← 試験一覧に戻る

Professional Cloud Security Engineer

Question 221

セキュリティ監査により、あなたのプロジェクトのIdentity and Access Management (IAM) 設定にいくつかの不整合が発見されました。一部のサービスアカウントには過剰に広範な権限を持つロールが付与されており、数名の外部協力者が必要以上のアクセス権を持っています。IAMポリシーの変更、ユーザーアクティビティ、サービスアカウントの振る舞い、および機密プロジェクトへのアクセスに関する詳細な可視性を得る必要があります。どうすればよいですか?

A.
IAMポリシーの変更によってトリガーされるようにGoogle Cloud Functionsを設定します。ポリシーシミュレータを使用して変更を分析し、リスクのある変更があった場合にアラートを送信し、イベント詳細を保存します。
B.
Cloud Monitoringのメトリクスエクスプローラーを有効にして、サービスアカウントの認証イベントを追跡し、それに関連付けられたアラートを構築します。
C.
Cloud Audit Logsを使用します。ログエクスポートシンクを作成し、これらのログをセキュリティ情報およびイベント管理 (SIEM) ソリューションに送信して、他のイベントソースとの相関分析を行います。
D.
OS Config ManagementエージェントをVMにデプロイします。OS Config Managementを使用してパッチ管理ジョブを作成し、システムの変更を監視します。
Question 222

あなたは、異なるGoogle Cloudプロジェクト内でホストされている複数の内部専用アプリケーションを管理しています。あなたは、外部インターネットアクセスが必要な新しいアプリケーションをデプロイしようとしています。セキュリティを維持するため、この新しいアプリケーションを内部システムから明確に分離したいと考えています。あなたのソリューションは、新しい外部向けアプリケーションに対して効果的なセキュリティ分離を実現する必要があります。何をすべきですか?

A.
アプリケーションを内部アプリケーションと同じプロジェクト内にデプロイします。共有VPCモデルを使用してネットワーク構成を管理します。
B.
アプリケーションを既存の内部アプリケーションと同じプロジェクトに配置し、ファイアウォールルールを調整して外部トラフィックを許可します。
C.
VPC Service Controlsペリメータを作成し、新しいアプリケーションのプロジェクトをそのペリメータ内に配置します。
D.
アプリケーション用に新しいプロジェクトを作成し、VPCネットワークピアリングを使用して内部プロジェクトの必要なリソースにアクセスします。
Question 223

ある顧客が、平文のシークレットをソースコード管理 (SCM) システムに保存する代わりの方法を必要としています。 顧客は Google Cloud Platform を使用してこれをどのように達成すべきですか?

A.
Cloud Source Repositories を使用し、シークレットを Cloud SQL に保存する。
B.
顧客管理の暗号化キー (CMEK) でシークレットを暗号化し、Cloud Storage に保存する。
C.
Cloud Data Loss Prevention API を実行してシークレットをスキャンし、Cloud SQL に保存する。
D.
SCM をローカル SSD を備えた Compute Engine VM にデプロイし、プリエンプティブル VM を有効にする。
Question 224

ある企業がデータセンター全体を Google Cloud Platform に移行しました。さまざまな部門によって管理される複数のプロジェクトにまたがって、数千のインスタンスを実行しています。任意の時点において Google Cloud Platform で何が実行されていたかの履歴記録を保持したいと考えています。 どうすべきでしょうか?

A.
組織レベルで Resource Manager を使用する。
B.
Forseti Security を使用してインベントリスナップショットを自動化する。
C.
Stackdriver を使用して全プロジェクトを横断するダッシュボードを作成する。
D.
Security Command Center を使用して組織全体のアセットを表示する。
Question 225

あなたは、複数のGoogle Cloudリージョンに機密性の高い顧客データを保存しているeコマース企業に勤務しています。開発チームは注文を処理するための新しい3層アプリケーションを構築し、そのアプリケーションを本番環境に統合する必要があります。 あなたは、新しいアプリケーションのための強力なセキュリティ境界と分離を確保し、承認されたサードパーティベンダーによる安全なリモートメンテナンスを促進し、最小権限の原則に従うネットワークアーキテクチャを設計しなければなりません。どうすべきですか?

A.
各層に個別のVPCネットワークを作成します。アプリケーション層間および他の必要なVPCとの間でVPCピアリングを使用します。メンテナンス目的で、ベンダーにSSHキーとVPC内のインスタンスへのrootアクセスのみを提供します。
B.
単一のVPCネットワークを作成し、各層に異なるサブネットを作成します。サードパーティベンダー専用の新しいGoogleプロジェクトを作成し、ベンダーにネットワーク管理者ロールを付与します。VPNアプライアンスをデプロイし、サードパーティアクセスを保護するためにベンダーの構成に依存します。
C.
各層に個別のVPCネットワークを作成します。アプリケーション層間および他の必要なVPCとの間でVPCピアリングを使用します。管理リソースへのリモートアクセスにIdentity-Aware Proxy (IAP) を有効にし、アクセスを承認されたベンダーに制限します。
D.
単一のVPCネットワークを作成し、各層に異なるサブネットを作成します。サードパーティベンダー専用の新しいGoogleプロジェクトを作成します。ベンダーにそのプロジェクトのオーナーシップと共有VPC構成を変更する権限を付与します。
321問中 221-225問目
最初へ前へ4344454647次へ最後へ