← 試験一覧に戻る

Professional Cloud Security Engineer

Question 236

あなたは、積極的な規制コンプライアンスの対象となる、規制の厳しい業界の金融機関に勤務しています。コンプライアンス要件を満たすためには、特定の構成セット、データ所在地、組織ポリシー、および担当者のデータアクセス制御を継続的に維持する必要があります。どうすればよいですか?

A.
組織レベルで組織ポリシーの制約を適用し、新しいリソース作成の場所を制限します。
B.
必要なコンプライアンスプログラムのために Assured Workloads フォルダを作成し、定義された制御と要件を適用します。
C.
Security Command Center のコンプライアンスページに移動します。必要なコンプライアンス標準に対するステータスのレポートを表示します。定期的に違反をトリアージしてコンプライアンスを維持します。
D.
必要なセキュリティコンプライアンスポスチャを含む posture.yaml ファイルを作成します。Security Command Center Premium で `gcloud scc postures create POSTURE_NAME --posture-from-file=posture.yaml` コマンドを使用してポスチャを適用します。
Question 237

あなたの組織は、本番アプリケーションの脆弱性がセキュリティ侵害につながったという最近のニュース報道を懸念しています。デプロイメントパイプラインで脆弱性を自動的にスキャンし、スキャンおよび検証済みのコンテナのみが環境で実行できるようにしたいと考えています。どうすればよいですか?

A.
限定されたユーザーに “container.clusters.get” 権限を付与することで、Kubernetes のロールベースアクセス制御 (RBAC) をクラスタアクセスの信頼できる情報源として使用します。これらのユーザーに GKE クラスタへの設定アクセスを含む kubeconfig ファイルの生成を許可することで、デプロイメントアクセスを制限します。
B.
CI/CD パイプラインで `gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID@sha256:HASH --show-package-vulnerability` を使用し、重大な脆弱性に対してパイプラインの失敗をトリガーします。
C.
開発に Cloud Code の使用を強制し、ユーザーがコードをチェックインする前に、脆弱なライブラリや依存関係に関するリアルタイムのセキュリティフィードバックを受け取れるようにします。
D.
Binary Authorization を有効にし、スキャンの証明書を作成します。
Question 238

あなたの組織のチームは、オンプレミスのセキュリティ情報およびイベント管理システム(SIEM)でログを収集しています。あなたは、SIEMにGoogle Cloudログのサブセットを提供し、クラウド環境でのデータ漏洩のリスクを最小限に抑える必要があります。何をすべきですか?

A.
新しいBigQueryデータセットを作成します。すべてのログをこのデータセットにストリーミングします。ワークロードID連携を使用してオンプレミスのSIEMシステムにBigQueryのデータへのアクセス権を付与し、SIEMチームに関連ログデータをフィルタリングさせます。
B.
関連ログのログビューを定義します。ワークフォースID連携を使用して、オンプレミスIDプロバイダーのプリンシパルにログビューへのアクセス権を付与します。
C.
関連ログのログシンクを作成します。ログをPub/Subに送信します。Dataflowを使用してPub/Subからログを取得し、SIEMにプッシュします。
D.
関連ログをフィルタリングします。ログをCloud Storageバケットに保存します。サービスアカウントにバケットへのアクセス権を付与します。サービスアカウントキーをSIEMチームに提供します。
Question 239

あなたのGoogle Cloud組織は、本番、開発、ネットワーキングの3つのフォルダに分割されています。組織のネットワーキングリソースは、ネットワーキングフォルダで一元管理されています。本番フォルダ内のプロジェクトが、ネットワーキングフォルダ外の共有VPCにアタッチしており、これがデータ漏洩リスクになる可能性があることを発見しました。開発フォルダに影響を与えることなく、本番フォルダの問題を解決する必要があります。最も効率的で影響の少ないアプローチを使用する必要があります。どうすればよいですか?

A.
本番フォルダに対して「共有VPCホストプロジェクトを制限する」組織ポリシーを有効にします。カスタムルールを作成し、ポリシータイプを「許可」に設定します。「カスタム値」セクションに `under:folders/networking` を入力します。
B.
ネットワーキングフォルダのみに対して「共有VPCホストプロジェクトを制限する」組織ポリシーを有効にします。新しいカスタムルールを作成し、ポリシータイプを「許可」に設定します。「カスタム値」セクションに `under:organizations/123456739123` を入力します。
C.
本番の各プロジェクトに対してプロジェクトレベルで「共有VPCホストプロジェクトを制限する」組織ポリシーを有効にします。カスタムルールを作成し、ポリシータイプを「許可」に設定します。「カスタム値」セクションに `under:folders/networking` を入力します。
D.
組織レベルで「共有VPCホストプロジェクトを制限する」組織ポリシーを有効にします。カスタムルールを作成し、ポリシータイプを「許可」に設定します。「カスタム値」セクションに `under:folders/networking` を入力します。
Question 240

あなたの組織は規制の厳しい環境で事業を展開しており、顧客データを保護するための厳格なコンプライアンス要件があります。規制を満たすためには、使用中のデータを暗号化する必要があります。何をすべきでしょうか?

A.
Google Compute Engine VM で顧客指定の暗号鍵 (CSEK) の使用を有効にし、組織が VM ディスク暗号化を最大限に制御できるようにする。
B.
Confidential VM を使用して、信頼できる実行環境 (TEE) を確立する。
C.
Shielded VM を使用して、アプリケーション環境の整合性監視によるセキュアブートを保証する。
D.
顧客管理の暗号鍵 (CMEK) と Cloud KMS を使用して、組織が Cloud SQL のデータ暗号化のための鍵を制御できるようにする。
321問中 236-240問目
最初へ前へ4647484950次へ最後へ