Professional Cloud Security Engineer

231問 • 2年前

問題一覧

あなたのチームは、Compute EngineインスタンスがインターネットやGoogle APIやサービスにアクセスできないようにする必要があります。これらの要件を満たすために、どの2つの設定を無効にする必要がありますか？(2つ選んでください)

A. パブリックIP, C. グーグルのプライベートアクセス

VPCネットワーク上で定義される2つの暗黙のファイアウォールルールはどれですか？(2つ選んでください)

A . すべてのアウトバウンド接続を許可するルール, B. すべてのインバウンド接続を拒否するルール

ある顧客が、ソースコード管理（SCM）システムにプレーンテキストの秘密を保存する代わりに、別の方法を必要としています。 Google Cloud Platformを使って、どのようにこれを実現すべきでしょうか？

B. CMEK（Customer-Managed Encryption Key）で秘密を暗号化し、クラウド・ストレージに保管する。

オンプレミスのActive DirectoryサービスからGCPのIAM権限を一元管理したい。ADのグループメンバーシップで権限を管理したい。これらの要件を満たすために、チームは何をすべきでしょうか。

A. Cloud Directory Syncを設定してグループを同期し、グループにIAM権限を設定する。

セキュアなコンテナイメージを作成するとき、可能であれば、どの2つの項目をビルドに組み込むべきですか？(2つ選んでください)。

B. 1つのアプリをコンテナとしてパッケージ化する。, C. アプリに必要のない不要なツールを削除する。

ある顧客が、Google Cloud Platform (GCP)上で3層の社内Webアプリケーションを立ち上げる必要があります。この顧客の社内コンプライアンス要件では、トラフィックが特定の既知のCIDR(特定のIPアドレス範囲)から発信されていると思われる場合にのみ、エンドユーザーのアクセスが許可されることになっています。顧客は、アプリケーションがSYNフラッドDDoS防御しかできないリスクを受け入れています。GCPのネイティブSYNフラッド防御を使用したい。これらの要件を満たすには、どの製品を使用すべきでしょうか。

A. クラウドアーマー

ある企業が、専用サーバールームでワークロードを実行している。これらのワークロードには、社内のプライベートネットワークからのみアクセスできる必要があります。あなたは、Google Cloud Platformプロジェクト内のCompute Engineインスタンスからこれらのワークロードに接続する必要があります。要件を満たすためにどの2つのアプローチを取ることができますか？(2つ選んでください）。

A. クラウドVPNでプロジェクトを構成する。, C. クラウドインターコネクトでプロジェクトを構成する。

ある顧客が、Compute Engine上でホストされているERPシステムにCloud Identity-Aware Proxyを実装している。セキュリティチームは、ERPシステムがCloud Identity-Aware Proxyからのトラフィックのみを受け入れるように、セキュリティレイヤーを追加したいと考えています。 ERPシステムがCloud Identity-Aware Proxyからのトラフィックのみを受け入れるように、セキュリティレイヤーを追加したいと考えています。これらの要件を満たすために、顧客は何をすべきでしょうか。

A . ERP システムが HTTP 要求内の JWT アサーションを検証できることを確認します。

ある企業が、Compute Engine上でアプリケーションを実行している。このアプリケーションにバグがあり、悪意のあるユーザーがスクリプトを繰り返し実行し、その結果、Compute Engineのインスタンスがクラッシュしてしまいました。バグは修正されましたが、このハッキングが再発した場合に備えて通知を受け取りたいと考えています。どうすればよいでしょうか？

A . プロセスの正常性条件を使用してStackdriverでアラートポリシーを作成し、スクリプトの実行回数が目的のしきい値未満であることを確認します。通知を有効に。

あなたのチームは、SIEM ですべての開発クラウドプロジェクトの統一されたログビューを取得する必要があります。開発プロジェクトは、NONPROD 組織フォルダーの下に、テストプロジェクトとプリプロダクションプロジェクトと一緒にあります。開発プロジェクトは、ABC-BILLING 請求アカウントを他の組織と共有しています。要件を満たすために、どのロギングエクスポート戦略を使用する必要がありますか？

C. 1.各開発プロジェクトのログを専用のSIEMプロジェクトのCloud Pub/Subトピックにエクスポートする。2.SIEM をトピックにサブスクライブする。

ある顧客は、攻撃者がドメイン/IPをハイジャックし、中間者攻撃によってユーザーを悪意のあるサイトにリダイレクトするのを防ぐ必要があります。この顧客が使用すべきソリューションはどれか。

C. DNSセキュリティ拡張機能

顧客がアプリケーションを App Engine にデプロイし、Open Web Application Security Project (OWASP) の脆弱性をチェックする必要があります。そのためには、どのサービスを使用すべきでしょうか。

C. ウェブ・セキュリティ・スキャナ

ある顧客のデータサイエンスグループは、分析ワークロードにGoogle Cloud Platform（GCP）を使用したいと考えています。会社のポリシーでは、すべてのデータは会社所有でなければならず、すべてのユーザー認証は独自のSAML（Security Assertion Markup Language）2.0アイデンティティ・プロバイダ（IdP）を経由しなければなりません。そのインフラストラクチャオペレーションのシステムエンジニアは、顧客のクラウドアイデンティティをセットアップしようとして、顧客のドメインがすでに G Suite で使用されていることに気づきました。システムエンジニアにどのようにアドバイスすれば、混乱を最小限に抑えられるでしょうか。

