2026年云原生容器安全培训与考试题库.docxVIP

第PAGE页共NUMPAGES页

2026年云原生容器安全培训与考试题库

一、单选题（每题2分，共20题）

1.在云原生环境中，哪种容器运行时技术被广泛认为是较新的且更安全的替代方案？

A.Docker

B.Podman

C.Kubernetes（Kubelet）

D.VMware

2.以下哪项不是容器镜像安全扫描的关键步骤？

A.检测已知漏洞

B.验证镜像完整性

C.优化镜像大小

D.分析运行时行为

3.在Kubernetes中，用于强制执行网络策略并限制Pod间通信的组件是？

A.PodSecurityPolicies（PSP）

B.NetworkPolicies

C.ServiceAccounts

D.Role-BasedAccessControl（RBAC）

4.以下哪种工具主要用于检测容器运行时的未授权访问或异常行为？

A.Clair

B.Falco

C.Trivy

D.Nessus

5.在云原生环境中，用于保护敏感配置信息（如API密钥）的最佳实践是？

A.直接写入镜像文件

B.使用环境变量

C.存储在KubernetesSecrets中

D.放在Dockerfile中

6.容器逃逸攻击的主要目标是什么？

A.镜像泄露

B.网络延迟

C.获取宿主机权限

D.镜像大小膨胀

7.在Kubernetes中，用于限制Pod资源使用（CPU和内存）的机制是？

A.QualityofService（QoS）

B.PodDisruptionBudget（PDB）

C.ResourceQuotas

D.HorizontalPodAutoscaler（HPA）

8.以下哪项不属于容器镜像供应链攻击的常见手段？

A.中间人攻击（MITM）

B.镜像篡改

C.资源竞争

D.代码注入

9.在云原生场景下，用于监控容器日志和事件的重要工具是？

A.Prometheus

B.ELKStack

C.KubernetesAuditLogs

D.Nagios

10.容器存储安全中，哪种技术能有效防止数据在传输过程中被窃取？

A.磁盘加密

B.容器卷加密

C.RAID配置

D.分区表优化

二、多选题（每题3分，共10题）

1.Kubernetes中的安全上下文（SecurityContext）可以用于哪些方面？

A.限制容器用户权限

B.禁用特权模式

C.设置SELinux标签

D.自动生成密码

2.容器镜像安全扫描的常见工具包括？

A.Trivy

B.Clair

C.DockerScout

D.Nessus

3.网络策略（NetworkPolicies）的关键功能有哪些？

A.限制Pod来源

B.控制端口访问

C.防止跨命名空间通信

D.基于标签的访问控制

4.云原生环境中常见的容器安全风险包括？

A.镜像漏洞

B.容器逃逸

C.配置错误

D.数据泄露

5.以下哪些是保护KubernetesAPI服务器安全的措施？

A.启用TLS加密

B.限制访问IP范围

C.使用RBAC进行权限控制

D.关闭未使用端口

6.容器运行时安全加固的常见方法包括？

A.使用非特权用户运行容器

B.禁用不必要的系统功能（如bash）

C.定期更新容器引擎

D.直接在镜像中安装软件

7.云原生安全监控的关键要素有哪些？

A.容器日志审计

B.实时异常检测

C.资源使用监控

D.手动巡检

8.容器镜像供应链安全的最佳实践包括？

A.使用官方镜像源

B.多签验证镜像

C.定期重建镜像

D.禁用镜像层缓存

9.Kubernetes中的Secrets管理涉及哪些组件？

A.etcd

B.KubernetesAPI

C.CSI驱动

D.HashiCorpVault

10.容器存储安全的主要威胁有哪些？

A.恶意挂载点

B.数据加密不足

C.容器卷共享

D.磁盘配额滥用

三、判断题（每题1分，共10题）

1.KubernetesPodSecurityPolicies（PSP）已被新的PodSecurityAdmission（PSA）取代。

（正确/错误）

2.容器镜像的层缓存可以提高构建速度，但会降低安全性。

（正确/错误）

3.Falco主要用于检测Kubernetes集群中的API调用异常。

（正确/错误）

4.云原生环境中，所有容器都应该以非特权模式运行。

（正确/错误）

5.KubernetesSecrets可以存储在文件系统中供容器直接读取。

（正确/错误）

6.网络策略（NetworkP