云服务安全认证冲刺题.docxVIP

云服务安全认证冲刺题

考试时间：______分钟总分：______分姓名：______

一、选择题

1.在云环境中，IaaS层的安全责任主要在于哪个主体？

A.云服务提供商

B.使用IaaS的客户

C.两者共同承担，责任划分依据具体服务细节

D.第三方安全审计机构

2.以下哪项不是云安全共享责任模型中云服务提供商通常负责的安全领域？

A.硬件基础设施的物理安全

B.数据中心的网络边界安全防护

C.客户在云上部署的应用程序安全

D.运营云平台的底层虚拟化软件安全

3.当客户希望在SaaS应用中集成其内部系统，并希望用户通过其现有企业身份访问该SaaS应用时，通常推荐使用哪种协议？

A.OAuth2.0

B.OpenIDConnect

C.SAML2.0

D.Kerberos

4.在AWS中，用于管理账户级别访问权限、允许一个AWS账户信任另一个AWS账户并允许其代表执行操作的最主要机制是？

A.IAM角色

B.IAM用户

C.AccessKeyID

D.SecurityTokenService(STS)

5.对存储在云硬盘上的数据进行静态加密，以下哪种方式属于由客户完全控制加密密钥的选项？

A.AWSKMS(使用默认密钥)

B.AzureDiskEncryption(使用客户管理的密钥)

C.GCPCloudKMS(使用项目默认密钥)

D.以上都不是，因为这些服务都使用服务提供商管理的密钥

6.在设计VPC时，为了允许特定子网中的EC2实例访问Internet，同时对外隐藏实例IP地址，最常用的组合是？

A.NAT网关+公共子网

B.Internet网关+公共子网

C.NAT网关+私有子网

D.VPN网关+公有子网

7.以下哪项安全原则强调不应授予用户超出其完成工作所必需的最低权限？

A.纵深防御

B.最小权限

C.零信任

D.分离职责

8.用于保护Web应用程序免受常见的网络攻击（如SQL注入、跨站脚本攻击）的主要安全服务是？

A.Web应用防火墙(WAF)

B.入侵检测系统(IDS)

C.防火墙网关(FGW)

D.虚拟专用网络(VPN)

9.云服务提供商提供的CloudTrail、VPCFlowLogs等服务主要用于？

A.数据加密

B.安全监控和审计

C.用户身份管理

D.网络流量加速

10.当云环境中的安全事件发生时，哪个流程定义了应对安全事件的步骤和策略？

A.安全配置基线

B.漏洞管理流程

C.事件响应计划

D.合规性审查

11.在云环境中，以下哪项操作最容易导致安全漏洞，且常常被攻击者利用？

A.定期更新操作系统补丁

B.配置过于宽松的S3存储桶访问策略

C.为IAM用户启用MFA

D.定期进行安全扫描

12.零信任架构的核心思想是？

A.默认信任，需要验证

B.默认不信任，需要持续验证

C.仅信任内部网络

D.仅信任外部合作伙伴

13.对于需要长期存储且对保密性要求极高的敏感数据，除了加密外，以下哪项措施有助于增强其安全性？

A.定期访问日志审计

B.强制密码复杂度策略

C.启用数据丢失防护(DLP)

D.使用共享存储账户

14.在使用AWSKMS进行数据加密时，哪个组件负责生成、存储和管理加密密钥？

A.CloudFront

B.S3

C.KMS密钥保管库

D.EC2实例

15.为了确保云环境中的API调用安全，以下哪种方法可以用于身份验证和授权？

A.使用简单的用户名/密码进行基本认证

B.配置API网关并使用API密钥

C.在API请求中嵌入未加密的内部凭证

D.允许任何IP地址访问API

二、多选题

1.云安全共享责任模型中，云服务提供商通常承担的安全责任包括哪些？

A.保护基础设施免受物理威胁

B.管理底层虚拟化层的安全

C.保护数据传输过程中的机密性

D.确保客户部署的应用程序代码安全

2.IAM策略通常包含哪些关键元素？

A