2025年AWS认证应用漏洞管理与责任专题试卷及解析.docxVIP

2025年AWS认证应用漏洞管理与责任专题试卷及解析

2025年AWS认证应用漏洞管理与责任专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWS环境中，以下哪项服务是专门用于自动化发现、跟踪和修复EC2实例以及容器应用程序中的软件漏洞的？

A、AWSInspector

B、AmazonGuardDuty

C、AWSConfig

D、AmazonMacie

【答案】A

【解析】正确答案是A。AWSInspector是一个自动化安全评估服务，它可以帮助发现EC2实例上以及容器应用程序中的软件漏洞和意外的网络访问。它通过评估应用程序是否符合安全最佳实践和常见漏洞标准（如CVE）来工作。B选项AmazonGuardDuty是威胁检测服务，主要监控恶意活动和未经授权的行为，而不是专门扫描软件漏洞。C选项AWSConfig用于评估、审计和记录AWS资源配置的合规性，不直接扫描应用层面的漏洞。D选项AmazonMacie专注于发现、分类和保护存储在AmazonS3中的敏感数据，与应用漏洞管理无关。知识点：AWS安全服务的核心功能与定位。易错点：考生容易混淆Inspector（漏洞评估）和GuardDuty（威胁检测）的功能，两者都涉及安全，但侧重点完全不同。

2、根据AWS责任共担模型，对于运行在AmazonEC2上的操作系统和应用程序，谁主要负责管理和修补其中的安全漏洞？

A、AWS

B、客户

C、第三方软件供应商

D、AWS和客户共同负责

【答案】B

【解析】正确答案是B。在AWS责任共担模型中，AWS负责“云本身”的安全，包括底层基础设施、全球基础设施和所提供服务的运行。而客户负责“云中”的安全，这包括客户创建和使用的所有内容，如AWS账户凭证、配置和管理IAM角色、选择并管理EC2实例上的操作系统（包括更新和安全补丁）、安装和配置应用程序及其依赖库。因此，修补EC2上操作系统和应用程序的漏洞是客户的责任。A和D选项错误地扩大了AWS的责任范围。C选项虽然第三方供应商会为其软件发布补丁，但最终决定何时以及如何应用这些补丁的责任在于客户。知识点：AWS责任共担模型的核心内容。易错点：容易将AWS提供的安全工具（如Inspector）与AWS承担的安全责任混为一谈，工具是辅助，责任仍在客户。

3、当使用AWSInspector进行漏洞评估时，以下哪项是“评估模板”的主要作用？

A、定义要扫描的目标（如EC2实例）

B、配置评估的运行时间表

C、指定评估的范围，例如要检查的规则包（如CVE漏洞、安全最佳实践）

D、存储和查看评估报告

【答案】C

【解析】正确答案是C。AWSInspector的评估模板是配置评估的核心，它定义了评估的目标（通过评估目标）、评估的规则包（即检查哪些类型的漏洞或合规性问题，如CommonVulnerabilitiesandExposures或CenterforInternetSecurityBenchmarks）以及评估的持续时间。A选项定义扫描目标是在创建“评估目标”时完成的。B选项配置运行时间表是在评估模板中设置，但模板的核心作用是定义评估内容和范围。D选项存储和查看报告是评估运行后的结果，不是模板的作用。知识点：AWSInspector的核心组件及其功能。易错点：考生可能对“评估模板”和“评估目标”这两个概念感到困惑，模板定义“怎么查”和“查什么”，目标定义“查谁”。

4、一家公司希望确保其部署在AWS上的应用程序符合支付卡行业数据安全标准（PCIDSS）。以下哪项AWS服务或工具可以帮助他们自动化评估和持续监控与PCIDSS相关的配置合规性？

A、AWSArtifact

B、AWSConfig

C、AmazonInspector

D、AWSSecurityHub

【答案】B

【解析】正确答案是B。AWSConfig服务可以持续监控和记录您的AWS资源配置，并允许您自动化评估这些配置是否符合预设的规则。AWS提供了托管式规则，包括针对PCIDSS的规则包，可以帮助客户检查其资源是否符合该标准的要求。A选项AWSArtifact是一个提供按需访问AWS安全与合规文档和报告的门户，如合规性证明（如SOC报告），但它不执行主动的配置评估。C选项AmazonInspector侧重于应用程序层面的漏洞，而非配置合规性。D选项AWSSecurityHub可以聚合来自多个服务（包括AWSConfig）的发现结果，并提供PCIDSS等合规性标准的统一视图，但执行配置评估的核心引擎是AWSConfig。知识点：AWS合规性评估服务的区别。易错点：SecurityHub和Config功能有重叠，考生需理解Config是数据源和规则引擎