Professional Cloud Security Engineer
Question 276
2つのVPCネットワークを接続するためにVPCピアリングを使用することに関連する2つのセキュリティ特性はどれですか?(2つ選択)
A.
ピアリングされたネットワークのルート、ファイアウォール、VPNの一元管理B.
非推移的なピアリングネットワーク。直接ピアリングされたネットワークのみが通信可能C.
異なるGoogle Cloud組織に属するネットワークをピアリングする機能D.
あるピアリングされたネットワークのタグを使用して、別のピアリングされたネットワークに対して作成できるファイアウォールルールE.
ピアリングされたネットワーク間で特定のサブネットを共有する機能Question 277
脆弱性に対するパッチがリリースされ、DevOpsチームはGoogle Kubernetes Engine (GKE) で実行中のコンテナを更新する必要があります。 DevOpsチームはこれをどのように達成すべきですか?
A.
PuppetまたはChefを使用して、実行中のコンテナにパッチをプッシュします。B.
自動アップグレードが有効になっていることを確認します。有効な場合、GoogleはGKEクラスタ内のノードをアップグレードします。C.
アプリケーションコードを更新するかパッチを適用し、新しいイメージをビルドして再デプロイします。D.
ベースイメージがContainer Registryで利用可能になったときにコンテナが自動的にアップグレードされるように設定します。Question 278
ある顧客が、Google Cloud Platform (GCP) 上に3層の内部ウェブアプリケーションを立ち上げる必要があります。顧客の内部コンプライアンス要件では、エンドユーザーのアクセスは、トラフィックが特定の既知の正当なCIDRブロックから発信されている場合にのみ許可されることになっています。顧客は、アプリケーションがSYNフラッドDDoS攻撃からの保護のみを持つというリスクを受け入れています。また、GCPネイティブのSYNフラッド保護を使用したいと考えています。 これらの要件を満たすためには、どの製品を使用すべきですか?
A.
Cloud ArmorB.
VPCファイアウォールルールC.
Cloud Identity and Access Management (IAM)D.
Cloud CDNQuestion 279
ある企業がGoogle Kubernetes Engineでウェブショップを運営しており、顧客の取引情報をBigQueryで分析したいと考えています。BigQueryにクレジットカード番号が保存されないようにする必要があります。 どうすればよいでしょうか?
A.
クレジットカード番号に一致する正規表現を持つBigQueryビューを作成し、影響を受ける行をクエリして削除する。B.
データがBigQueryに取り込まれる前に、Cloud Data Loss Prevention APIを使用して関連するinfoTypeを墨消しする。C.
Security Command Centerを活用して、BigQuery内のクレジットカード番号タイプのアセットをスキャンする。D.
Cloud Identity-Aware Proxyを有効にして、ログをBigQueryに保存する前にクレジットカード番号をフィルタリングする。Question 280
ある顧客が、多数の3層ウェブアプリケーションをCompute Engineにデプロイしようとしています。 顧客は、アプリケーションの異なる層間で認証されたネットワーク分離をどのように確保すべきでしょうか?
A.
各層を独自のプロジェクトで実行し、プロジェクトラベルを使用して分離する。B.
各層を異なるサービスアカウント(SA)で実行し、SAベースのファイアウォールルールを使用する。C.
各層を独自のサブネットで実行し、サブネットベースのファイアウォールルールを使用する。D.
各層に独自のVMタグを付け、タグベースのファイアウォールルールを使用する。