Ngày 24: Quiz Tổng Kết Tuần 4 — Cloud, Container & DevSecOps | Security

Một identity policy cho phép s3:GetObject trên arn:aws:s3:::data/*, nhưng SCP (Service Control Policy) của Organization có Deny cho s3:*. Khi user gọi s3:GetObject, kết quả là gì?

A.Allow — vì identity policy cho phép explicitB.Allow — vì resource-level policy cụ thể hơnC.Deny — vì Explicit Deny trong SCP luôn thắng AllowD.Tùy region, tùy điều kiện

Chọn nhiều đáp án

Pattern nào trong trust policy giúp giải quyết "confused deputy problem" khi cấp cross-account access cho third-party SaaS?

A.Thêm `Condition` với `aws:SourceVpc`B.Thêm `Condition` với `sts:ExternalId` (shared secret unique cho mỗi customer)C.Dùng `Principal: "*"` để tránh phụ thuộc account IDD.Bật MFA cho IAM user của SaaS

Bạn thấy policy sau gắn cho CI role. Vì sao nó nguy hiểm?

{ "Effect": "Allow", "NotAction": "iam:*", "Resource": "*" }

A.Vì `NotAction` không được hỗ trợB.Vì Effect Allow + NotAction cấp quyền cho mọi action ngoại trừ iam — khi AWS thêm service mới, role tự động có quyềnC.Vì `Resource: "*"` luôn bị rejectD.Vì IAM action nên được Allow, không phải NotAction

Vì sao container có security boundary yếu hơn VM về mặt nguyên lý?

A.Container không có firewallB.Container và host **dùng chung kernel**; escape namespace = chiếm host trực tiếpC.Container không support TLSD.Container không có process isolation

Dockerfile sau có vấn đề security gì?

FROM node:20
COPY .env /app/.env
COPY . /app
WORKDIR /app
CMD ["node", "server.js"]

A.Thiếu `EXPOSE` directiveB.Secret trong `.env` nằm trong layer image, ai pull cũng đọc được; ngoài ra mặc định chạy rootC.Phải dùng `apt-get` thay vì COPYD.Thiếu `HEALTHCHECK`

CVE-2019-5736 (runc escape) cho phép malicious container làm gì?

A.Đọc memory của container khácB.Ghi đè binary `runc` trên host → lần exec tiếp theo chạy code attacker với quyền root hostC.Bypass TLS certificate validationD.Vô hiệu hoá seccomp profile

PSP (Pod Security Policy) đã được thay thế trong K8s 1.25 bằng gì?

A.Network PolicyB.RBACC.Pod Security Standards (Privileged / Baseline / Restricted) + Pod Security AdmissionD.Admission Webhooks duy nhất

K8s Secret object lưu data dưới dạng nào và an toàn ở mức nào mặc định?

A.AES-256 encrypted — rất an toànB.Base64-encoded (không phải mã hoá); plain trong etcd nếu chưa cấu hình encryption-at-restC.Plain text — luôn không an toànD.Hash SHA-256 — không khôi phục được

NetworkPolicy default-deny trong namespace, nhưng pod vẫn gọi được pod khác. Nguyên nhân khả dĩ nhất?

A.Pod được chỉ định namespace khácB.CNI plugin (vd Flannel default) **không enforce** NetworkPolicyC.NetworkPolicy chỉ chặn ingress, không chặn egressD.Kernel version không support

Chọn nhiều đáp án

SAST và DAST khác nhau ở đâu?

A.SAST cho web, DAST cho mobileB.SAST scan source code (không chạy app), DAST scan app đang chạy qua HTTP requestC.SAST nhanh, DAST chậm — không khác về bản chấtD.SAST do dev chạy, DAST do QA chạy

Bạn vừa push commit có AWS access key vào public GitHub repo. Hành động đầu tiên đúng nhất?

A.Force-push để xoá commitB.Dùng `git filter-repo` rewrite historyC.**Revoke / rotate access key NGAY trên AWS console**, audit CloudTrailD.Cảnh báo team không pull

ZAP active scan khác baseline scan ở điểm gì và rủi ro nếu chạy nhầm môi trường?

A.Active scan nhanh hơn baselineB.Active scan gửi payload độc hại (SQLi, XSS) — có thể tạo dữ liệu rác, trigger DELETE, gây outage nếu chạy trên productionC.Active scan chỉ scan TLS, baseline scan toàn bộD.Active scan free, baseline scan paid

Theo NIST SP 800-61, thứ tự lifecycle incident response đúng là?

A.Detection → Eradication → Containment → Recovery → Lessons LearnedB.Preparation → Detection → Containment → Eradication → Recovery → Lessons LearnedC.Preparation → Containment → Detection → Eradication → Recovery → Lessons LearnedD.Detection → Containment → Eradication → Recovery (không có Preparation và Lessons Learned)

GDPR Article 33 yêu cầu controller notify Data Protection Authority trong bao lâu khi có data breach?

A.24 giờ kể từ khi xảy raB.72 giờ kể từ khi controller **aware** about breachC.30 ngàyD.Không bắt buộc nếu breach nhỏ

Khi điều tra incident trên EC2 nghi bị compromise, action đầu tiên đúng nhất để bảo vệ evidence?

A.SSH vào host, chạy `ps`, `netstat`, `ls -la /tmp` để xemB.Reboot host để clear malwareC.**Snapshot EBS volume + memory dump trước**, sau đó isolate host khỏi network, investigate trên snapshot copyD.Xoá host và launch lại từ AMI sạch ngay lập tức