2025年AWS认证安全专家Fargate容器逃逸防护与主机层安全专题试卷及解析.pdfVIP

2025年AWS认证安全专家FARGATE容器逃逸防护与主机层安全专题试卷及解析1

2025年AWS认证安全专家Fargate容器逃逸防护与主机

层安全专题试卷及解析

2025年AWS认证安全专家Fargate容器逃逸防护与主机层安全专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSFargate中，以下哪项是防止容器逃逸到主机的最根本安全机制？

A、使用IAM角色限制容器权限

B、启用VPC流日志

C、Fargate的无服务器架构设计

D、定期更新容器镜像

【答案】C

【解析】正确答案是C。Fargate的无服务器架构设计意味着用户无需管理底层EC2

实例，AWS负责主机的安全维护和隔离，这是防止容器逃逸的根本保障。A选项IAM

角色控制的是AWSAPI访问权限，不直接防止容器逃逸；B选项VPC流日志用于网

络监控，不涉及主机层隔离；D选项更新镜像能减少漏洞但无法完全防止逃逸。知识点：

Fargate安全架构。易错点：混淆应用层安全（IAM）与基础设施层安全（无服务器架

构）。

2、当使用Fargate部署任务时，以下哪种方式可以增强主机层安全？

A、设置任务CPU和内存限制

B、使用私有镜像仓库

C、启用任务定义中的”readonlyRootFilesystem”

D、配置安全组限制入站流量

【答案】C

【解析】正确答案是C。“readonlyRootFilesystem”可以防止容器运行时修改根文件

系统，减少被利用后进行逃逸的风险。A选项资源限制主要影响性能而非安全；B选项

私有仓库保障镜像安全但不直接防护主机；D选项安全组控制网络访问，不涉及主机层

文件系统保护。知识点：容器运行时安全配置。易错点：将网络控制（安全组）误认为

主机层防护。

3、在Fargate任务中，以下哪项措施最能有效检测潜在的容器逃逸行为？

A、监控AmazonCloudWatch的CPU使用率指标

B、使用AWSGuardDuty进行威胁检测

C、检查ECS任务状态变化

D、分析ELB访问日志

【答案】B

2025年AWS认证安全专家FARGATE容器逃逸防护与主机层安全专题试卷及解析2

【解析】正确答案是B。AWSGuardDuty可以检测异常进程活动、网络行为等逃逸

迹象。A选项CPU监控只能发现资源异常，无法识别逃逸；C选项任务状态变化不直

接反映逃逸；D选项ELB日志记录HTTP请求，不涉及主机层行为。知识点：威胁检

测服务。易错点：混淆性能监控（CloudWatch）与安全检测（GuardDuty）。

4、Fargate任务默认使用哪种网络模式？

A、bridge

B、host

C、awsvpc

D、none

【答案】C

【解析】正确答案是C。Fargate强制使用awsvpc模式，每个任务获得独立ENI，

实现网络隔离。A、B、D选项是EC2启动类型的可选模式，不适用于Fargate。知识

点：Fargate网络特性。易错点：误以为Fargate支持EC2类型的网络模式。

5、以下哪项是Fargate相比EC2启动类型在主机安全方面的主要优势？

A、更低的运行成本

B、自动打补丁的主机管理

C、更快的部署速度

D、更高的资源利用率

【答案】B

【解析】正确答案是B。AWS负责Fargate底层主机的安全补丁和更新，减少逃逸

风险。A、C、D选项是性能或成本优势，与安全无关。知识点：Fargate托管特性。易

错点：将性能优势误认为安全优势。

6、在Fargate任务定义中，以下哪个参数配置错误会增加逃逸风险？

A、设置”privileged”:false

B、使用默认的”linuxParameters”

C、添加”initProcessEnabled”:true

D、配置”runAsUser”:0

【答案】D

【解析】正确答案是D。以root用户（UID0）运行容器会增加逃逸后危害，应使

用非特权用户。A选项禁用特权模