D. 顧客企業の経営陣に、Googleマネージドサービスの他の用途を発見するよう依頼し、既存のスーパー管理者と協力する。

多国籍企業の事業部門が GCP にサインアップし、ワークロードを GCP に移行し始めました。この事業部門は、数百のプロジェクトを持つ組織リソースでCloud Identityドメインを作成します。あなたのチームはこのことに気付き、ドメインリソースの権限管理と監査を引き継ぎたいと考えています。この要件を満たすには、どのタイプのアクセスを付与すべきですか。

C. 組織の役割管理者

Compute Engineインスタンス上で実行されているアプリケーションが、Cloud Storageバケットからデータを読み取る必要があります。あなたのチームは、Cloud Storageバケットがグローバルに読み取り可能であることを許可しておらず、最小特権の原則を確保したいと考えています。あなたのチームの要件を満たすオプションはどれですか？

C. クラウドストレージバケットへの読み取り専用アクセス権を持つサービスアカウントを使用して、インスタンスメタデータから認証情報を取得します。

ある組織の典型的なネットワークとセキュリティのレビューは、アプリケーションのトランジット・ルート、リクエスト処理、ファイアウォール・ルールの分析で構成されている。開発チームは、このような完全なレビューのオーバーヘッドなしに新しいアプリケーションをデプロイできるようにしたいと考えています。あなたはこの組織にどのように助言すべきでしょうか？

B. インフラストラクチャ・アズ・コードの使用を義務付け、CI/CDパイプラインで静的解析を行い、ポリシーを実施する。

ある雇用主は、従業員の異常値を特定し、収入格差を是正するために、ボーナス報酬の経年変化を追跡したいと考えています。このタスクは、個人の機密性の高い報酬データを公開することなく実行する必要があり、異常値を特定するために可逆的でなければなりません。これを達成するために、どのクラウドデータ損失防止APIテクニックを使用すべきでしょうか？

D. CryptoReplaceFfxFpeConfig

ある組織がアプリケーションホスティングサービスに Google Cloud Platform（GCP）を採用し、Cloud Identity アカウントのパスワード要件を設定するためのガイダンスが必要です。 Identity アカウントのパスワード要件を設定するためのガイダンスが必要です。この組織には、企業の従業員のパスワードは最小文字数でなければならないというパスワードポリシーの要件がある。この組織は、新しい要件にどの Cloud Identity パスワードガイドラインを使用できますか。

A . パスワードの最小文字数を8文字に設定する。

エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化するには、Googleが推奨するプラクティスに従う必要がある。どうすればいいのでしょうか？

A . データ暗号化キー（DEK）をローカルで生成してデータを暗号化し、クラウドKMSで新しいキー暗号化キー（KEK）を生成してDEKを暗号化する。暗号化されたデータと暗号化されたDEKの両方を保存する。

GCPからオンプレミスのSIEMシステムにStackdriverのログを確実に配信するにはどうすればよいでしょうか？

C . 組織ログシンクを構成して、ログをクラウドPub/Subトピックにエクスポートし、Dataflow経由でSIEMに送信する。

PCI DSS 要件を満たすために、顧客はすべての送信トラフィックが許可されていることを確認したいと考えています。追加的な代償コントロールなしでこの要件を満たすクラウドオファリングはどれですか。(2つ選んでください。）

C. コンピュート・エンジン, D. Google Kubernetes Engineエンジン

あるウェブサイト制作会社は最近、すべての顧客サイトを App Engine に移行しました。一部のサイトはまだ進行中であり、どの場所からでも顧客と従業員のみが閲覧できるようにする必要があります。進行中のサイトへのアクセスを制限するソリューションはどれでしょうか?

C. クラウドIAP（Identity-Aware Proxy）を有効にし、顧客と従業員のユーザーアカウントを含むGoogleグループへのアクセスを許可する。

オンラインチャットを介してサポートセンターのエージェントと作業するとき、あなたの組織の顧客は、しばしば個人を特定できる情報（PII）を含むドキュメントの写真を共有します。あなたのリーダーシップチームは、この PII が通常のチャットログの一部として保存されていることを懸念しています。あなたは、データの有用性を維持しながら、この懸念を解決したいと考えています。どうすべきでしょうか？

C. DLP APIの画像検査と再編集アクションを使用して、分析用に保存する前に画像からPIIを再編集する。

ある会社のアプリケーションは、ユーザーが管理するサービス・アカウント・キーとともにデプロイされます。Googleが推奨するプラクティスを使用して、キーをローテーションしたいとします。どうすればよいでしょうか？

C. 新しいキーを作成し、アプリケーションで新しいキーを使用します。サービス・アカウントから古いキーを削除する。

あなたのチームは、ファイアウォールルール、サブネット、ルートなどのネットワークリソースを一元管理できるように、Google Cloud Platform（GCP）環境を設定する必要があります。また、オンプレミス環境では、リソースがプライベートVPN接続を通じてGCPリソースにアクセスする必要があります。ネットワーク・リソースは、ネットワーク・セキュリティ・チームが管理する必要があります。これらの要件を満たすために、あなたのチームはどのタイプのネットワーク設計を使用すべきでしょうか。

