Professional Cloud Security Engineer

あるマネージャーが、コストを最小限に抑えながらセキュリティイベントログを2年間保持したいと考えています。あなたは適切なログエントリを選択するためのフィルターを作成しました。 ログはどこにエクスポートすべきですか？

コンプライアンス上の理由から、ある組織は、PCIスコープ内のKubernetes Podが`in-scope`（スコープ内）のノードにのみ配置され、かつ、これらのノードには`in-scope`のPodのみが含まれるようにする必要があります。組織はどのようにしてこの目的を達成すべきでしょうか？

あなたの会社のメッセージングアプリが FIPS 140-2 に準拠するために、GCP のコンピュートサービスおよびネットワークサービスを使用することが決定されました。メッセージングアプリのアーキテクチャには、Compute Engine インスタンスのクラスタを制御するマネージドインスタンスグループ (MIG) が含まれています。インスタンスはデータキャッシングにローカル SSD を使用し、インスタンス間通信に UDP を使用しています。アプリ開発チームは、標準に準拠するために必要なあらゆる変更を行う意思があります。 要件を満たすために、どの選択肢を推奨しますか？

ある顧客が、Compute Engine上で分析ワークロードを実行しており、インターネットアクセスを制限する必要があります。 あなたのチームは、インターネットへのすべてのトラフィックを拒否する（優先度1000）下りファイアウォールルールを作成しました。 Compute Engineインスタンスがセキュリティアップデートを取得するために、パブリックリポジトリにアクセスする必要が出てきました。 あなたのチームは何をすべきですか？

Compute Engine ディスク上のデータを、Cloud Key Management Service (KMS) によって管理される鍵を使用して保存時に暗号化したいと考えています。これらの鍵に対する Cloud Identity and Access Management (IAM) 権限は、全ての鍵で同じであるべきなため、グループ化して管理する必要があります。 何をすべきでしょうか？