跳到主要内容

基础设施安全面试题目

基础设施是个很泛的概念,在不同公司这个方向的名称也不一样,有些叫做网络安全,有些则细分为办公安全与网络主机安全。此处基础设施定义为应用层以下的所有基础的安全工作,主要分为网络、系统、硬件。网络安全方向涉及的主要工作为网络区域隔离、DDoS/CC防御、网络访问控制、安全网关等。系统安全方向涉及的主要工作为基线加固、运行时防护、主机入侵防护、文件防护、数据库防护等。硬件安全方向涉及的主要工作为固件安全、芯片安全、加密计算、可信环境等。以及可能还有机房物理安全、办公物理安全等。

解决方案

零信任

什么是零信任?

定义的角度:对原有的信任最小化。 实现角度来看,微隔离、端的信任替换为网络区域的信任、双向mTLS认证。

零信任解决了什么问题?

在办公后台场景下,早先很多企业通过搭建办公网络和VPN,进入该网络后即可访问内部系统。后来又进一步缩小信任面,需要特定账号密码以及特定权限才可以访问。在生产网场景下,早先很多企业会在内部划分多个网络区域,并进行隔离,需要互相访问的机器通过增加IP白名单的ACL策略实现。 但随着云原生的到来,从单机房到混合云,从宿主机到容器,从应用到微服务。这边变化导致网络边界模糊、IP变化、身份。

零信任理念中,人/机器/源代码的信任链和信任根是什么?

人:多因子认证;机器:TPM+可信启动;源代码:可信构建;

如何理解身份2.0?

在基础设施层面,实现访问所有数据时,都能拿到访问上下文(什么场景、访问者、授权者、访问地点、访问方式等)。

持续访问控制在哪些实际应用场景中效果比较好?

管理后台:首次登录管理后台时需要双因子认证,后续一旦设备环境发现变化,即需要立刻再次双因子认证。 接口访问:生产网内的每一次接口调用,都需要对方携带身份,验证该身份是否有权限调用该接口。

网络与主机

  • ★★★★☆ DDoS/CC如何有效防御与应急?

提示:小型网站可考虑通过Service Worker机制,将静态资源储存在浏览器端;

  • ★★★★☆ 如何对网络区域进行划分?

  • ★★★☆☆ 经典网络与VPC的优劣势

  • ★★★☆☆ 主机最重要的基线是什么?

  • ★★★☆☆ 禁止出网的价值有哪些?

  • ★★★★☆ 云原生下的网络和主机差异是什么?会有哪些新的风险?

  • ★★☆☆☆ 如何实现反向HTTPS代理

  • ★★★☆☆ 如何通过技术手段避免非预期端口开放?

  • ★★★☆☆ 一个仅有一台服务器的网站,如何安全地解决登录SSH?

提示:(1)更改端口;(2)IP白名单、VPN中转;(3)TCP连接敲门;(4)TCP Over HTTP;(5)SSH Private IP;(6)Cloud SSH;

  • ★★★☆☆ 容器存在哪些特有安全风险?

  • ★★★☆☆ 运维白屏化的难点是什么?

  • ★★★☆☆ 不同语言对于系统CA证书的信任情况有何不同?如何让各语言信任系统CA证书?

提示:Java JDK自己维护CA证书,默认不使用系统CA证书,可通过keytool导入CA证书;Python下各包CA证书逻辑不一致,可通过设置系统环境变量CURL_CA_BUNDLE让所有包信任系统CA证书;nodejs默认不信任系统CA,可通过设置系统环境变量NODE_EXTRA_CA_CERTS让所有包信任系统CA证书;

  • ★★★☆☆ 简单描述有哪几种方式实现服务器截外联,各自利弊是什么?

  • ★★★☆☆ 如何实现在办公网区域无感访问国外互联网?

办公设备

  • ★★★★☆ 如何解决员工被钓鱼问题?

  • ★★★★☆ 如何解决员工通过电脑或手机外发公司敏感文件?

本章内容大纲