A. ホスト・プロジェクトとサービス・プロジェクトを持つ共有VPCネットワーク

ある組織が、現在のオンプレミス生産性ソフトウェアシステムから Google Workspace に移行しようとしている。以前のオンプレミスシステムでは、地域の規制機関によって義務付けられたネットワークセキュリティ管理が行われていた。同組織のリスクチームは、 Google Workspace でもネットワーク・セキュリティ管理が維持され、有効であることを確認したいと考えている。この移行をサポートするセキュリティ・アーキテクトは、組織と Google Cloud との間の新しい責任共有モデルの一部として、ネットワーク・セキュリティ管理が確実に実施されるようにすることを求められています。どのようなソリューションが要件を満たすのに役立つでしょうか。

C. ネットワーク・セキュリティは組み込みのソリューションであり、 Google Workspace のようなSaaS製品に対するグーグルのクラウド責任である。

顧客の会社には複数の事業部門がある。各事業部門は独立して運営されており、それぞれにエンジニアリング・グループがあります。あなたのチームは、社内で作成されたすべてのプロジェクトを可視化し、異なるビジネスユニットに基づいてGoogle Cloud Platform（GCP）プロジェクトを整理したいと考えています。また、各事業部門は別々のIAM権限セットを必要とします。これらのニーズを満たすには、どの戦略を使用すべきでしょうか。

A. 組織ノードを作成し、各ビジネスユニットのフォルダを割り当てます。

ある会社は、Google Cloud Platformの異なるリージョンに冗長化されたメールサーバーを持っており、場所に基づいて顧客を最も近いメールサーバーにルーティングしたいと考えています。どのようにすればよいでしょうか？

A. TCPプロキシ負荷分散を、ポート995をリッスンするグローバル負荷分散サービスとして構成する。

あなたのチームは、プロジェクトco-vpc-prodをホストプロジェクトとする共有VPCネットワークを設定します。あなたのチームは、ホストプロジェクトのファイアウォールルール、サブネット、およびVPNゲートウェイを設定しました。エンジニアリング・グループAが、10.1.1.0/24サブネットのみにCompute Engineインスタンスをアタッチできるようにする必要があります。この要件を満たすために、あなたのチームはエンジニアリンググループAに何を付与する必要がありますか？

B. サブネットレベルでのCompute Network User Role

ある企業がデータ/センター全体をGoogle Cloud Platformに移行した。異なる部署が管理する複数のプロジェクトで数千のインスタンスが稼働している。どの時点でGoogle Cloud Platformで何が実行されていたかの履歴記録を持ちたい。どうすればいいでしょうか？

B. Forseti Security を使用して、インベントリのスナップショットを自動化します。

ある組織が、インフラをオンプレミス環境からGoogle Cloud Platform（GCP）に移行し始めている。まず、現在のデータバックアップとディザスタリカバリソリューションをGCPに移行し、後で分析できるようにします。同組織の本番環境は、無期限でオンプレミスに維持される。組織は、スケーラブルでコスト効率の高いソリューションを求めています。どのGCPソリューションを使うべきか。

B. スケジュールタスクとgsutilを使用したクラウドストレージ

ユーザーの代わりにユーザーのGoogle Driveにアクセスする必要がある、社内のApp Engineアプリケーションを作成しています。あなたの会社は、現在のユーザーの認証情報に依存したくありません。また、Googleが推奨するプラクティスにも従いたいと考えています。どうすればよいでしょうか？

D. 新しいサービスアカウントを作成し、Google Workspace ドメイン全体に委任します。アプリケーションにこのアカウントを使用させ、ユーザーになりすます。

ある顧客が、マネージド・インスタンス・グループ(MIG)を使用して、センシティブなワークロードをCompute Engineベースのクラスタに移行したいと考えています。ジョブは大量に発生し、迅速に完了する必要があります。また、鍵のライフサイクルを管理できることが必要です。この顧客の要件を満たすために、クラスタ上でどのブートディスク暗号化ソリューションを使用すべきですか?

B. クラウド鍵管理サービス（KMS）を利用した顧客管理暗号鍵（CMEK）

貴社はSparkとHadoopのジョブにCloud Dataprocを使用しています。 Cloud Dataprocで使用される永続ディスクに使用される対称暗号化キーの作成、ローテート、破棄ができるようにしたい。キーはクラウドに保存できます。どうすればいいでしょうか？

B. クラウド鍵管理サービス（KMS）を使用して、鍵暗号化キー（KEK）を管理する。

あなたは、ある組織のセキュリティチームのメンバーです。あなたのチームには、Web アプリケーションやデータ処理システムとともに、クレジットカード決済処理システムを含む単一の GCP プロジェクトがあります。あなたは、PCI 監査基準の対象となるシステムの範囲を縮小したいと考えています。どうすればよいでしょうか。

C. カード会員データ環境を別の GCP プロジェクトに移動する。

ある小売業の顧客は、ユーザーがコメントや商品レビューをアップロードできるようにしています。この顧客は、コメントやレビューが公開される前に、テキストに機密データが含まれていないことを確認する必要があります。これを実現するには、どのGoogleクラウドサービスを使用する必要がありますか？

B. クラウドデータ損失防止API

ある会社では、全従業員がGoogle Cloud Platformを利用できる。各部署にはGoogleグループがあり、すべての部署メンバーがグループメンバーになっています。ある部署のメンバーが新しいプロジェクトを作成した場合、その部署のメンバー全員が自動的にすべての新しいプロジェクトリソースへの読み取り専用アクセス権を持つ必要があります。他の部署のメンバーはプロジェクトにアクセスできません。この動作を設定する必要があります。これらの要件を満たすにはどうすればよいですか?

