← 試験一覧に戻る

Professional Cloud Security Engineer

Question 96

あなたの組織は仮想マシン (VM) を Google Cloud に移行しています。プロジェクト全体で使用されるオペレーティングシステムイメージが信頼され、セキュリティ要件を満たしていることを保証する必要があります。 何をすべきですか?

A.
信頼できるイメージプロジェクトからのイメージからのみブートディスクを作成できるように、組織ポリシーを実装する。
B.
すべてのプロジェクトで Shielded VM サービスを有効にし、信頼できるイメージリポジトリの使用を強制する組織ポリシー制約を実装する。
C.
信頼できるイメージリポジトリから新しい仮想マシンが作成されたときに自動的にトリガーされる Cloud Function を作成する。イメージが非推奨でないことを確認する。
D.
信頼できるイメージリポジトリに共通脆弱性識別子 (CVE) が存在しないことを検証するセキュリティスキャナーを自動化する。
Question 97

あなたは、会社承認のコンピューティングイメージを、イメージリポジトリとして使用される単一のGoogle Cloudプロジェクトに保存しています。このプロジェクトはVPCサービスコントロールで保護されており、組織内の他のプロジェクトと共にペリメター内に存在します。これにより、他のプロジェクトはイメージリポジトリプロジェクトからイメージをデプロイできます。あるチームが、外部のGoogle Cloud組織に保存されているサードパーティのディスクイメージをデプロイする必要があります。ペリメター内にデプロイできるように、そのディスクイメージへの読み取りアクセス権を付与する必要があります。 どうすればよいですか?

A.
組織ポリシー `constraints/compute.trustedImageProjects` を使用して、外部プロジェクトを許可する。
B.
1. ペリメターを更新する。 2. `egressTo` フィールドを設定し、許可されたリソースとして外部のGoogle Cloudプロジェクト番号を含め、`serviceName` を `compute.googleapis.com` に設定する。 3. `egressFrom` フィールドを設定し、`identityType` を `ANY_IDENTITY` に設定する。
C.
1. ペリメターを更新する。 2. `ingressFrom` フィールドを設定し、`identityType` を `ANY_IDENTITY` に設定する。 3. `ingressTo` フィールドを設定し、許可されたリソースとして外部のGoogle Cloudプロジェクト番号を含め、`serviceName` を `compute.googleapis.com` に設定する。
D.
1. ペリメターを更新する。 2. `egressTo` フィールドを設定し、`identityType` を `ANY_IDENTITY` に設定する。 3. `egressFrom` フィールドを設定し、許可されたリソースとして外部のGoogle Cloudプロジェクト番号を含め、`serviceName` を `compute.googleapis.com` に設定する。
Question 98

あるサービスアカウントキーが、複数の公開コードリポジトリで公に晒されてしまいました。ログを確認したところ、そのキーが短命な認証情報を生成するために使用されたことが判明しました。あなたはこのサービスアカウントによるアクセスを直ちに削除する必要があります。 どうすべきでしょうか?

A.
侵害されたサービスアカウントを削除する。
B.
侵害されたサービスアカウントキーを無効化する。
C.
サービスアカウントの認証情報が自動的に期限切れになるまで待つ。
D.
侵害されたサービスアカウントキーをローテーションする。
Question 99

ある企業が、ミッションクリティカルなアプリケーションのコンテナイメージをGoogle Kubernetes Engine (GKE) で使用しています。同社は、イメージの既知のセキュリティ問題をスキャンし、そのレポートをGoogle Cloudの外部に公開することなく、セキュリティチームと安全に共有したいと考えています。 あなたは何をすべきですか?

A.
1. Security Command Center Premiumティアでコンテナ脅威検出を有効にします。 2. サポートされていないGKEバージョンのすべてのクラスタを、可能な限り最新のGKEバージョンにアップグレードします。 3. Security Command Centerから結果を表示し、共有します。
B.
1. Cloud Buildでオープンソースツールを使用してイメージをスキャンします。 2. gsutilを使用して、Cloud Storageの公開アクセス可能なバケットにレポートをアップロードします。 3. スキャンレポートのリンクをセキュリティ部門と共有します。
C.
1. Artifact Registryの設定で脆弱性スキャンを有効にします。 2. Cloud Buildを使用してイメージをビルドします。 3. 自動スキャンのためにイメージをArtifact Registryにプッシュします。 4. Artifact Registryでレポートを表示します。
D.
1. GitHubサブスクリプションを取得します。 2. Cloud Buildでイメージをビルドし、自動スキャンのためにGitHubに保存します。 3. GitHubからレポートをダウンロードし、セキュリティチームと共有します。
Question 100

あなたのアプリケーションは、グローバル外部HTTP(S)ロードバランサーの背後で、高可用性のクロスリージョンソリューションとしてデプロイされています。複数のIPアドレスからのトラフィックが著しく急増していることに気づきましたが、これらのIPが悪意のあるものかどうかは不明です。あなたはアプリケーションの可用性を懸念しています。これらのクライアントからのトラフィックを、指定された時間間隔で制限したいと考えています。 どうすべきでしょうか?

A.
Google Cloud Armorを使用してスロットルアクションを設定し、指定された時間間隔でクライアントごとのリクエスト数を制限する。
B.
Google Cloud Armorを使用してレートベースのBANアクションを設定し、ban_duration_secパラメータを指定された時間間隔に設定する。
C.
VPCにファイアウォールルールを設定し、特定されたIPアドレスからのトラフィックをスロットリングする。
D.
Google Cloud Armorを使用して拒否アクションを設定し、指定された時間間隔で過剰なリクエストを発行したクライアントを拒否する。
321問中 96-100問目
最初へ前へ1819202122次へ最後へ