2026年容器安全培训考核题库设计.docxVIP

第PAGE页共NUMPAGES页

2026年容器安全培训考核题库设计

一、单选题（共10题，每题2分）

说明：每题只有一个正确答案。

1.在Docker容器化部署中，以下哪项措施最能有效减少容器逃逸风险？

A.使用root用户运行容器进程

B.定期更新镜像依赖库

C.允许容器访问宿主机文件系统

D.关闭容器的网络访问权限

2.对于Kubernetes集群，以下哪种安全策略最能防止未授权访问？

A.使用默认的ServiceAccount权限

B.配置RBAC（基于角色的访问控制）

C.开启所有节点的SSH免密登录

D.不设置网络策略，允许所有通信

3.在容器镜像构建过程中，以下哪个工具最适合用于自动化漏洞扫描？

A.DockerCompose

B.AnsibleVault

C.Trivy

D.HelmChart

4.对于使用CNCF（云原生基金会）技术的企业，以下哪项是容器运行时安全加固的最佳实践？

A.禁用镜像缓存以减少攻击面

B.使用cgroups限制容器资源

C.在容器中部署入侵检测系统（IDS）

D.忽略安全漏洞补丁更新

5.在微服务架构中，以下哪种网络策略最能防止服务间横向移动？

A.禁用服务发现功能

B.配置Pod网络隔离（NetworkPolicies）

C.使用HTTP/2协议传输数据

D.允许所有Pod互相访问

6.对于多租户场景下的Kubernetes集群，以下哪项措施最能保障租户隔离？

A.使用共享的Namespace

B.配置PodSecurityPolicies（PSP）

C.允许租户跨Namespace访问资源

D.关闭Pod网络隔离

7.在容器日志管理中，以下哪种方法最能防止日志泄露敏感信息？

A.将日志直接输出到宿主机文件系统

B.使用加密传输日志数据

C.清理日志文件以减少存储占用

D.不记录敏感操作日志

8.对于使用DockerSwarm的企业，以下哪项操作最容易导致集群被攻击者控制？

A.使用Swarm模式管理节点

B.配置Secrets管理敏感数据

C.忘记更新Swarm的CA证书

D.使用TLS加密节点间通信

9.在容器化应用部署中，以下哪种方法最能防止内存耗尽攻击（OOMAttack）？

A.使用无状态设计减少依赖

B.配置资源限制（resourcelimits）

C.部署多个副本提高可用性

D.关闭容器日志记录

10.对于云厂商提供的容器服务（如AWSEKS、AzureAKS），以下哪项是默认的安全特性？

A.自动创建网络策略

B.关闭所有节点的root访问

C.提供镜像扫描服务

D.禁用APIServer访问

二、多选题（共5题，每题3分）

说明：每题有多个正确答案。

1.在容器镜像安全审计中，以下哪些行为可能表明镜像被篡改？

A.镜像大小异常增大

B.存在未知依赖库

C.包含未授权的权限设置

D.镜像元数据缺失

2.对于Kubernetes网络策略，以下哪些配置能有效防止横向移动？

A.限制Pod来源IP

B.禁止未授权端口访问

C.配置服务网格（ServiceMesh）

D.允许所有Pod互相通信

3.在容器运行时安全加固中，以下哪些措施是有效的？

A.使用seccomp限制系统调用

B.配置容器根文件系统为只读

C.启用容器运行时监控（OOMKiller）

D.禁用容器间通信

4.对于多租户Kubernetes集群，以下哪些策略能保障数据隔离？

A.使用Namespace隔离资源

B.配置RBAC权限控制

C.使用共享存储卷

D.禁用跨Namespace访问

5.在容器日志管理中，以下哪些做法能防止日志泄露？

A.使用日志脱敏工具

B.配置日志访问控制（ACL）

C.将日志存储在公有云

D.定期清理日志文件

三、判断题（共10题，每题1分）

说明：正确填“√”，错误填“×”。

1.容器镜像不需要进行漏洞扫描，因为容器是轻量级的。

2.Kubernetes的默认ServiceAccount具有管理员权限。

3.使用Dockerfile构建的镜像比直接运行容器更安全。

4.容器运行时监控（如cgroups）能防止容器资源耗尽攻击。

5.网络策略（NetworkPolicies）可以阻止容器间的未授权通信。

6.秘密管理工具（如KubernetesSecrets）默认支持加密存储。

7.容器逃逸攻击只能通过root权限实现。

8.使用容器运行时（如Docker、containerd）默认支持安全加固。

9.清理容器日志能有效防止数据泄露。

10.云厂商提供的容器服务（如