A . 組織の下に部署ごとにフォルダを作成します。各部門のフォルダに対して、その部門に関連するGoogleグループにプロジェクトビューアーロールを割り当てます。

ある顧客の社内セキュリティ・チームが、クラウド・ストレージ上のデータを暗号化するための独自の暗号鍵を管理する必要があり、顧客提供の暗号鍵（CSEK）を使用することを決定した。チームはこのタスクをどのように完了すべきか。

B. gsutilコマンドラインツールを使ってオブジェクトをクラウドストレージにアップロードし、暗号化キーの場所を指定する。

ある顧客には 300 人のエンジニアがいる。同社は、開発環境プロジェクトと本番環境プロジェクトで、異なるレベルのアクセス権を付与し、ユーザー間のIAM権限を効率的に管理したいと考えています。これらの要件を満たすために、同社が取るべき2つの手順はどれですか？(2つ選んでください)。

B. 開発環境と本番環境ごとにフォルダを作成する。, C. エンジニアリングチーム用のGoogleグループを作成し、フォルダレベルで権限を割り当てる。

組織の Google Cloud インスタンスの PCI コンプライアンスを評価したい。 Google 固有のコントロールを特定する必要があります。情報を見つけるには、どのドキュメントを確認する必要がありますか？

A. Google Cloud Platform：顧客責任マトリックス

貴社は、Google Cloud Platform上に個人情報を保存するウェブサイトを運営しています。データプライバシー規制を遵守するため、このデータは特定の期間のみ保存することができ、特定の期間が経過したら完全に削除する必要があります。まだその期間に達していないデータは削除されるべきではありません。この規制を遵守するためのプロセスを自動化したいと考えています。どうすればよいでしょうか？

C. データを1つのCloud Storageバケットに保存し、バケットのTime to Liveを設定します。

あるDevOpsチームは、Google Kubernetes Engine上で実行する新しいコンテナを作成する。アプリケーションはインターネットに接続されるため、コンテナの攻撃対象領域を最小限に抑えたい。どうすればいいのだろうか？

B. 小さなベースイメージを使って小さなコンテナを作る

組織のインフラをGCPに移行する際、多数のユーザーがGCP Consoleにアクセスする必要があります。アイデンティティ管理チームは、ユーザーを管理する方法をすでに確立しており、既存のActive DirectoryまたはLDAPサーバーと既存のSSOパスワードを引き続き使用したいと考えています。どうすればよいでしょうか。

B. Google Cloud Directory Syncを使用して、Googleドメインのデータを既存のActive DirectoryまたはLDAPサーバーと同期させます。

あなたの会社では GSuite を使用しており、Google App Engine 上で社内向けのアプリケーションを開発しています。従業員のパスワードが漏洩した場合でも、外部ユーザーがアプリケーションにアクセスできないようにする必要があります。どうすればよいでしょうか？

B . App EngineアプリケーションのCloud Identity-Aware Proxyを構成する。

ある大手金融機関は、ビッグデータ分析をGoogle Cloud Platformに移行しようとしている。 BigQueryに静止状態で保存されているデータの暗号化プロセスを最大限に制御したいと考えています。金融機関はどのような技術を使用すべきでしょうか？

C. 顧客管理暗号鍵（CMEK）

ある企業がGoogle Cloud Platform上にアプリケーションをデプロイしている。会社のポリシーでは、少なくとも2つの地理的な場所にデータを自動的に複製できるソリューションを使用して長期データを保存する必要があります。どのストレージソリューションの使用が許可されていますか？

A. クラウド・ビッグテーブル

ある大手電子小売企業が、自社のeコマース・ウェブサイトをGoogle Cloud Platformに移行しようとしている。同社は、顧客がオンラインでチェックアウトする際に、顧客のブラウザとGCPの間で決済情報が暗号化されるようにしたいと考えています。どうすればよいでしょうか？

A. L7 ロードバランサーに SSL 証明書を設定し、暗号化を要求する。

アプリケーションのビルド時や実行時に、機密データの小片である「シークレット」へのアクセスが必要になることがよくあります。 GCP上でこれらのシークレットを管理する管理者は、GCPプロジェクト内で「誰が、いつ、どこで、何をしたか」を追跡したいと考えています。この管理者が求めている情報を提供するログストリームはどれか。(2つ選んでください)。

A. 管理者のアクティビティログ, C. データアクセスログ

あなたは、現在の保守契約が切れる前に、会社のデータセンターからGCPにレガシー・アプリケーションを移行する担当者です。アプリケーションがどのポートを使用しているのかわからず、確認できるドキュメントもありません。環境を危険にさらすことなく移行を完了したい。どうすればよいでしょうか。

A . Lift & Shift アプローチを使用して、アプリケーションを分離されたプロジェクトに移行する。VPCファイアウォールルールを使用して、すべての内部TCPトラフィックを有効にする。VPC フローのログを使用して、アプリケーションが適切に動作するために許可されるべきトラフィックを特定する。

あなたの会社はCompute Engine上にアプリケーションをデプロイしました。このアプリケーションには、クライアントからポート587でアクセスできます。アプリケーションを実行している異なるインスタンス間で負荷分散する必要があります。接続はTLSを使ってセキュアにし、ロードバランサーで終了させる必要があります。どのようなロードバランシングを使うべきでしょうか？

