2025年信息系统安全专家API安全云原生架构实践专题试卷及解析.pdfVIP

2025年信息系统安全专家API安全云原生架构实践专题试卷及解析1

2025年信息系统安全专家API安全云原生架构实践专题

试卷及解析

2025年信息系统安全专家API安全云原生架构实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在云原生架构中，以下哪项技术最适合实现API的动态服务发现与负载均衡？

A、传统硬件负载均衡器

B、KubernetesIngressController

C、静态DNS记录

D、Nginx配置文件

【答案】B

【解析】正确答案是B。KubernetesIngressController专为云原生环境设计，能自

动感知服务实例变化并动态调整路由规则。A选项硬件设备缺乏弹性，C选项静态配置

无法适应微服务动态特性，D选项需要手动维护。知识点：云原生服务发现机制。易错

点：混淆传统负载均衡与云原生动态路由的区别。

2、API网关在云原生架构中的核心安全功能不包括？

A、JWT令牌验证

B、服务网格加密

C、请求速率限制

D、CORS策略配置

【答案】B

【解析】正确答案是B。服务网格加密属于服务间通信层（如Istio），而API网关

主要处理南北向流量安全。A/C/D都是网关典型功能。知识点：API网关安全边界划

分。易错点：将服务网格与API网关职责混淆。

3、在Kubernetes中，以下哪种资源最适合存储API的敏感配置信息？

A、ConfigMap

B、Secret

C、Deployment

D、Service

【答案】B

【解析】正确答案是B。Secret专门用于存储敏感数据，采用Base64编码（非加密）

但可通过RBAC控制访问。A明文存储，C/D是工作负载资源。知识点：K8s敏感信

息管理。易错点：误以为ConfigMap可存储密码等敏感数据。

4、云原生环境中，实现API零信任架构的关键技术是？

A、网络分段

2025年信息系统安全专家API安全云原生架构实践专题试卷及解析2

B、双向TLS认证

C、IP白名单

D、VPN接入

【答案】B

【解析】正确答案是B。mTLS确保服务间通信双方身份验证，符合零信任”从不信

任，始终验证”原则。A/D是传统边界安全手段，C依赖IP不可靠。知识点：零信任网

络模型。易错点：将传统网络安全手段等同于零信任实现。

5、以下哪种API安全测试方法最适合云原生CI/CD流水线？

A、人工渗透测试

B、动态应用安全测试(DAST)

C、交互式应用安全测试(IAST)

D、静态代码分析(SAST)

【答案】C

【解析】正确答案是C。IAST可在运行时通过插桩检测API漏洞，与容器化部署

无缝集成。A效率低，B需要完整环境，D无法检测运行时问题。知识点：DevSecOps

工具链选择。易错点：忽视云原生环境对测试工具的特殊要求。

6、在服务网格架构中，API访问控制策略通常通过什么实现？

A、应用层代码

B、API网关规则

C、Sidecar代理

D、KubernetesRBAC

【答案】C

【解析】正确答案是C。服务网格通过Sidecar代理（如Envoy）执行L7策略，无

需修改应用代码。A违背无侵入原则，B处理入口流量，D是K8s原生权限控制。知

识点：服务网格策略执行点。易错点：混淆K8sRBAC与服务网格策略。

7、云原生API监控的最佳实践是？

A、仅收集应用日志

B、依赖容器基础指标

C、建立分布式追踪系统

D、定期人工检查

【答案】C

【解析】正确答案是C。分布式追踪（如Jaeger）能完整呈现API调用链路，解决

微服务排查难题。A缺乏上下文，B粒度不足，D无法实时响应。知识点：可观测性三

大支柱。易