← 試験一覧に戻る

Professional Cloud Security Engineer

Question 181

あなたの組織では、主に内部通信を必要とする非本番環境フォルダ配下の複数のプロジェクト内でCloud Runサービスを利用しています。一部のサービスは承認済みの完全修飾ドメイン名(FQDN)への外部アクセスが必要ですが、その他の外部トラフィックはブロックする必要があります。内部アプリケーションは公開してはなりません。このきめ細かい制御を、指定されたVPCに対してのみ広範な制限を上書きする許可リストで実現する必要があります。どうすればよいですか?

A.
階層型ファイアウォールポリシー内で必要なFQDNに対するグローバルレベルの許可リストルールを実装します。このポリシーを組織内のすべてのVPCに適用し、追加のフィルタリングなしでCloud NATを設定します。
B.
階層型ファイアウォールポリシー内でアウトバウンドトラフィックに対するフォルダレベルのすべて拒否ルールを作成します。別のポリシーでFQDN許可リストルールを定義し、それらを必要なVPCに関連付けます。これらのVPCに対してCloud NATを設定します。
C.
階層構造内でプロジェクトレベルのすべて拒否ルールを作成し、広範に適用します。このルールを、関連するVPCに関連付けられたVPCレベルのファイアウォールポリシーで定義された別のFQDN許可リストで上書きします。
D.
許可リストに登録されたFQDNのIP範囲へのみアウトバウンドトラフィックを許可するように、IPベースのフィルタリングでCloud NATを設定します。組織のフォルダ構造内のすべてのVPCにCloud NATを均一に適用します。
Question 182

あなたの組織は、機密性の高いウェブアプリケーションをGoogle Cloudでホストしています。ウェブアプリケーションを保護するために、アプリケーションのフロントエンドコンポーネントとバックエンドコンポーネント用に専用のサブネットを持つVirtual Private Cloud (VPC) を設定しました。受信トラフィックを制限し、ウェブベースの攻撃から保護し、内部トラフィックを監視するためのセキュリティ制御を実装する必要があります。何をすべきですか?

A.
Cloud Firewall を設定して許可リストに登録されたトラフィックのみを許可し、Google Cloud Armor を事前定義されたルールでデプロイして一般的なウェブ攻撃をブロックし、Cloud Intrusion Detection System (Cloud IDS) をデプロイして内部トラフィックの異常を検出します。
B.
Google Cloud Armor を設定して受信接続を許可し、Cloud DNS で DNS Security Extensions (DNSSEC) を設定して一般的なウェブ攻撃から保護し、Cloud Intrusion Detection System (Cloud IDS) をデプロイして内部トラフィックの異常を検出します。
C.
Cloud Intrusion Detection System (Cloud IDS) を設定して受信接続を監視し、Identity-Aware Proxy (IAP) をデプロイして一般的なウェブ攻撃をブロックし、Google Cloud Armor をデプロイして内部トラフィックの異常を検出します。
D.
Cloud DNS を設定して受信トラフィックを保護し、Cloud Intrusion Detection System (Cloud IDS) をデプロイして一般的なウェブ攻撃を検出し、Google Cloud Armor をデプロイして内部トラフィックの異常を検出します。
Question 183

あなたの組織は、Compute Engine の仮想マシン (VM) に大きく依存しています。チームの成長とリソース需要の増加により、VMの乱立が問題になりつつあります。一貫したセキュリティ強化の維持とタイムリーなパッケージ更新は、ますます困難な課題となっています。VMイメージ管理を一元化し、仮想マシンのライフサイクル全体を通じてセキュリティベースラインの適用を自動化する必要があります。どうすればよいでしょうか。

A.
VM Managerを使用して、プロジェクト全体のVMにパッチを自動的に配布・適用します。VM Managerを、中央リポジトリに保存されている強化された組織標準のVMイメージと統合します。
B.
すべてのプロジェクトに対してCompute Engineの単一テナンシー機能を設定します。Policy Controllerでカスタム組織ポリシーを設定し、チームが使用できるオペレーティングシステムとイメージソースを制限します。
C.
Cloud Buildトリガーを作成して、強化されたVMイメージを生成するパイプラインを構築します。パイプラインで脆弱性スキャンを実行し、スキャンに合格したイメージをレジストリに保存します。このレジストリを指すインスタンステンプレートを使用します。
D.
Security Command Center Enterpriseを有効化します。VM検出およびポスチャ管理機能を使用して強化状態を監視し、問題検出時に自動応答をトリガーします。
Question 184

顧客から、あなたの組織のウェブサイトにアクセスする際にエラーメッセージが表示されるという苦情が寄せられています。あなたは、Cloud Armorで設定されたウェブアプリケーションファイアウォール(WAF)のルールが厳しすぎると疑っています。どのルールがトリガーされ、トラフィックがブロックされたのかを調査するためにリクエストログを収集したいと考えています。どうすべきでしょうか?

A.
アプリケーションロードバランサのバックエンドを変更し、ログサンプルレートをより高い数値に引き上げます。
B.
アプリケーションロードバランサのバックエンドでロギングを有効にし、Cloud Armor ポリシーでログレベルをVERBOSEに設定します。
C.
Cloud Armor ポリシー内の疑わしいウェブアプリケーションファイアウォールルールの設定をプレビューモードに変更します。
D.
redirected_by_security_policy を含むログのフィルタを持つログシンクを作成し、宛先としてBigQueryデータセットを設定します。
Question 185

あなたの組織は、ペイメントカード業界データセキュリティ基準(PCI DSS)に準拠する必要があります。監査に備えるため、Google CloudランディングゾーンのIaaS(Infrastructure as a Service)レベルでの逸脱を検出する必要があります。何をすべきですか?

A.
すべての支払い関連データタイプをカバーするデータプロファイルを作成します。Google Cloud Sensitive Data Protectionでデータ検出とリスク分析ジョブを設定し、検出結果を分析します。
B.
Google Cloud Compliance Reports Managerを使用して、PCI DSSレポートの最新バージョンをダウンロードします。レポートを分析して逸脱を検出します。
C.
Google Cloud組織にAssured Workloadsフォルダを作成します。既存のプロジェクトをそのフォルダに移行し、PCI DSSからの逸脱を監視します。
D.
Security Command Center Premiumを有効化します。コンプライアンス監視製品を使用して、PCI DSSに準拠していない可能性のある検出結果をフィルタリングします。
321問中 181-185問目
最初へ前へ3536373839次へ最後へ