D. SSLプロキシのロードバランシング

ブートディスクのソースとして使用できるイメージを制限したい。これらのイメージは専用のプロジェクトに保存されます。どうすればいいでしょうか？

A . 組織ポリシーサービスを使用して、組織レベルでcompute.trustedimageProjects制約を作成します。許可操作のホワイトリストとして、信頼されたプロジェクトをリストする。

あなたのチームは、ユーザーが組織内でプロジェクトを作成できないようにする必要があります。 DevOpsチームだけが、要求者に代わってプロジェクトを作成できるようにする必要があります。この要求を処理するために、あなたのチームはどの2つのタスクを実行する必要がありますか？(2つ選んでください)。

A. 組織レベルで、すべてのユーザーをProject Creatorロールから削除する。, D. 組織レベルで、指定されたユーザーグループをProject Creatorロールに追加する。

ある顧客が、クラウドコンピューティングの弾力的な性質を利用するアプリケーションをCompute Engine上にデプロイしました。インフラストラクチャオペレーションエンジニアと協力して、Windows Compute EngineのVMが最新のOSパッチをすべて適用していることを確認するには、どのようにすればよいでしょうか？

A . パッチが利用可能になったら新しいベースイメージをビルドし、CI/CDパイプラインを使用してVMを再構築し、インクリメンタルにデプロイする。

あなたのチームは、バックエンドのデータベースがフロントエンドのアプリケーションからのみアクセスでき、ネットワーク上の他のインスタンスからはアクセスできないようにする必要があります。あなたのチームはこのネットワークをどのように設計すべきでしょうか？

A . ファイアウォールタグを使用して、アプリケーションからデータベースへのアクセスのみを許可するイングレスファイアウォールルールを作成します。

ある組織でフィッシングメールの受信数が増加しています。このような状況で従業員の認証情報を保護するために使用すべき方法はどれか。

A. 多要素認証

ある顧客が他社と共同でCompute Engine上にアプリケーションを構築している。顧客は自社のGCP組織でアプリケーション層を構築し、他社は別のGCP組織でストレージ層を構築しています。組織でアプリケーション層を構築し、もう一方の会社は別のGCP組織でストレージ層を構築しています。これは3層のWebアプリケーションです。アプリケーションの各部分間の通信は、どのような手段を使っても公共のインターネットを横断してはなりません。どの接続オプションを実装すべきでしょうか。

A. VPCピアリング

あなたのチームは、本番プロジェクトで稼働しているCompute EngineインスタンスがパブリックIPアドレスを持っていないことを確認したいと考えています。フロントエンドアプリケーションのComputeインスタンスはパブリックIPを必要とします。製品エンジニアは、リソースを変更するエディターロールを持っています。あなたのチームは、この要件を実施したいと考えています。あなたのチームはどのようにこれらの要件を満たすべきですか?

C . フロントエンドのCompute EngineインスタンスのパブリックIPのみを許可する組織ポリシーを設定します。

2つのVPCネットワークを接続するためにVPCピアリングを使用することに関連する2つのセキュリティ特性はどれですか？(2つ選んでください）

B. 非遷移的ピアリングネットワーク：直接ピアリングされたネットワークだけが通信できる, C. Google Cloudの異なる組織に属するネットワークのピア機能

脆弱性に対するパッチがリリースされ、DevOpsチームはGoogle Kubernetes Engine（GKE）で実行中のコンテナをアップデートする必要がある。 DevOpsチームはどのようにこれを達成すべきでしょうか？

C. アプリケーションコードを更新するかパッチを適用して、新しいイメージを構築し、再デプロイする。

ある企業がGoogle Kubernetes Engine上でウェブショップを運営しており、BigQueryで顧客トランザクションを分析したいと考えています。クレジットカード番号がBigQueryに保存されないようにする必要があります。どうすればよいでしょうか？

B. クラウドデータ損失防止APIを使用して、データがBigQueryに取り込まれる前に関連するinfoTypeを再編集する。

ある顧客が、Compute Engine上に多数の3層のWebアプリケーションをデプロイしたいと考えています。顧客は、アプリケーションの異なる層間の認証されたネットワーク分離をどのように確保すべきでしょうか?

B. 各階層を異なるサービスアカウント（SA）で実行し、SAベースのファイアウォールルールを使用する。

あるマネージャが、コストを最小限に抑えながら、セキュリティ・イベント・ログを2年間保持し始めたいと考えている。あなたは、適切なログエントリを選択するフィルタを作成します。ログをどこにエクスポートしますか。

B. クラウド・ストレージ・バケット

コンプライアンス上の理由から、組織はスコープ内のPCI Kubernetesポッドがスコープ内のノードにのみ存在するようにする必要があります。これらのノードにはPodのみが含まれます。組織はどのようにこの目的を達成すべきでしょうか？

C. ポッド構成で、ラベルinscope: true、エフェクトNoSchedule、トレランスを一致させたテイントをノードに配置する。

貴社のメッセージングアプリがFIPS 140-2に準拠するために、GCPのコンピュートおよびネットワークサービスを使用することが決定されました。メッセージングアプリのアーキテクチャには、Compute Engineインスタンスのクラスタを制御するManaged Instance Group（MIG）が含まれています。インスタンスは、データのキャッシングにローカルSSDを使用し、インスタンス間の通信にはUDPを使用します。アプリ開発チームは、標準に準拠するために必要な変更を行うことを望んでいます。要件を満たすために、どのオプションを推奨しますか？

