基于多家头部互联网大厂安全架构师面试题的分析和整理,从技术实现(零信任、OWASP、STRIDE)、战略规划(多云架构、威胁建模)到组织协作(合规推演、跨团队影响)三大维度,梳理安全架构师的核心能力要求及常见面试问题。

职级划分

  • Associate Security Engineer

  • Security Engineer

  • Senior Security Engineer

  • Staff Security Engineer

  • Senior Staff Security Engineer

技术问题

  • DNS、HTTP、OWASP TOP 10

  • 基础编程能力

  • Code Review

  • 如何保障应用程序的安全?

  • AWS:如何保障多个云账户的安全?

  • CVE:最近有哪些新的 CVE,展开讲讲。

  • 什么是 ZTNA(零信任)?有哪些优点和缺点?

  • 什么是静态路由?

  • TLS 1.2 与 TLS 1.3 之间的区别?

  • AWS 中用于聚合监控的服务有哪些?

  • Session Cookie、非对称加密与对称加密、哈希与加盐的区别、在实现包含登录功能的 Web 应用时需要考虑哪些安全问题?

  • Windows 本地身份验证是如何发生的?

  • 描述 TLS 握手:无状态与有状态、防火墙与 WAF 的区别?

  • DNS

  • 如何将 EC2 实例开放到外网?

  • 如何更新 Docker 镜像?

  • 什么是云安全?

  • 常见的应用安全漏洞、OWASP TOP 10、特权访问管理、TLS 及其为何比 SSL 更安全、非对称/对称加密、如何保护 EC2 实例或服务器。

  • OAuth 2.0 的用途是什么?

  • 列出不同的 OAuth 授权类型,并举例说明使用场景。

  • 什么是彩虹表?

  • 提供一个多层架构图,并询问可能的漏洞和常见安全问题。

  • 关于云和混合云的洋葱型安全协议。

  • 什么是 CDN?

  • 什么是 DNS 解析?

  • Masking 与加密之间的区别及其使用场景?

  • 你知道 Glitch 攻击吗?

  • 描述 TLS 是如何工作的,什么是 PFS?

  • 如何看待 WAF?

  • 解释 XSS。

  • 说一下你曾经在设计或项目中犯过的错误,以及你是如何处理的。

  • ARP 欺骗、DNS 投毒、iptables、Linux。

  • 加密、哈希和 tokenization 的主要区别是什么?

  • LDAP

  • 如何绕过 CSRF 保护?

  • 当查看 PAN 数据时,如何在 hypervisor 隔离数据?

  • 有 SSO troubleshooting 的经验吗,是针对外部客户还是内部问题?

  • 如果你知道用来加密数据库中某一列的密钥,那么如何用这个密钥去解密另一列呢?

  • 解释 CA 基础设施的组成部分。

  • 如何查看 Linux 开放了哪些端口。

  • 列出两种主要的加密形式。

  • 静态和动态应用程序扫描的区别是什么?

  • IDS/IPS与防火墙之间的区别。

  • 如何做反爬?

  • 如何在 hypervisors 中做数据隔离?

  • 内存泄漏

  • 常见 HTTP Header 和状态码。

  • 如果你在企业网络环境中发现一台被感染的主机,你会怎么做?如何阻止它传播?(没有给出客户可能拥有的工具或设备的详细信息)

行为与影响力

  • 描述你与同事发生分歧的情形。

  • 讲一下你在项目中持有不受欢迎意见的时刻。

  • 你是否习惯在没有明确期望的情况下同时处理多个项目?

  • 举一个你曾处理过的困难客户的例子,问题是什么,你是如何处理的,结果如何?

  • 为什么你想离开当前的职位?

  • 在入职的前六个月你会推哪些安全项目?

  • 如何协调与非技术团队合作实施安全策略?

  • 你最近在读什么书?

