2025年AWS认证EKS安全合规性（CISBenchmark）检查专题试卷及解析.pdfVIP

2025年AWS认证EKS安全合规性（CISBENCHMARK）检查专题试卷及解析1

2025年AWS认证EKS安全合规性（CISBenchmark）

检查专题试卷及解析

2025年AWS认证EKS安全合规性（CISBenchmark）检查专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据CISAmazonEKSBenchmark1.0.0，以下哪项是控制平面日志记录的最佳

实践？

A、仅启用API服务器日志

B、启用所有控制平面组件日志（API服务器、审计、控制器管理器、调度器）

C、仅启用审计日志

D、不启用任何控制平面日志以节省成本

【答案】B

【解析】正确答案是B。CISBenchmark要求启用所有控制平面组件日志以实现全

面的安全监控和审计。A和C选项不完整，可能导致安全事件遗漏。D选项完全违背

了安全合规要求。知识点：EKS控制平面日志记录是CIS1.0.0的基础要求，审计日志

特别重要。易错点：考生可能误以为启用部分日志就足够，实际上需要全面覆盖。

2、在EKS集群中，以下哪种RBAC配置最符合CIS安全要求？

A、允许所有serviceaccount访问所有资源

B、使用最小权限原则，仅授予必要的权限

C、使用clusteradmin绑定所有用户

D、禁用RBAC以简化管理

【答案】B

【解析】正确答案是B。CISBenchmark强调最小权限原则，这是RBAC的核心

安全理念。A和C选项违反了最小权限原则，D选项完全禁用了安全机制。知识点：

RBAC是Kubernetes安全的基础，CIS5.1.1要求实现最小权限。易错点：实际操作中

常因方便而过度授权，这是常见的安全违规。

3、关于EKS集群网络策略，CIS推荐的最佳实践是？

A、不使用网络策略以避免通信问题

B、仅对命名空间级别应用网络策略

C、使用默认拒绝策略，按需允许通信

D、仅允许集群内所有流量

【答案】C

【解析】正确答案是C。CIS5.3.1要求实现默认拒绝的网络策略，这是零信任网络

模型的基础。A和D选项完全不安全，B选项粒度不够细。知识点：网络策略是CIS

2025年AWS认证EKS安全合规性（CISBENCHMARK）检查专题试卷及解析2

安全框架的重要组成部分。易错点：实施默认拒绝策略可能导致应用通信问题，需要仔

细规划。

4、对于EKS工作节点安全组，CIS推荐的做法是？

A、开放所有端口以确保通信

B、仅开放必要的端口，限制源IP范围

C、使用默认安全组配置

D、禁用所有入站规则

【答案】B

【解析】正确答案是B。CIS4.1.1要求限制工作节点安全组，仅开放必要端口。A

选项完全不安全，C选项默认配置通常过于宽松，D选项会导致集群无法正常工作。知

识点：安全组是AWS网络安全的第一道防线。易错点：确定哪些端口是”必要”的常需

要深入理解Kubernetes网络模型。

5、关于EKS集群的etcd加密，CIS要求是？

A、不加密etcd数据

B、仅加密敏感数据

C、启用etcd静态加密

D、使用应用层加密替代

【答案】C

【解析】正确答案是C。CIS2.2.1明确要求启用etcd静态加密。A和B选项不符

合安全要求，D选项不能替代底层加密。知识点：etcd存储所有集群数据，其加密是关

键安全控制。易错点：启用etcd加密可能影响性能，需要在安全性和性能间平衡。

6、对于Pod安全策略(PSP)，CIS1.0.0的推荐是？

A、禁用所有PSP

B、使用默认PSP配置

C、实施严格的PSP限制特权容器

D、允许所有Pod运行

【答案】C

【解析】正确答案是C。CIS5.2.1要求限制特权容器，PSP是实现这一目标的关键

工具。A和D选项不安全，B选项默认配置通常