Professional Cloud Security Engineer
Question 21
あなたは、Compute Engine でホストされる CI/CD クラスタを使用して、クラウドインフラストラクチャをデプロイする予定です。その認証情報が第三者によって盗まれるリスクを最小限に抑えたいと考えています。何をすべきですか?
A.
クラスタ専用の Cloud Identity ユーザーアカウントを作成します。強力な自己ホスト型のボールトソリューションを使用して、ユーザーの一時的な認証情報を保存します。B.
クラスタ専用の Cloud Identity ユーザーアカウントを作成します。プロジェクトレベルで `constraints/iam.disableServiceAccountCreation` 組織ポリシーを有効にします。C.
クラスタ専用のカスタムサービスアカウントを作成します。プロジェクトレベルで `constraints/iam.disableServiceAccountKeyCreation` 組織ポリシーを有効にします。D.
クラスタ専用のカスタムサービスアカウントを作成します。プロジェクトレベルで `constraints/iam.allowServiceAccountCredentialLifetimeExtension` 組織ポリシーを有効にします。Question 22
信頼できないサブネットを持つネットワークセグメントと、信頼できるサブネットを持つネットワークセグメントの2つを設定する必要があります。次世代ファイアウォール(NGFW)などの仮想アプライアンスを設定して、2つのネットワークセグメント間のすべてのトラフィックを検査したいと考えています。トラフィックを検査するために、ネットワークをどのように設計すべきですか?
A.
1. 1つのVPCに2つのサブネット(信頼できるサブネットと信頼できないサブネット)を設定します。 2. すべてのトラフィック(0.0.0.0/0)に対するカスタムルートを、仮想アプライアンスを指すように設定します。B.
1. 1つのVPCに2つのサブネット(信頼できるサブネットと信頼できないサブネット)を設定します。 2. すべてのRFC1918サブネットに対するカスタムルートを、仮想アプライアンスを指すように設定します。C.
1. 2つのVPCネットワーク(信頼できるネットワークと信頼できないネットワーク)を設定し、それらをピアリングします。 2. 各ネットワークにカスタムルートを、仮想アプライアンスを指すように設定します。D.
1. 2つのVPCネットワーク(信頼できるネットワークと信頼できないネットワーク)を設定します。 2. 複数のネットワークインターフェースを使用して仮想アプライアンスを設定し、各インターフェースをVPCネットワークのいずれかに接続します。Question 23
あなたは会社のセキュリティチームのメンバーです。Linux踏み台ホストの外部攻撃対象領域を削減するために、すべてのパブリックIPアドレスを削除するよう依頼されました。SRE(サイト信頼性エンジニア)は、オフサイト時に内部VPCにアクセスできるよう、パブリックな場所から踏み台ホストにアクセスする必要があります。このアクセスをどのように有効にすべきですか?
A.
踏み台ホストが存在するリージョンにCloud VPNを実装する。B.
踏み台ホストにOS Loginと2段階認証を実装する。C.
踏み台ホストにIdentity-Aware Proxy (IAP) のTCP転送を実装する。D.
踏み台ホストの前面にGoogle Cloud Armorを実装する。Question 24
ある顧客がApp Engineにアプリケーションをデプロイし、Open Web Application Security Project (OWASP) の脆弱性をチェックする必要があります。 これを達成するために使用すべきサービスはどれですか?
A.
Cloud ArmorB.
Google Cloud Audit LogsC.
Web Security ScannerD.
異常検知 (Anomaly Detection)Question 25
VPCサービスコントロールを有効にし、既存の環境においてリソースへのアクセスを妨げることなくペリメータへの変更を許可する必要があります。どのVPCサービスコントロールモードを使用すべきですか?
A.
Cloud RunB.
ネイティブC.
強制D.
ドライラン