当前位置:
  1. 首页
  2. DevOps
  3. 正文

DevOps 面试题大全(九·下):DevSecOps 高级威胁与合规性 25 题

DevOps 0 0

前言

DevSecOps 面试题下篇(26-50 题),涵盖高级威胁防护、故障排查、最佳实践、合规性等企业级安全内容。

三、高级威胁防护题(26-35 题)

26. 容器逃逸防护

  • 禁用 privileged 容器
  • 限制 capabilities
  • 使用 seccomp 配置文件
  • AppArmor/SELinux 强制访问控制
  • 运行时监控(Falco)

27. 供应链攻击防护

  • 镜像签名(Notary/Cosign)
  • SBOM 软件物料清单
  • 依赖锁定(lock files)
  • 私有仓库代理
  • CI/CD 管道安全

28. 镜像签名验证

# Cosign 签名
cosign sign --key cosign.key myapp:latest

# 验证签名
cosign verify --key cosign.pub myapp:latest

# Kubernetes 集成(Sigstore)
admission controller 验证签名

29. 运行时安全监控

  • Falco - 行为检测
  • Sysdig - 系统调用监控
  • Aqua Security - 企业平台
  • Tetragon - eBPF 基础

30. Falco 规则示例

- rule: Shell Spawned in Container
  desc: Detect shell process in container
  condition: >
    container and
    spawned_process and
    proc.name in (bash, sh, zsh)
  output: "Shell spawned in container"
  priority: WARNING
  tags: [shell, container]

31. 秘密信息检测

  • Git Secrets - Git 钩子
  • Detect-secrets - Yelp 开发
  • Gitleaks - Git 扫描
  • TruffleHog - 历史扫描

32. 零信任架构

  • 身份验证所有请求
  • 最小权限访问
  • 微隔离网络
  • 持续验证
  • 加密所有通信

33. Service Mesh 安全

  • mTLS 服务间认证
  • 细粒度授权策略
  • 流量加密
  • 证书自动轮换

34. 多云安全策略

  • 统一身份管理
  • 集中式日志审计
  • 跨云网络策略
  • 一致的安全基线

35. 威胁建模方法

  • STRIDE - 微软方法
  • DREAD - 风险评估
  • PASTA - 七步流程
  • Attack Trees - 攻击树

四、故障排查题(36-42 题)

36. 权限拒绝问题

  1. 检查 RBAC 配置
  2. 验证 ServiceAccount
  3. 查看审计日志
  4. 测试最小权限

37. 证书过期处理

  • 监控证书有效期
  • 自动续期(cert-manager)
  • 紧急手动更新
  • 测试续期流程

38. 网络隔离问题

  • 检查 NetworkPolicy
  • 验证 DNS 解析
  • 测试连通性
  • 查看 CNI 插件日志

39. 镜像拉取失败

  • 验证 ImagePullSecrets
  • 检查仓库凭据
  • 测试网络访问
  • 查看镜像名称

40. 安全扫描误报

  • 验证漏洞是否存在
  • 更新扫描规则
  • 添加忽略规则
  • 升级到修复版本

41. 审计日志丢失

  • 检查日志后端
  • 验证存储配额
  • 查看收集器状态
  • 测试告警通知

42. 合规性检查失败

  • 识别不合规项
  • 制定修复计划
  • 自动化修复脚本
  • 持续监控

五、最佳实践题(43-47 题)

43. 安全 CI/CD 管道

  1. 代码提交 → SAST 扫描
  2. 依赖检查 → SCA 分析
  3. 构建 → 镜像扫描
  4. 部署 → 配置检查
  5. 运行 → 运行时监控

44. 密钥管理策略

  • 绝不硬编码
  • 使用 Vault 集中管理
  • 定期轮换
  • 最小权限访问
  • 审计使用情况

45. 镜像安全基线

  • 官方基础镜像
  • 最小化安装
  • 非 root 用户
  • 定期更新
  • 签名验证

46. 事件响应流程

  1. 检测 - 监控告警
  2. 分析 - 确定范围
  3. 遏制 - 隔离影响
  4. 消除 - 修复漏洞
  5. 恢复 - 恢复正常
  6. 总结 - 经验教训

47. 安全意识培训

  • 定期安全培训
  • 钓鱼演练
  • 安全编码规范
  • 事件分享会

六、合规性题(48-50 题)

48. GDPR 合规要求

  • 数据最小化
  • 用户同意管理
  • 数据访问权
  • 被遗忘权
  • 数据可携带

49. PCI-DSS 支付安全

  • 网络隔离
  • 加密传输
  • 访问控制
  • 定期测试
  • 监控审计

50. SOC2 审计标准

  • 安全性 - 保护系统
  • 可用性 - 系统可用
  • 处理完整性 - 准确完整
  • 保密性 - 保护机密
  • 隐私性 - 个人信息

总结

安全是 DevOps 不可分割的一部分,需要将安全实践自动化并融入整个软件交付生命周期。

学习路线建议

  1. 容器安全基础
  2. Kubernetes 安全配置
  3. CI/CD 安全集成
  4. 漏洞扫描工具
  5. 运行时保护
  6. 合规性要求
上一篇 DevOps 面试题大全(九·上):DevSecOps 安全实践 25 题详解
下一篇 DevOps 面试题大全(十·上):系统架构设计 25 题详解

相关文章

发表回复

后才能评论