A. BoringCryptoモジュールを使用して、すべてのキャッシュ・ストレージとVM間通信を暗号化する。

ある顧客が、インターネットへのアクセスを制限する必要がある分析ワークロードをCompute Engine上で実行しています。あなたのチームは、インターネットへのすべてのトラフィックを拒否（優先度1000）するためのイグレスファイアウォールルールを作成しました。 Compute Engineインスタンスは、セキュリティアップデートを取得するためにパブリックリポジトリにアクセスする必要があります。あなたのチームは何をすべきですか？

B. リポジトリのCIDR範囲へのトラフィックを優先度1000未満で許可するイグレスファイアウォールルールを作成

Compute Engineのディスク上のデータは、クラウド鍵管理サービス（KMS）が管理する鍵で静止時に暗号化する必要があります。クラウドのアイデンティティとアクセス管理(IAM)のパーミッションは、グループ化された方法で管理する必要があります。どうすればよいだろうか。

B . すべての永続ディスクとこのKeyRing内のすべてのKeyについて、単一のKeyRingを作成する。KeyRingレベルでIAMパーミッションを管理する。

ある企業は、アナリストと管理者の両方が共有するクラウドストレージのバケットに、アプリケーションのログをバックアップしている。アナリストは、個人を特定できる情報（PII）を含まないログにのみアクセスできるようにする。PIIを含むログファイルは、管理者のみがアクセスできる別のバケットに保存する必要があります。あなたは何をすべきでしょうか？

A . Cloud Pub/SubとCloud Functionsを使用して、共有バケットにファイルがアップロードされるたびにData Loss Preventionスキャンをトリガーする。スキャンでPIIが検出された場合、管理者のみがアクセス可能なクラウドストレージバケットに移動させる。

ある顧客がエンジニアを解雇し、そのエンジニアの Google アカウントが自動的にデプロビジョニングされるようにする必要があります。顧客はどうすればよいでしょうか？

C . Cloud Identity からユーザをプロビジョニングおよびデプロビジョニングするために、ディレクトリサービスと Cloud Directory Sync を構成する。

ある組織が、特定のITワークロードにGoogle Cloud Platform（GCP）を使用することを評価している。ユーザー・アイデンティティの管理とライフサイクル管理には、確立されたディレクトリ・サービスが使用されています。このディレクトリサービスは、組織がアイデンティティの「真実のソース」ディレクトリとして使用し続ける必要があります。組織の要件を満たすソリューションはどれか。

A. Google Cloud Directory Sync (GCDS)

クラウドサービスの提供と利用に適用される情報セキュリティ管理に関するガイドラインを定めた国際的なコンプライアンス基準はどれか。

C. ISO 27017

プロジェクト内のCompute Engineインスタンスを一覧できるように、新しいService Accountを作成する。Googleが推奨するプラクティスに従ってください。どうすればいいでしょうか？

B. 権限compute.instances.listを持つカスタムロールを作成し、サービスアカウントにこのロールを付与する。

IaaS のセキュリティ責任共有モデルでは、顧客はスタックのどの 2 つのレイヤーの責任を共有するか。(2つ選んでください。）

B. ネットワーク・セキュリティ, D. アクセス・ポリシー

ある企業が、インフラをオンプレミス環境からGoogle Cloud Platform（GCP）に移行し始めている。この組織が最初に取りかかりたいのは、継続的なデータバックアップとディザスタリカバリソリューションをGCPに移行することです。オンプレミスの本番環境は、GCPへの移行の次の段階となる。オンプレミス環境とGCPの間の安定したネットワーク接続も実装されます。組織はどのGCPソリューションを使用すべきでしょうか。

B. スケジュールタスクとgsutilを使用したクラウドストレージ（クラウドインターコネクト経由）

エンベロープ暗号化を使ってデータを暗号化する手順は？

A. ✑ ローカルでデータ暗号化キー(DEK)を生成する。 ✑ キー暗号化キー(KEK)を使用してDEKをラップする。 ✑ KEKでデータを暗号化する。 ✑ 暗号化されたデータとラップされたKEKを保存する。

ある顧客は、Google Cloud Platform (GCP)上でホストされているCRMのWebインターフェースに、モバイル従業員がアクセスできるようにしたいと考えています。このCRMには、企業ネットワーク上の人しかアクセスできません。顧客はインターネット経由で利用できるようにしたいと考えています。あなたのチームは、アプリケーションの前に二要素認証をサポートする認証レイヤーを必要としています。これらの要件を満たすために、顧客はどのGCP製品を導入すべきでしょうか？

A. クラウド・アイデンティティ・アウェア・プロキシ

貴社は機密データをクラウドストレージに保存している。オンプレミスで生成したキーを暗号化処理に使用したい。どうすればいいでしょうか？

C. データ暗号化キー（DEK）を管理するために、顧客が提供する暗号化キーを使用する。

先週、ある企業がBigQueryにログを書き込む新しいApp Engineアプリケーションをデプロイした。プロジェクトでは他のワークロードは実行されていません。 BigQueryに書き込まれたすべてのデータが、App Engineデフォルトサービスアカウントを使用して行われたことを検証する必要があります。あなたは何をすべきですか？

