替代Linux容器，因此不再需要cgroups资源限制。答案：错解析：WASM仍需宿主机通过cgroups或类似机制限制CPU/内存，否则可耗尽节点资源。24.云服务商提供的“机密虚拟机”支持vTPM2.0，可用于远程证明GuestOS启动度量值。答案：对解析：vTPM提供与物理TPM相同接口，支持PCR扩展与Quote，适用于机密VM启动链验证。25.2026年，多云管理平台的“单一窗格”界面集中展示所有云账号密钥，因此可降低密钥泄露概率。答案：错解析：集中展示增加单点泄露风险，应通过RBAC+短时STS令牌+审计降低暴露。四、填空题（每空2分，共20分）26.2026年，云原生应用采用“eBPF+LSM”实现强制访问控制。若需阻断容器内进程对宿主机/etc/shadow的访问，可挂载的LSM钩子函数名为________。答案：file_permission27.某企业使用“多云网络编排器”自动建立阿里云VPC与GCPVPC的IPSec隧道，若需实现“转发保密”，应在IPSecProposal中启用________算法。答案：ECP25628.在Kubernetes1.32中，启用“MemoryQoS”特性后，cgroupv2的________控制器用于将内存高阈值事件通知至调度器。答案：memory.high29.2026年，云数据库支持“后量子透明加密”，其密钥封装算法CRYSTALS-KYBER的公钥长度约为________字节。答案：118430.云函数冷启动时，若采用“PoolWarmed”策略，平台需维护________队列以平衡预置实例与成本。答案：M/M/k31.在多云CI/CD中，使用“SLSALevel4”合规框架，要求构建脚本必须基于________策略引擎进行证明。答案：in-toto32.2026年，云防火墙支持“基于eBPF的XDP层清洗”，其最大吞吐可达________Mpps（百万包每秒）级别。答案：10033.若需通过“零信任代理”访问多云K8sAPI，客户端应首先获取________格式的身份令牌。答案：JWT-SVID34.云对象存储的“WORM”策略在2026年支持“合规保留期限”最长可达________年。答案：25535.在多云成本优化模型中，Spot实例的“平均中断率”可用________分布描述。答案：Weibull五、简答题（每题10分，共30分）36.2026年，某跨国企业在AWS、Azure、阿里云三地部署微服务，采用Istio服务网格。安全团队要求“东西向流量默认零信任，且需支持国密SM9双向认证”。请给出落地步骤与关键配置片段（YAML或JSON），并说明如何完成远程证明。答案：步骤1：构建SM9插件1.基于EnvoyWASM过滤器扩展，调用国密SM9签名/验签库（libsm9.so）。2.将插件封装为Docker镜像，推送至三地私有仓库。步骤2：Istio配置1.安装Istio1.22+，启用CUSTOMauthz：```yamlapiVersion:security.istio.io/v1beta1kind:PeerAuthenticationmetadata:name:sm9-mtlsspec:selector:matchLabels:app:paymentmtls:mode:STRICTportLevelMtls:8080:mode:STRICTcustomAuthz:provider:sm9-validator```2.在EnvoyFilter中注入WASM：```yamlapiVersion:networking.istio.io/v1alpha3kind:EnvoyFiltermetadata:name:sm9-filterspec:configPatches:applyTo:HTTP_FILTERmatch:context:SIDECAR_INBOUNDpatch:operation:INSERT_BEFOREvalue:name:envoy.filters.http.wasmtyped_config:"@type":/envoy.extensions.filters.http.wasm.v3.Wasmconfig:name:sm9_authroot_id:sm9_rootvm_config:vm_id:sm9_vmruntime:envoy.wasm.runtime.v8code:local:inline_string:"envoy.wasm.file://sm9.wasm"```步骤3：远程证明1.在阿里云TEE实例启动KGC，生成SM9主私钥，通过SGXQuote证明Enclave度量值。