  • 如何向一个没有技术背景的客户描述 OAuth 身份验证。

  • 你如何优化组织文化,使其更注重研发团队的安全设计实践?

  • 为什么你在工作中频繁跳槽?

  • 描述一个你曾面临过的困难情况,你是如何处理的?

  • 描述一个你发现配置不符合规定的时刻,以及你如何处理?

  • 描述你将如何引入一项新的安全合规政策。

  • 你有合规应审的经验吗?

  • 给我一个演示,假设你正在向 100 人做介绍新的安全策略。

  • 你用什么资源确保自己的知识和技能保持最新?

  • 在信息安全这个快速发展的领域,如何保持与行业趋势和最近研究同步的?

  • 讲一下你做过的富有创意的事情。

  • 你能在入职多长时间内独立开展工作?

  • 你用什么方法调试代码?

  • 说一下你最近的任务。

  • Principal Engineer 和 Sr Engineer 有什么区别?

  • 说一下你作为研发工程师的经验。

  • 你能写 Policy 吗?

  • 描述一下你如何影响利益相关者。

框架、设计与威胁建模

  • 你做过 ISO27001 方面的工作吗?

  • 什么是 IAM?

  • 构建 Security Reference Architecture 时需要考虑的主要点是什么?

  • 如何解决过时的业务带来收入但需要维护的问题?

  • 根据客户要求,你能提出一个推荐的安全架构(白板展示)吗?欢迎提出更多问题以发现更多需求。

  • 你在安全架构方面的经验如何,特别是云架构?

  • 你实施过哪些安全框架?

  • 描述你的威胁建模流程。

  • 解释零信任架构。

  • 你如何设计 Azure Sentinel 检测工程工作流程?

  • 如何确保在 Enhanced Security Administrative Environment 中保护本地 Active Directory?

  • 如何在 AWS 上实施你的安全架构?

  • 描述一个主导的复杂安全项目。

    • 1. 主要目标和关键绩效指标是什么?

    • 2. 是否遇到困难,如何克服的?

    • 3. 项目是否成功完成,如何验证?

  • 你会如何在大公司中确保一个多云环境的安全?

  • 如何为两个不同的公司连接两个 AWS 账户?

  • 描述零信任。

  • 什么是威胁建模,如何做威胁建模?

  • Well-Architected 框架

  • 开发安全基础设施时,最重要的考虑因素是什么?

  • 你有身份管理的经验吗?

  • 关于安全软件开发实践、系统设计、OWASP TOP 10、软件安全标准如 FIPS、NIST 等、威胁建模的问题。

  • 什么是 STRIDE 方法论?

  • 当允许合作伙伴或子公司访问数据库时,需要考虑哪些网络安全相关事项?

  • 你曾在客户需求下使用 MITRE 框架的时刻是什么?它如何帮助了组织?

  • 如何攻击移动网络?

  • 在 SDLC 中,如何确保 CI/CD 流水线的安全(需要一些 hands on 的案例和经验支撑)

  • 描述如何在 AWS 中设计一个三层架构。

  • 如何在敏捷环境中实施安全设计?

  • 这是一个白板,向我展示一个典型的三层应用架构及 DMZ。在每个点上,使用了哪些安全控制?

  • 解释一下你对 OSI 模型的理解。

  • 我们的竞争对手是谁,他们有哪些弱点?

  • 如何建立一个 SOC,你会用什么技术实现?

  • 你熟悉哪些身份认证产品?

  • 设计一个注重安全的企业网络实例。

  • 这是一个应用程序设计图。你会如何保护这个应用程序?

  • 如何确保数据库中的安全?

  • 如何确保服务器的安全?

  • PodSecurityPolicy

  • 如何保护 Kubernetes?

  • 如何在 Kubernetes 中隔离 PCI 数据?

  • 如何保护多个 AWS 账户?

  • 看这个图并告诉我们你有哪些安全观察。

以上内容编译自 GitHub

声明:本文来自RedTeam,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。