A. 1.クラウドロギングを使用し、BigQueryの挿入ジョブをフィルタリングする。 2.認証フィールドのApp Engine Default Service Accountに沿ったメールアドレスをクリックします。 3.Hide Matching Entries］をクリックします。4.表示されるリストが空であることを確認します。

あなたのチームは、組織レベルで管理者権限を持つユーザーを制限したいと考えています。あなたのチームはどの2つの役割を制限すべきですか？(2つ選んでください)。

A. 組織管理者, B. スーパー・アドミン

ある組織のセキュリティとリスク管理チームは、Google Cloudで実行している特定の本番ワークロードの責任の所在と、Googleの責任の所在について懸念している。 Google Cloudで実行している特定の本番ワークロードについて、自分たちの責任はどこにあるのか、そしてGoogleの責任はどこにあるのかを懸念しています。このような企業の多くは、Google CloudのPaaS（Platform-as-a-Service）を利用してワークロードを実行しています。主に App Engine です。 App Engineを使用する場合、テクノロジースタックのどの領域に主な責任を負うべきでしょうか？

B. XSSおよびSQLi攻撃に対する防御質問

あるエンジニアリングチームが、インターネット上で公開されるWebアプリケーションを立ち上げようとしています。Webアプリケーションは複数のGCPリージョンでホストされ、URLリクエストに基づいてそれぞれのバックエンドに誘導されます。あなたのチームは、アプリケーションをインターネット上に直接公開することを避け、悪意のある特定のIPアドレスリストからのトラフィックを拒否したいと考えています。これらの要件を満たすために、チームはどのソリューションを実装すべきでしょうか。

A. クラウド・アーマー

ある顧客がGoogle Cloud Platform（GCP）上で分析ワークロードを実行しており、Compute EngineインスタンスがCloud Storageに保存されたデータにアクセスしています。あなたのチームは、このワークロードがインターネットにアクセスしたり、インターネットからアクセスされたりしないようにしたいと考えています。これらの要件を満たすために、チームはどの2つの戦略を使用すべきですか？(2つ選んでください)。

A . コンピュートエンジンのサブネットにプライベートGoogleアクセスを設定する, B. Compute EngineクラスタにパブリックIPアドレスを割り当てない。

ある顧客が、VM上でバッチ処理システムを実行し、出力ファイルをクラウドストレージのバケットに保存したいと考えている。ネットワーキング・チームとセキュリティ・チームは、VMがパブリック・インターネットにアクセスすることを禁じている。どうすればよいでしょうか？

C. Googleのプライベートアクセスを有効にする

クラウドデータ損失防止（Cloud DLP）APIの導入が社内で進むにつれ、コスト削減のために利用を最適化する必要があります。Cloud DLPの対象データはCloud StorageとBigQueryに保存されます。場所と地域はリソース名の接尾辞として識別されます。どのコスト削減オプションを推奨しますか？

C. rowsLimitとbytesLimitPerFileを使用してデータをサンプリングし、CloudStorageRegexFileSetを使用してスキャンを制限します。

あなたのチームは、指定されたCompute Engine仮想マシンインスタンスから指定されたCloud Storageバケットへのデータ転送を認証するためにサービスアカウントを使用しています。エンジニアが誤ってサービスアカウントを削除してしまい、アプリケーションの機能が壊れてしまいました。セキュリティを損なうことなく、アプリケーションをできるだけ早く復旧させたいと考えています。どうすればよいでしょうか？

B. 削除されたサービスアカウントを復元するには、undeleteコマンドを使用します。

あなたは会社のセキュリティ管理者です。Cloud IAMのLDAPディレクトリからメールアドレスを持つすべてのセキュリティグループを同期したい。どうすればいいですか？

A . Google Cloud Directory Syncを設定し、一方向同期を促進するために、「ユーザーメールアドレス」を属性として持つLDAP検索ルールを使用してセキュリティグループを同期する。

あなたはセキュリティチームの一員で、漏洩したサービスアカウントの鍵を調査しています。あなたは、どの新しいリソースがサービスアカウントによって作成されたかを監査する必要があります。あなたは何をすべきですか？

B. 管理者の活動ログを照会するもの

フロントエンドがサブネットAのマネージドインスタンスグループにデプロイされ、データレイヤーが同じVPC上のサブネットBにあるmysql Compute Engine仮想マシン（VM）に保存されているアプリケーションがあります。サブネットAとサブネットBには、他にもいくつかのCompute Engine VMがあります。アプリケーションのフロントエンドだけがポート3306でアプリケーションのmysqlインスタンスのデータにアクセスできるようにしたい。どうすればいいでしょうか？

B . ポート3306で、フロントエンドの固有のサービスアカウントからmysql Compute Engine VMの固有のサービスアカウントへの通信を許可するイングレスファイアウォールルールを構成する。

あなたの会社は、現在us-central-1のGoogle Cloudロードバランサーの後ろにデプロイされているアプリケーションインスタンスグループを運用しています。標準 Tier ネットワークを使用するように構成されています。インフラチームは、2つ目の Google Cloud リージョンである us-east-2 に拡張したいと考えています。両方のリージョンのインスタンスグループに新しいリクエストを配布するために、単一の外部IPアドレスを設定する必要があります。あなたは何をすべきですか？

