← 試験一覧に戻る

Professional Cloud Security Engineer

Question 311

ある企業がCompute Engine上でアプリケーションを実行しています。アプリケーションのバグにより、悪意のあるユーザーがスクリプトを繰り返し実行し、結果としてCompute Engineインスタンスがクラッシュしました。バグは修正されましたが、このハッキングが再発した場合に通知を受け取りたいと考えています。 何をすべきでしょうか?

A.
Stackdriverでプロセスヘルス条件を用いたアラートポリシーを作成します。スクリプトの実行回数が望ましいしきい値未満に留まっていることを監視条件とし、通知を有効化します。
B.
StackdriverでCPU使用率メトリックを使用してアラートポリシーを作成します。CPU使用率が80%を超えた場合に通知されるようにしきい値を80%に設定します。
C.
スクリプトのすべての実行をStackdriver Loggingに記録します。Stackdriver Loggingでログに基づいてユーザー定義メトリックを作成し、そのメトリックを表示するStackdriverダッシュボードを作成します。
D.
スクリプトのすべての実行をStackdriver Loggingに記録します。BigQueryをログシンクとして構成し、特定の時間枠内の実行回数をカウントするBigQueryスケジュールクエリを作成します。
Question 312

あなたは会社のセキュリティ管理者です。開発チームは、複数の開発、ステージング、本番環境のワークロードのために、「implementation」フォルダ配下に複数のGCPプロジェクトを作成しています。あなたは、悪意のある内部関係者や侵害されたコードによるデータ漏洩を防ぐためにセキュリティ境界を設定したいと考えています。しかし、プロジェクト間の通信は制限したくありません。 どうすべきでしょうか?

A.
共有VPCを使用して全プロジェクト間の通信を可能にし、ファイアウォールルールを使用してデータ漏洩を防ぐ。
B.
Access Context Managerでアクセスレベルを作成してデータ漏洩を防ぎ、共有VPCを使用してプロジェクト間の通信を行う。
C.
Infrastructure-as-Code (IaC) ソフトウェアツールを使用して単一のサービス境界を設定し、Stackdriver と Cloud Pub/Sub 経由で「implementation」フォルダを監視する Cloud Function をデプロイする。関数が新しいプロジェクトがフォルダに追加されたことを検知すると、Terraform を実行して新しいプロジェクトを関連する境界に追加する。
D.
Infrastructure-as-Code (IaC) ソフトウェアツールを使用して開発、ステージング、本番用に3つの異なるサービス境界を設定し、Stackdriver と Cloud Pub/Sub 経由で「implementation」フォルダを監視する Cloud Function をデプロイする。関数が新しいプロジェクトがフォルダに追加されたことを検知すると、Terraform を実行して新しいプロジェクトをそれぞれの境界に追加する。
Question 313

開発者および運用スタッフのうち、GCPリソースへの直接アクセスが必要な各メンバーに、Google Cloudの企業ユーザーアカウントを提供する必要があります。 企業ポリシーでは、サードパーティのID管理プロバイダーでユーザーIDを維持し、シングルサインオンを活用することが求められています。多数のユーザーが企業のドメインメールアドレスを個人のGoogleアカウントに使用していることが判明し、既存の未管理ユーザーを管理アカウントに変換するために、Googleの推奨プラクティスに従う必要があります。 どの2つのアクションを実行すべきですか?(2つ選択してください。)

A.
Google Cloud Directory Syncを使用して、ローカルのID管理システムをCloud Identityに同期します。
B.
Google管理コンソールを使用して、どの管理対象ユーザーが再設定用のメールアドレスに個人アカウントを使用しているかを確認します。
C.
管理対象のGoogleアカウントにユーザーを追加し、ユーザーに個人アカウントに関連付けられたメールアドレスを変更するよう強制します。
D.
未管理ユーザー向け移行ツール(TTUU)を使用して、競合するアカウントを持つユーザーを見つけ、個人Googleアカウントを移行するよう依頼します。
E.
全従業員にメールを送信し、企業のメールアドレスを個人のGoogleアカウントに使用しているユーザーに、直ちに個人アカウントを削除するよう依頼します。
Question 314

あなたは会社の開発チームに所属しています。GKE上のステージング環境でホストされているウェブアプリケーションが、入力されたデータを適切に検証することなく、ユーザーデータを動的にウェブページに含んでいることに気づきました。これにより、攻撃者が本番環境で被害者のユーザーのブラウザに無意味なコマンドを実行させたり、任意のコンテンツを表示させたりする可能性があります。 この脆弱性をどのように防止し、修正すべきですか?

A.
IPアドレスまたはエンドユーザーデバイスの属性に基づいてCloud IAPを使用し、脆弱性を防止および修正します。
B.
HTTPSロードバランサーを設定し、本番環境でCloud Armorを使用して潜在的なXSS攻撃を防ぎます。
C.
Web Security Scannerを使用してコード内の古いライブラリの使用を検証し、含まれているライブラリの安全なバージョンを使用します。
D.
ステージング環境でWeb Security Scannerを使用してXSSインジェクション攻撃をシミュレートし、コンテキストに応じた自動エスケープをサポートするテンプレートシステムを使用します。
Question 315

あなたはセキュリティチームの一員で、プロジェクトAのCloud StorageバケットがプロジェクトBからのみ読み取り可能であることを保証したいと考えています。また、Cloud Storageバケット内のデータが、ユーザーが正しい認証情報を持っている場合でも、ネットワーク外部のCloud Storageバケットからアクセスされたり、そこへコピーされたりできないようにすることも保証したいと考えています。 どうすればよいですか?

A.
VPCサービスコントロールを有効にし、プロジェクトAとBを含むペリメータを作成し、Cloud Storageサービスを含めます。
B.
Cloud Storageバケットでドメイン制限共有の組織ポリシーとバケットポリシーのみを有効にします。
C.
プロジェクトAとBのネットワークで限定公開アクセスを有効にし、ネットワーク間の通信を許可する厳格なファイアウォールルールを設定します。
D.
プロジェクトAとBのネットワーク間でVPCピアリングを有効にし、ネットワーク間の通信を許可する厳格なファイアウォールルールを設定します。
321問中 311-315問目
最初へ前へ6162636465次へ最後へ