2026年容器安全工程師考試題及解析一、單選題（共10題，每題2分）1.在Docker容器中，以下哪個命令用于查看容器的實時網(wǎng)絡流量？A.`dockertop`B.`dockerstats`C.`tcpdump`D.`dockernetworkinspect`2.Kubernetes中，用于限制容器資源使用上限的配置文件項是？A.`requests`B.`limits`C.`annotations`D.`labels`3.在CNCF（云原生計算基金會）的容器安全框架中，哪個組件主要負責鏡像簽名和驗證？A.CRI-OB.OpenPolicyAgent(OPA)C.ContainerdD.Notary4.以下哪種加密算法通常用于TLS證書的加密傳輸？A.RSAB.AESC.ECCD.DES5.在DockerSwarm模式下，用于管理節(jié)點間通信的組件是？A.SwarmAgentB.etcdC.ConsulD.Nginx6.以下哪個工具可以用于檢測Kubernetes集群中的潛在安全漏洞？A.HelmB.Kube-benchC.PrometheusD.Ansible7.在容器化應用中，以下哪種方法可以有效防止容器逃逸？A.使用特權(quán)模式B.限制容器網(wǎng)絡訪問C.提高容器內(nèi)存分配D.允許容器掛載主機文件系統(tǒng)8.在CNAPP（云原生應用保護平臺）中，哪個階段主要關注鏡像安全？A.部署階段B.運行階段C.構(gòu)建階段D.監(jiān)控階段9.以下哪種認證協(xié)議通常用于KubernetesAPI服務器的訪問控制？A.LDAPB.KerberosC.OAuth2.0D.SAML10.在容器安全中，"最小權(quán)限原則"指的是？A.容器應擁有最高權(quán)限B.容器應僅擁有完成任務所需的最低權(quán)限C.容器應與主機權(quán)限相同D.容器應避免使用權(quán)限二、多選題（共5題，每題3分）1.Kubernetes中，以下哪些組件屬于Pod的安全相關配置？A.SecurityContextB.ResourceLimitsC.VolumeMountsD.PodSecurityPolicies2.在容器鏡像安全中，以下哪些工具可以用于漏洞掃描？A.TrivyB.ClairC.AnchoreGrypeD.DockerScout3.以下哪些措施可以有效防止Docker容器中的未授權(quán)訪問？A.使用TLS加密通信B.限制用戶組權(quán)限C.啟用SELinuxD.禁用root用戶登錄4.在CNCF的容器安全框架中，以下哪些屬于鏡像安全的關鍵環(huán)節(jié)？A.鏡像簽名B.鏡像掃描C.鏡像分層優(yōu)化D.鏡像緩存管理5.在Kubernetes中，以下哪些機制可以用于增強API服務器的安全性？A.RBAC（基于角色的訪問控制）B.NetworkPoliciesC.mTLS（雙向TLS）D.AdmissionControllers三、判斷題（共10題，每題1分）1.容器逃逸是指容器突破隔離機制，訪問宿主機資源。（正確）2.在Docker中，使用`--network=host`選項可以提升容器網(wǎng)絡性能，但會降低安全性。（正確）3.Kubernetes的PodSecurityPolicies（PSP）已被PodSecurityAdmission（PSA）取代。（正確）4.TLS證書的過期時間越長，安全性越高。（錯誤）5.容器鏡像的層越多，安全性越高。（錯誤）6.在Swarm模式下，DockerSwarmManager負責管理所有節(jié)點的狀態(tài)。（正確）7.OPA（OpenPolicyAgent）可以用于Kubernetes的運行時策略控制。（正確）8.容器運行時（如Containerd）的安全性主要依賴于操作系統(tǒng)的安全機制。（正確）9.使用多租戶架構(gòu)的容器平臺，每個租戶應隔離其網(wǎng)絡和存儲資源。（正確）10.云原生應用保護平臺（CNAPP）可以完全替代傳統(tǒng)SIEM（安全信息和事件管理）系統(tǒng)。