B. ロードバランサーのフロントエンドの設定をプレミアム層のネットワークを使うように変更し、新しいインスタンスグループを追加する。

あなたは会社のセキュリティ管理者です。クラウドストレージのバケットに3,000のオブジェクトがあります。あなたは各オブジェクトへのアクセスを個別に管理したくありません。また、オブジェクトのアップロード者が常にオブジェクトを完全にコントロールできるようにしたくありません。しかし、クラウド監査ログを使ってバケットへのアクセスを管理したい。どうすればいいでしょうか？

D . クラウドストレージバケットにバケットレベルの統一アクセスを設定し、IAMを使用してユーザーのアクセスを管理します。

あなたは会社のセキュリティ管理者です。開発チームは、「implementation」フォルダの下に複数のGCPプロジェクトを作成し、開発、ステージング、本番の各ワークロードに使用しています。あなたは、セキュリティ境界を設定することで、悪意のある内部関係者や侵害されたコードによるデータの流出を防ぎたいと考えています。しかし、プロジェクト間の通信は制限したくありません。どうすればよいでしょうか？

C. infrastructure-as-codeソフトウェアツールを使って、単一のサービス境界をセットアップし、StackdriverとCloud Pub/Sub経由で「implementation」フォルダを監視するCloud Functionをデプロイする。このファンクションは、新しいプロジェクトがフォルダに追加されたことに気づくと、Terraformを実行して新しいプロジェクトを関連する境界に追加する。

GCPリソースへの直接アクセスが必要な開発者や運用スタッフそれぞれに、Google Cloudの企業ユーザーアカウントを提供する必要があります。企業ポリシーでは、サードパーティのID管理プロバイダでユーザーIDを管理し、シングルサインオンを活用する必要があります。また、Googleが推奨するプラクティスに従って、管理対象外の既存ユーザーを管理対象アカウントに変更する必要があります。あなたが取るべき2つのアクションはどれですか？(2つ選んでください)

A . Google Cloud Directory Sync を使用して、ローカルの ID 管理システムを Cloud Identity に同期する。, D . TTUU（Transfer Tool for Unmanaged Users）を使用して、競合するアカウントを持つユーザーを見つけ、個人のGoogleアカウントを移行するよう依頼します。

あなたは会社の開発チームに所属しています。あなたは、GKE 上のステージングでホストされているウェブ・アプリケーションが、入力されたデータを最初に適切に検証することなく、ウェブ・ページにユーザ・データを動的に取り込んでいることに気づきました。このため、攻撃者は実運用環境において、被害者ユーザのブラウザでちんぷんかんぷんなコマンドを実行したり、任意のコンテンツを表示したりできる可能性があります。この脆弱性をどのように防ぎ、修正すべきでしょうか？

D. Web Security Scannerをステージングで使用し、XSSインジェクション攻撃をシミュレートする。

あなたはセキュリティチームの一員で、プロジェクトAのクラウドストレージバケットがプロジェクトBからしか読み取れないようにしたい。また、ユーザーが正しい認証情報を持っていても、クラウドストレージバケット内のデータにネットワーク外のクラウドストレージバケットからアクセスしたり、クラウドストレージバケットにコピーしたりできないようにしたい。どうすればよいでしょうか？

A. VPCサービスコントロールを有効にし、プロジェクトAとBで境界を作成し、クラウドストレージサービスを含める。

BigQueryの機密性の高いデータを保護する責任があります。業務チームはこのデータにアクセスする必要がありますが、プライバシー規制を考慮し、メールアドレスや名前などの機密フィールドを読み取れないようにしたいとします。これらの特定の機密フィールドは、人事チームのみが知る必要がある場合にのみ利用できるようにする必要があります。どうすればよいでしょうか？

D. Cloud Data Loss Prevention APIを使用して仮名化のためのトークン化を実行し、そのデータを後で使用するためにBigQueryに保存する。

あなたは組織のセキュリティ管理者です。あなたは、本番環境内でのサービスアカウント作成機能を制限する必要があります。これを組織全体で一元的に達成したい。あなたは何をすべきですか？

D. 組織ポリシー制約/iam.disableServiceAccountCreationブール値を使用して、新しいサービスアカウントの作成を無効にする。

あなたは、IAM（Identity and Access Management）管理者として管理するプロジェクトで実行される、規制対象のワークロードのプロジェクトオーナーです。今度の監査では、アクセスレビューの証拠を提出する必要があります。どのツールを使うべきですか？

B. ポリシー・アナライザー

組織は、Cloud Identity と Microsoft Active Directory の同期と SAML フェデレーションを実装している。以下のリスクを軽減したい。 Googleクラウドのユーザーアカウントが侵害されるリスクを減らしたい。どうすればよいですか。

C. 強力なパスワード設定でActive Directoryドメインのパスワードポリシーを作成し、Google管理コンソールでセキュリティキーを使用してSSO（シングルサインオン）後の2段階認証を設定する。

あなたは、Google Cloud上の公開アプリケーションに対して、一般的なWebアプリケーション攻撃に対する外部Webアプリケーション保護を実装することを命じられました。これらのポリシーの変更を実施する前に検証したい。どのサービスを使うべきですか？

A. プレビューモードでのGoogle Cloud Armorの設定済みルール

100

あなたは、Compute Engine上で実行されるアプリケーションから機密設定データを保存し、取得するためのソリューションを推奨するよう求められています。どのオプションを推奨しますか？

D. シークレット・マネージャー

Google Professional Cloud Developer

Takashi Eguchi · 262問 · 2年前