2.将Quote与IstioCitadel交互，签发短周期SM9证书。3.工作负载启动时，Sidecar调用eCALL获取私钥，若Quote验证失败则拒绝注入。37.2026年，云原生数据库采用“存储-计算分离”架构，使用Raft协议跨可用区复制日志。若某分区出现“脑裂”导致双主，请给出基于“仲裁权重”的自动恢复流程，并写出关键Raft日志条目（JSON格式）。答案：流程：1.每个节点维护权重向量：{AWS:2,Azure:2,Ali:1}，总和5。2.当网络分区发生，AWS与Azure互通，但与Ali失联。AWS+Azure权重和=4>5/2，构成多数派；Ali权重=1<5/2，自动降级为Follower。3.Ali节点在选举超时（500ms）内未收到心跳，触发PreVote，发现无法获得多数PreVote，放弃选举。4.AWS侧Leader继续提交日志，Ali侧日志落后，通过网络恢复后，Ali发送InstallSnapshot请求，Leader生成快照并返回。关键日志条目：```json{"term":7,"index":9031,"type":"EntryNormal","data":"updateaccountsetbalance=balance-100whereid=42","weight":{"AWS":2,"Azure":2,"Ali":1},"quorum":3}```38.2026年，某电商大促期间，攻击者利用“退货运费险”接口进行“薅羊毛”，通过云函数并发下单再立即退货，套取运费险补贴。请设计一套基于“实时图计算+风险分”的反欺诈方案，给出架构图文字描述、核心算法公式（LaTeX），并说明如何与Serverless伸缩联动。答案：架构：1.事件流：APIGateway→Kafka→FlinkCEP→Neo4j集群→Lambda（异步）→风控决策API。2.图模型：节点=用户、订单、收货地址、设备指纹、支付卡；边=创建、退货、共享地址、同设备。3.实时算法：风险分计算：R其中：C(u)为用户u近1小时退货次数；N(u)为u的一跳邻居集合；t为距离上次退货的时间（秒）；α=0.5,β=0.3,γ=0.2,λ=0.01。4.Serverless联动：FlinkCEP检测到R(u)>0.8，发送SNS消息；Lambda函数自动扩容，调用云函数限流API，将u的QPS降至1；若R(u)>0.9，Lambda调用账户服务冻结接口，并触发人工复核。六、计算题（共15分）39.2026年，某企业在阿里云（杭州）与AWS（东京）之间启用“多云专线+CDN联动”，业务模型如下：平均带宽：阿里云→AWS2Gbps，AWS→阿里云3Gbps；阿里云专线单价：0.12元/GB；AWSDirectConnect：0.06USD/GB，汇率1USD=7.2元；CDN回源占比30%，命中率为90%，回源流量走专线；每日突发峰值系数1.5，持续2小时；每月按30天计。求：（1）每月总流量费用（人民币）；（2）若采用“流量调度”将40%回源流量改为公网（单价0.8元/GB），计算节省金额；（3）给出最优调度比例θ，使总成本最小，并列出LaTeX优化模型。答案：（1）日均流量：阿里云→AWS：2×86400=172800GBAWS→阿里云：3×86400=259200GB峰值额外：(2+3)×0.5×7200=18000GB月总流量：(172800+259200+18000)×30=13.5×10^6GB专线费用：阿里云侧：13.5×10^6×0.12=1.62×10^6元AWS侧：13.5×10^6×0.06×7.2=0.5832×10^6元总费用：2.2032×10^6元（2）回源流量：13.5×10^6×30%=4.05×10^6GB调度40%走公网：节省专线：4.05×10^6×0.4×(0.12+0.06×7.2)=4.05×10^5×1.152=0.46656×10^6元新增公网：4.05×10^6×0.4×0.8=1.296×10^6元净节省：0.46656-1.296=-0.82944×10^6元（反而增加）（3）优化模型：设θ为走公网的回源比例，θ∈[0,1]，目标函数：m其中：由于F_公网>F_专线，最优θ^=0，即全部走专线。由于F_公网>F_专线，最优θ^=0，即全部走专线。七、综合案例分析（共20分）40.背景：2026年“双十一”期间，某零售企业将核心订单库按“全球多活”部署：区域：北京（阿里云）、法兰克福（AWS）、弗吉尼亚（Azure）；架构：K8s+TiDB6.5，三地三中心，Raft多数派写入；网络：多云专线+SD-WAN，RTT北京-法兰克福160ms