← 試験一覧に戻る

Professional Cloud Security Engineer

Question 121

あなたのDevOpsチームはPackerを使用して、以下のプロセスでCompute Engineイメージをビルドしています: 1. 一時的なCompute Engine VMを作成します。 2. Cloud StorageバケットからVMのファイルシステムにバイナリをコピーします。 3. VMのパッケージマネージャーを更新します。 4. インターネットからVMに外部パッケージをインストールします。 あなたのセキュリティチームは、VMでのパブリックIPアドレスの使用を制限するために、組織ポリシー `constraints/compute.vmExternalIpAccess` を有効にしました。これに対応して、DevOpsチームはCompute Engine VMからパブリックIPアドレスを削除するようにスクリプトを更新しましたが、ビルドパイプラインが接続の問題で失敗しています。 どうすればよいですか?(2つ選択)

A.
VMを非管理対象インスタンスグループに配置し、HTTPロードバランサーをプロビジョニングして、インターネットからVMへのインバウンド接続を許可する。
B.
Compute Engine VMと同じVPCおよびリージョンにCloud NATインスタンスをプロビジョニングする。
C.
Compute Engine VMがデプロイされているサブネットで限定公開のGoogleアクセスを有効にする。
D.
インターネットとの間のトラフィックを許可するようにVPCルートを更新する。
E.
Compute Engine VMと同じVPCおよびリージョンにCloud VPNトンネルをプロビジョニングする。
Question 122

あなたの組織は最近、Security Command Center (SCC) スタンダードティアを有効化しました。いくつかのCloud Storageバケットが誤って公開状態になってしまいました。あなたはこのインシデントの影響を調査し、修正する必要があります。 どうすべきですか?

A.
1. バケットから allUsers にアクセスを許可している IAM (Identity and Access Management) の権限を削除します。 2. 再発を防止するために、組織のポリシー storage.uniformBucketLevelAccess を適用します。 3. データアクセスログを照会して、不正アクセスについて報告します。
B.
1. 承認されたユーザーにアクセスを制限するように権限を変更します。 2. すべての本番プロジェクトの周囲に VPC Service Controls ペリメターを強制して、不正アクセスを即座に停止します。 3. 管理者アクティビティ監査ログを確認して、不正アクセスについて報告します。
C.
1. バケットの権限を変更してアクセスを制限します。 2. バケットの使用状況ログを照会して、データへの不正アクセスについて報告します。 3. 再発を避けるために、組織のポリシー storage.publicAccessPrevention を強制します。
D.
1. バケットの権限を変更してアクセスを制限します。 2. バケットへの不正アクセスがないかデータアクセス監査ログを照会します。 3. 設定ミスが修正された後、Security Command Center で検出結果をミュートします。
Question 123

あなたの組織はGoogle Cloudへの移行を進めています。プロジェクト内のGoogle Kubernetes Engine (GKE) クラスタには、信頼されたコンテナイメージのみがデプロイされるようにしたいと考えています。コンテナは、中央管理されたContainer Registryからデプロイされ、信頼された認証局によって署名されている必要があります。 どうすべきですか?(2つ選択)

A.
プロジェクトのSecurity Command Center (SCC) でコンテナ脅威検出を有効にする。
B.
プロジェクトに対して信頼されたイメージの組織ポリシー制約を設定する。
C.
Google Kubernetes Engine (GKE) のバイナリ認可を強制するカスタム組織ポリシー制約を作成する。
D.
PodSecurity標準を有効にし、Restrictedに設定する。
E.
プロジェクトに対して、それぞれの証明書を持つバイナリ認可ポリシーを設定する。
Question 124

PCI DSS要件を満たすために、ある顧客は全てのアウトバウンドトラフィックが承認されたものであることを保証したいと考えています。 追加の補完コントロールなしでこの要件を満たすクラウドサービスはどれですか?(2つ選択)

A.
App Engine
B.
Cloud Functions
C.
Compute Engine
D.
Google Kubernetes Engine
E.
Cloud Storage
Question 125

あなたの会社はGoogle Cloudを利用しており、公開されているネットワーク資産があります。あなたはこれらの資産を発見し、ソフトウェアツールを使用して最短時間でセキュリティ監査を実行したいと考えています。 どうすればよいですか?

A.
組織内のすべてのインスタンスでプラットフォームセキュリティスキャナーを実行する。
B.
Cloud Asset Inventoryを使用してすべての外部資産を特定し、それらに対してネットワークセキュリティスキャナーを実行する。
C.
Googleが承認したセキュリティベンダーに連絡して監査を依頼する。
D.
実施予定の監査についてGoogleに通知し、スキャンを実行する前に確認を待つ。
321問中 121-125問目
最初へ前へ2324252627次へ最後へ