2026年云计算安全专家面试全解析及答案参考.docxVIP

第PAGE页共NUMPAGES页

2026年云计算安全专家面试全解析及答案参考

一、单选题（共10题，每题2分）

考察方向：云计算基础安全概念、协议、工具及最佳实践

1.在AWS环境中，哪种安全组功能相当于虚拟防火墙？

A.安全组规则

B.NACL（网络访问控制列表）

C.子网路由表

D.VPCEndpoints

答案：A

解析：AWS安全组是虚拟防火墙，控制入站和出站流量，而NACL是子网级别的防火墙，应用于整个子网。

2.Kubernetes中，用于管理Pod间通信的默认网络策略是？

A.Service

B.Ingress

C.NetworkPolicy

D.Namespace

答案：C

解析：NetworkPolicy是Kubernetes原生的网络访问控制机制，限制Pod间的通信。Service和Ingress主要用于外部流量路由，Namespace是资源隔离单元。

3.以下哪种加密算法属于非对称加密？

A.AES

B.DES

C.RSA

D.Blowfish

答案：C

解析：RSA是非对称加密，公钥和私钥配合使用；AES、DES、Blowfish是对称加密。

4.AzureKeyVault中，哪种密钥保管模式最适合高频调用的API密钥？

A.Softdelete

B.Immutablekeys

C.HardwareSecurityModules(HSM)

D.Managedkeys

答案：B

解析：Immutablekeys防止意外删除，适合API密钥；Softdelete允许恢复误删；HSM提供硬件级保护；Managedkeys由Azure自动轮换。

5.在云环境中，以下哪种DDoS攻击类型主要通过大量合法流量淹没目标？

A.SYNFlood

B.UDPFlood

C.Slowloris

D.MemcachedAmplification

答案：D

解析：MemcachedAmplification利用Memcached服务放大流量，属于合法流量攻击；SYNFlood和UDPFlood是直接攻击；Slowloris是低频慢速攻击。

6.GCP中，用于集中管理身份和访问控制的云服务是？

A.CloudIAM

B.CloudDirectory

C.CloudSecurityCommandCenter

D.CloudIdentity-AwareProxy

答案：A

解析：CloudIAM是GCP的权限管理系统，控制资源访问；CloudDirectory是轻量级AD；SecurityCommandCenter是安全中心；Identity-AwareProxy是MFA增强代理。

7.在AWS中，哪种服务用于自动检测和响应安全威胁？

A.AWSWAF

B.AWSShield

C.AWSGuardDuty

D.AWSInspector

答案：C

解析：GuardDuty是威胁检测服务；WAF是Web防火墙；Shield是DDoS防护；Inspector是漏洞扫描工具。

8.云原生环境中，哪种容器运行时最注重安全隔离？

A.Docker

B.Podman

C.Kubernetes

D.CRI-O

答案：B

解析：Podman是容器运行时，默认无root权限，增强安全性；Docker需以root运行；Kubernetes是编排工具；CRI-O是K8s的容器运行时，但默认权限与Docker类似。

9.在Azure中，哪种服务可用于加密静态数据？

A.AzureStorageServiceEncryption(SSE)

B.AzureDiskEncryption

C.AzureKeyVault

D.AzureInformationProtection

答案：A

解析：SSE自动加密存储数据；DiskEncryption加密块存储；KeyVault管理密钥；InfoProtection是数据分类工具。

10.云环境中，哪种日志审计工具适用于多区域部署？

A.AWSCloudTrail

B.AzureMonitor

C.GCPAuditLogs

D.Alloftheabove

答案：D

解析：三者均支持多区域日志审计，需结合云配置实现全局监控。

二、多选题（共5题，每题3分）

考察方向：综合安全策略、合规性及攻防知识

1.在云环境中，以下哪些属于零信任架构的核心原则？

A.最小权限原则

B.持续验证

C.资源隔离

D.联邦认证

E.静态口令

答案：A、B、C、D

解析：零信任强调“从不信任，始终验证”，包括最