← 試験一覧に戻る

Professional Cloud Security Engineer

Question 26

あなたは組織のセキュリティオペレーションセンター(SOC)を管理しています。現在、Google Cloud VPC内のネットワークトラフィックの異常をパケットヘッダー情報に基づいて監視・検出しています。しかし、調査を支援するために、ネットワークフローとそのペイロードを探索できる機能が必要です。どのGoogle Cloud製品を使用すべきですか?

A.
Marketplace IDS
B.
VPCフローログ
C.
VPC Service Controls ログ
D.
パケットミラーリング
E.
Google Cloud Armor 詳細パケットインスペクション
Question 27

あなたの組織は新しいワークロードを取得しました。Webサーバーおよびアプリケーション(App)サーバーは、新しく作成されたカスタムVPC内のCompute Engineで実行されます。あなたは、以下の要件を満たす安全なネットワーク通信ソリューションを設定する責任があります。 ✑ Web層とApp層の間でのみ通信を許可する。 ✑ Web層とApp層のオートスケーリング時に一貫したネットワークセキュリティを強制する。 ✑ Compute Engineインスタンス管理者がネットワークトラフィックを変更することを防ぐ。 どうすべきですか?

A.
1. 稼働中のすべてのWebサーバーとAppサーバーに、それぞれのネットワークタグを設定します。 2. ターゲット/ソースにそれぞれのネットワークタグを指定した許可VPCファイアウォールルールを作成します。
B.
1. 稼働中のすべてのWebサーバーとAppサーバーに、それぞれのサービスアカウントを設定します。 2. ターゲット/ソースにそれぞれのサービスアカウントを指定した許可VPCファイアウォールルールを作成します。
C.
1. それぞれのネットワークタグが設定されたインスタンステンプレートを使用して、WebサーバーとAppサーバーを再デプロイします。 2. ターゲット/ソースにそれぞれのネットワークタグを指定した許可VPCファイアウォールルールを作成します。
D.
1. それぞれのサービスアカウントが設定されたインスタンステンプレートを使用して、WebサーバーとAppサーバーを再デプロイします。 2. ターゲット/ソースにそれぞれのサービスアカウントを指定した許可VPCファイアウォールルールを作成します。
Question 28

あなたの組織のオンプレミスネットワークを、本番および非本番という名前の2つのサブネットを持つ既存の共有VPCを含むGoogle Cloud環境に接続する必要があります。以下の要件を満たす必要があります。 ✑ プライベートトランスポートリンクを使用する。 ✑ オンプレミス環境から発信されるプライベートAPIエンドポイントを介してGoogle Cloud APIへのアクセスを設定する。 ✑ Google Cloud APIがVPCサービスコントロール経由でのみ利用されるようにする。 どうすればよいですか?

A.
1. オンプレミス環境とGoogle Cloud間にCloud VPNリンクを設定する。 2. オンプレミスDNS設定でrestricted.googleapis.comドメインを使用してプライベートアクセスを設定する。
B.
1. オンプレミス環境とGoogle Cloud間にPartner Interconnectリンクを設定する。 2. オンプレミスDNS設定でprivate.googleapis.comドメインを使用してプライベートアクセスを設定する。
C.
1. オンプレミス環境とGoogle Cloud間にDirect Peeringリンクを設定する。 2. 両方のVPCサブネットに対してプライベートアクセスを設定する。
D.
1. オンプレミス環境とGoogle Cloud間にDedicated Interconnectリンクを設定する。 2. オンプレミスDNS設定でrestricted.googleapis.comドメインを使用してプライベートアクセスを設定する。
Question 29

あなたは電子カルテシステムの保護対象医療情報(PHI)を扱っています。プライバシーオフィサーは、機密データが分析システムに保存されていることを懸念しています。あなたには、機密データを不可逆的な方法で匿名化するタスクが与えられました。また、匿名化されたデータは文字セットと長さを保持してはなりません。どのGoogle Cloudソリューションを使用すべきですか?

A.
Cloud Data Loss Prevention と AES-SIV を使用した決定論的暗号化
B.
Cloud Data Loss Prevention とフォーマット保持暗号化
C.
Cloud Data Loss Prevention と暗号学的ハッシュ化
D.
Cloud Data Loss Prevention と Cloud Key Management Service でラップされた暗号鍵
Question 30

あなたは、コンテナ化されたアプリケーションをGoogle Kubernetes Engine (GKE) の本番クラスタにデプロイするためのCI/CDパイプラインを設定しています。既知の脆弱性を持つコンテナがデプロイされるのを防ぐ必要があります。あなたのソリューションには以下の要件があります。 - クラウドネイティブであること - コスト効率が高いこと - 運用オーバーヘッドを最小限に抑えること これをどのように達成すべきですか? (2つ選択してください)

Question
A.
Cloud Source Repositories リポジトリ内のコンテナテンプレートへの変更を監視するCloud Build パイプラインを作成します。ビルドを続行する前に、Container Analysis の結果を分析するステップを追加します。
B.
Google Cloud 運用スイートのログイベントによってトリガーされるCloud Functionを使用して、Container Registry内のコンテナイメージを自動的にスキャンします。
C.
Compute Engine インスタンス上のcronジョブを使用して、既存のリポジトリで既知の脆弱性をスキャンし、非準拠のコンテナイメージが見つかった場合にアラートを発生させます。
D.
GKEにJenkinsをデプロイし、コンテナをContainer RegistryにデプロイするためのCI/CDパイプラインを設定します。コンテナをクラスタにデプロイする前に、コンテナイメージを検証するステップを追加します。
E.
CI/CDパイプラインで、脆弱性が見つからなかった場合にコンテナイメージに証明を追加します。Binary Authorization ポリシーを使用して、クラスタ内で証明のないコンテナのデプロイをブロックします。
321問中 26-30問目
最初へ前へ45678次へ最後へ