（錯誤）四、簡答題（共5題，每題4分）1.簡述Docker鏡像分層技術(shù)的優(yōu)缺點。答案：-優(yōu)點：-節(jié)省存儲空間（相同層只需存儲一次）。-提高鏡像構(gòu)建效率（緩存已存在的層）。-便于鏡像共享和分發(fā)（如DockerHub）。-缺點：-層過多可能導致鏡像體積過大（如未清理的緩存層）。-層邏輯復雜可能影響鏡像安全性（如不干凈的層包含惡意代碼）。2.簡述Kubernetes中RBAC的三個核心組件。答案：-Roles：定義權(quán)限集合（如允許創(chuàng)建Pod、讀取日志等）。-RolesBindings：將角色綁定到用戶或組。-ServiceAccounts：為Pod提供身份認證（通常與RBAC結(jié)合使用）。3.簡述SELinux在容器安全中的作用。答案：-通過強制訪問控制（MAC）限制容器對宿主機資源的訪問。-防止容器間或容器與宿主機間的未授權(quán)操作。-提高容器隔離性，減少攻擊面。4.簡述CNAPP的四個關鍵階段及其安全關注點。答案：-構(gòu)建階段：鏡像安全（漏洞掃描、簽名）。-部署階段：配置管理（自動化部署、版本控制）。-運行階段：實時監(jiān)控（異常檢測、日志分析）。-運維階段：持續(xù)改進（補丁管理、策略優(yōu)化）。5.簡述容器網(wǎng)絡攻擊的常見類型及防御措施。答案：-類型：-網(wǎng)絡嗅探（通過未加密的流量竊取敏感數(shù)據(jù)）。-網(wǎng)絡注入（如SQL注入、命令注入）。-DoS攻擊（如SYNFlood）。-防御措施：-使用mTLS加密通信。-配置NetworkPolicies限制跨Pod訪問。-啟用防火墻規(guī)則（如iptables）。五、案例分析題（共2題，每題8分）1.場景：某公司使用Kubernetes部署微服務，但發(fā)現(xiàn)存在以下問題：-部分Pod因權(quán)限過高被攻擊者利用，訪問了敏感文件。-鏡像構(gòu)建過程中未進行漏洞掃描，導致部署了存在CVE的鏡像。-網(wǎng)絡策略配置不完善，允許未授權(quán)的Pod間通信。問題：請?zhí)岢鲋辽偃N改進措施，并說明原因。答案：-改進措施：1.降低Pod權(quán)限：-通過`SecurityContext`設置`runAsUser`、`runAsGroup`，限制容器進程權(quán)限。-原因：減少攻擊者利用容器權(quán)限提升的風險。2.加強鏡像安全：-在鏡像構(gòu)建階段集成Trivy或Clair進行漏洞掃描。-對通過掃描的鏡像進行簽名（如Notary）。-原因：防止部署存在已知漏洞的鏡像。3.完善網(wǎng)絡策略：-使用`NetworkPolicies`限制Pod間通信，僅允許必要的訪問。-原因：減少橫向移動攻擊的機會。2.場景：某銀行使用DockerSwarm部署交易系統(tǒng)，但檢測到以下風險：-宿主機存在未授權(quán)的Docker用戶，可能被攻擊者利用。-鏡像層緩存未清理，包含敏感配置信息。-網(wǎng)絡通信未加密，交易數(shù)據(jù)可能被竊取。問題：請設計一套安全加固方案，并說明每項措施的作用。答案：-安全加固方案：1.強化Docker訪問控制：-禁用root用戶登錄DockerDaemon。-使用`useradd`創(chuàng)建專用Docker用戶，并限制其權(quán)限。-原因：防止未授權(quán)用戶通過宿主機訪問DockerAPI。2.清理鏡像緩存：-定期運行`dockersystemprune`清理無用鏡像和層。-在CI/CD流程中禁止緩存敏感配置。-原因：減少敏感信息泄露風險。3.加密網(wǎng)絡通信：-對Swarm節(jié)點間通信啟用mTLS。-對客戶端與容器間流量使用HTTPS或VPN。-原因：保護交易數(shù)據(jù)機密性。答案及解析一、單選題答案及解析1.B-`dockerstats`顯示容器的資源使用情況，包括網(wǎng)絡流量。