云原生安全工程师考试题库与答题技巧.docxVIP

第PAGE页共NUMPAGES页

2026年云原生安全工程师考试题库与答题技巧

一、单选题（共10题，每题2分）

1.在云原生环境中，哪种容器运行时技术被认为是最轻量级的，且更适合在资源受限的环境中运行？

A.Docker

B.Podman

C.Kubernetes

D.LXC

2.以下哪项不是云原生安全工程师需要重点关注的安全领域？

A.容器镜像安全

B.微服务间通信加密

C.传统网络边界防护

D.服务网格（ServiceMesh）安全

3.在Kubernetes中，用于限制Pod资源使用上限的配置文件是？

A.`Deployment`

B.`Service`

C.`ResourceQuota`

D.`Namespace`

4.云原生环境中，哪种安全工具主要用于检测和预防容器镜像中的恶意代码？

A.WAF

B.SIEM

C.Clair

D.Nginx

5.在微服务架构中，服务网格（ServiceMesh）的核心作用是？

A.负责业务逻辑处理

B.提供服务间通信加密和流量管理

C.管理数据库连接

D.处理用户认证

6.云原生环境中，哪种安全策略可以有效防止跨容器privilegeescalation？

A.使用最低权限原则

B.部署入侵检测系统

C.配置网络防火墙

D.定期更新容器镜像

7.在Kubernetes中，用于管理Pod间通信的组件是？

A.APIServer

B.etcd

C.CoreDNS

D.kubelet

8.云原生安全工程师在评估云平台安全时，通常需要关注哪种合规性标准？

A.ISO27001

B.PCIDSS

C.HIPAA

D.GDPR

9.在云原生环境中，哪种工具主要用于检测微服务架构中的异常流量模式？

A.EDR

B.APM

C.Elasticsearch

D.Falco

10.在容器编排工具中，哪种技术可以自动隔离故障容器，防止影响整个Pod？

A.PodDisruptionBudget

B.LivenessProbe

C.ReadinessProbe

D.Service

二、多选题（共5题，每题3分）

1.以下哪些是云原生环境中常见的安全风险？

A.容器镜像供应链攻击

B.微服务间未加密通信

C.Kubernetes配置错误

D.传统堡垒机失效

2.在Kubernetes中，以下哪些组件属于核心控制平面？

A.APIServer

B.etcd

C.kubelet

D.scheduler

3.云原生安全工程师需要掌握哪些安全工具？

A.Trivy

B.kube-bench

C.Wireshark

D.Falco

4.在微服务架构中，以下哪些措施可以增强服务间通信安全？

A.使用mTLS加密通信

B.部署API网关

C.配置网络ACL

D.使用JWT进行身份验证

5.云原生环境中，以下哪些安全实践可以降低容器逃逸风险？

A.使用非root用户运行容器

B.定期扫描容器镜像漏洞

C.配置网络隔离

D.禁用不必要的服务和端口

三、判断题（共10题，每题1分）

1.Kubernetes中的RBAC（基于角色的访问控制）可以有效限制用户对资源的操作权限。

（√）

2.云原生环境中，所有容器都应该使用最新的操作系统版本，以降低安全风险。

（×）

3.在云原生环境中，网络防火墙可以完全替代其他安全防护措施。

（×）

4.服务网格（ServiceMesh）可以自动处理服务间的认证和授权。

（√）

5.容器镜像安全扫描工具如Trivy可以检测容器镜像中的已知漏洞。

（√）

6.云原生环境中，所有微服务都应该暴露在公网上，以便外部访问。

（×）

7.Kubernetes中的PodDisruptionBudget可以防止Pod意外被删除。

（×）

8.云原生安全工程师不需要关注传统网络安全知识。

（×）

9.在云原生环境中，所有通信都应该使用TLS加密，以防止中间人攻击。

（√）

10.云原生安全工程师需要具备Linux系统管理能力。

（√）

四、简答题（共5题，每题5分）

1.简述云原生环境中容器镜像安全的主要风险及应对措施。

答案：

-主要风险：

1.镜像中存在已知漏洞（如CVE）。

2.镜像被篡改，植入恶意代码。

3.镜像构建过程中引入后门。

-应对措施：

1.使用镜像扫描工具（如Trivy、Clair）定期扫描漏洞。

2.从可信仓库（如DockerHub、私有仓库）获取镜像。

3.使用多阶段构建减少镜像层数，降低攻击面。

2.解释Kubernetes中的RBAC机制及其作用。

答