-`dockertop`僅顯示進程信息。-`tcpdump`是抓包工具，需手動運行。-`dockernetworkinspect`查看網(wǎng)絡配置。2.B-`limits`定義容器資源上限（如CPU、內(nèi)存）。-`requests`定義資源請求量（用于調(diào)度）。-`annotations`和`labels`用于元數(shù)據(jù)管理。3.D-Notary用于鏡像簽名和驗證，防止篡改。-CRI-O是運行時；OPA是策略引擎；Consul是服務發(fā)現(xiàn)。4.A-RSA常用于TLS證書加密。-AES用于數(shù)據(jù)加密；ECC用于密鑰交換；DES已淘汰。5.A-SwarmAgent負責節(jié)點間通信和任務調(diào)度。-etcd是集群存儲；Consul是服務發(fā)現(xiàn)；Nginx是反向代理。6.B-Kube-bench基于CNCF基準，檢測Kubernetes安全配置。-Helm是包管理工具；Prometheus是監(jiān)控；Ansible是自動化工具。7.B-限制網(wǎng)絡訪問（如使用NetworkPolicies）可防止逃逸。-特權(quán)模式、高內(nèi)存分配、掛載主機文件系統(tǒng)都增加風險。8.C-構(gòu)建階段關注鏡像安全（漏洞掃描、簽名）。-部署、運行、監(jiān)控階段關注不同安全維度。9.C-OAuth2.0支持KubernetesAPI服務器認證。-LDAP、Kerberos、SAML較少用于此場景。10.B-最小權(quán)限原則指容器僅需完成任務所需權(quán)限。-其他選項與該原則不符。二、多選題答案及解析1.A、B、D-SecurityContext定義權(quán)限；ResourceLimits限制資源；-PodSecurityPolicies（PSP）已被廢棄，但仍有歷史場景使用。-VolumeMounts與安全無關。2.A、B、C-Trivy、Clair、Grype是主流漏洞掃描工具。-DockerScout僅用于鏡像優(yōu)化，非漏洞掃描。3.A、B、C-TLS加密、用戶組限制、SELinux可增強安全性。-禁用root用戶雖好，但非絕對必要。4.A、B-鏡像簽名和掃描是鏡像安全核心環(huán)節(jié)。-分層優(yōu)化和緩存管理非安全直接相關。5.A、C、D-RBAC控制訪問；mTLS加密；AdmissionControllers-NetworkPolicies屬于網(wǎng)絡隔離，非API安全。三、判斷題答案及解析1.正確-容器逃逸指容器突破隔離，訪問宿主機資源。2.正確-`--network=host`繞過容器網(wǎng)絡隔離，降低安全性。3.正確-Kubernetes已棄用PSP，改為PSA（運行時）。4.錯誤-過期時間越長，證書管理成本越高，但與安全無關。5.錯誤-層數(shù)越多，鏡像體積越大，可能引入更多漏洞。6.正確-SwarmManager協(xié)調(diào)節(jié)點狀態(tài)和任務分配。7.正確-OPA支持Kubernetes運行時策略動態(tài)執(zhí)行。8.正確-Containerd依賴Cgroups、Namespaces等OS安全機制。9.正確-多租戶需隔離網(wǎng)絡、存儲、權(quán)限。10.錯誤-CNAPP補充SIEM，非替代。四、簡答題答案及解析1.Docker鏡像分層技術(shù)優(yōu)缺點-優(yōu)點：節(jié)省存儲、提高效率、便于共享。-缺點：層過多影響安全（緩存污染）。2.KubernetesRBAC三核心組件-Roles：權(quán)限定義；RolesBindings：綁定用戶；-ServiceAccounts：Pod身份。3.SELinux在容器安全中的作用-通過MAC限制資源訪問，增強隔離性。4.CNAPP四階段及安全關注點-構(gòu)建階段：鏡像安全；部署階段：配置管理；-運行階段：實時監(jiān)控；運維階段：持續(xù)改進。5.容器網(wǎng)絡