2024年01月 Google Professional-Cloud-Security-Engineer日本語実際の問題とブレーン問題集 [Q78-Q97]

Share

2024年01月 Google Professional-Cloud-Security-Engineer日本語実際の問題とブレーン問題集

Professional-Cloud-Security-Engineer日本語合格させる問題集でGoogle24時間で試験合格できます

質問 # 78
あなたは最近、会社の Google Cloud 実装をサポートするネットワーキング チームに参加しました。ファイアウォール ルールの構成をよく理解し、ネットワーキングと Google Cloud の経験に基づいて推奨事項を提供する必要があります。より高い優先度または同等の優先度を持つ他のファイアウォール ルールの属性と重複するファイアウォール ルールを検出するには、どの製品を推奨する必要がありますか?

  • A. ファイアウォール ルールのロギング
  • B. セキュリティ コマンド センター
  • C. ファイアウォール インサイト
  • D. VPC フロー ログ

正解:C

解説:
Explanation
https://cloud.google.com/network-intelligence-center/docs/firewall-insights/concepts/overview#shadowed-firewa Firewall Insights analyzes your firewall rules to detect firewall rules that are shadowed by other rules. A shadowed rule is a firewall rule that has all of its relevant attributes, such as its IP address and port ranges, overlapped by attributes from one or more rules with higher or equal priority, called shadowing rules.


質問 # 79
あなたは、侵害されたサービス アカウント キーを調査しているセキュリティ チームの一員です。サービス アカウントによって作成された新しいリソースを監査する必要があります。
あなたは何をするべきか?

  • A. データ アクセス ログを照会します。
  • B. 管理アクティビティ ログを照会します。
  • C. アクセスの透明性ログを照会します。
  • D. Stackdriver Monitoring ワークスペースをクエリします。

正解:B

解説:
Explanation
Admin activity logs are always created to log entries for API calls or other actions that modify the configuration or metadata of resources. For example, these logs record when users create VM instances or change Identity and Access Management permissions.


質問 # 80
顧客は、Compute Engine に多数の 3 層ウェブ アプリケーションをデプロイしたいと考えています。
顧客は、アプリケーションの異なる層の間で認証されたネットワーク分離をどのように確保する必要がありますか?

  • A. 各層を独自の VM タグで実行し、タグベースのファイアウォール ルールを使用します。
  • B. 各層を独自のサブネットで実行し、サブネット ベースのファイアウォール ルールを使用します。
  • C. 各層を異なるサービス アカウント (SA) で実行し、SA ベースのファイアウォール ルールを使用します。
  • D. 各層を独自のプロジェクトで実行し、プロジェクト ラベルを使用して分離します。

正解:C

解説:
"Isolate VMs using service accounts when possible" "even though it is possible to uses tags for target filtering in this manner, we recommend that you use service accounts where possible. Target tags are not access-controlled and can be changed by someone with the instanceAdmin role while VMs are in service. Service accounts are access-controlled, meaning that a specific user must be explicitly authorized to use a service account. There can only be one service account per instance, whereas there can be multiple tags. Also, service accounts assigned to a VM can only be changed when the VM is stopped." https://cloud.google.com/solutions/best-practices-vpc-design#isolate-vms-service-accounts


質問 # 81
プロジェクト内の Compute Engine インスタンスを一覧表示できる新しいサービス アカウントを作成します。
Google が推奨する方法に従いたい。
あなたは何をするべきか?

  • A. サービス アカウントに Compute Viewer の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。
  • B. 権限 compute.instances.list を持つカスタム ロールを作成し、サービス アカウントにこのロールを付与します。
  • C. インスタンス テンプレートを作成し、サービス アカウントに Compute Engine アクセス スコープの読み取り専用アクセスを許可します。
  • D. サービス アカウントに Project Viewer の役割を与え、すべてのインスタンスに新しいサービス アカウントを使用します。

正解:B

解説:
https://cloud.google.com/compute/docs/access/iam


質問 # 82
CI/CD パイプラインを設定して、コンテナ化されたアプリケーションを Google Kubernetes Engine (GKE) の本番環境クラスタにデプロイしています。既知の脆弱性を持つコンテナーがデプロイされないようにする必要があります。ソリューションには次の要件があります。
クラウドネイティブである必要があります
費用対効果が高い必要があります
運用上のオーバーヘッドを最小限に抑える
これをどのように達成する必要がありますか?(2つ選んでください。)

  • A. CI/CD パイプラインで、脆弱性が見つからない場合は、コンテナー イメージに証明書を追加します。Binary Authorization ポリシーを使用して、クラスター内の構成証明のないコンテナーのデプロイをブロックします。
  • B. Compute Engine インスタンスで cron ジョブを使用して、既知の脆弱性について既存のリポジトリをスキャンし、準拠していないコンテナ イメージが見つかった場合にアラートを生成します。
  • C. Cloud Source Repositories リポジトリ内のコンテナ テンプレートへの変更をモニタリングする Cloud Build パイプラインを作成します。ビルドの続行を許可する前に、Container Analysis の結果を分析するステップを追加します。
  • D. GKE に Jenkins をデプロイし、CI/CD パイプラインを構成してコンテナを Container Registry にデプロイします。コンテナーをクラスターにデプロイする前に、コンテナー イメージを検証するステップを追加します。
  • E. Google Cloud のオペレーション スイートのログ イベントによってトリガーされる Cloud Function を使用して、Container Registry のコンテナ イメージを自動的にスキャンします。

正解:A、C


質問 # 83
クラウド サービスの提供と使用に適用される情報セキュリティ管理のガイドラインを提供する国際コンプライアンス標準はどれですか?

  • A. ISO 27017
  • B. ISO 27018
  • C. ISO27001
  • D. ISO27002

正解:A

解説:
Explanation
Create a new Service Account that should be able to list the Compute Engine instances in the project. You want to follow Google-recommended practices.
https://cloud.google.com/security/compliance/iso-27017


質問 # 84
あなたは機密データの暗号化キーの管理を懸念しているクライアントと仕事をしています。クライアントは、キーが暗号化しているデータと同じクラウド サービス プロバイダー (CSP) に暗号化キーを保存することを望んでいません。このクライアントに推奨すべき Google Cloud 暗号化ソリューションはどれですか。
(2つ選んでください。)

  • A. Google の既定の暗号化
  • B. クラウド外部キー マネージャー
  • C. 顧客提供の暗号化キー。
  • D. シークレット マネージャー
  • E. 顧客管理の暗号鍵

正解:B、C


質問 # 85
オンライン チャットを介してサポート センターでエージェントと作業している場合、組織の顧客は、ドキュメントの写真と個人を特定できる情報 (PII) を共有することがよくあります。サポート センターを所有する組織は、顧客サービスの傾向分析のために内部または外部のアナリストがレビューするために保持する通常のチャット ログの一部として、PII がデータベースに保存されていることを懸念しています。
データ ユーティリティを維持しながら顧客のこの懸念を解決するために、組織はどの Google Cloud ソリューションを使用する必要がありますか?

  • A. DLP API の画像検査および編集アクションを使用して、分析のために画像を保存する前に画像から PII を編集します。
  • B. オブジェクト ライフサイクル管理を使用して、PII を含むすべてのチャット レコードが破棄され、分析用に保存されないようにします。
  • C. Cloud Key Management Service (KMS) を使用して、顧客が共有する PII データを分析用に保存する前に暗号化します。
  • D. DLP API ソリューションの一般化およびバケット化アクションを使用して、分析のためにテキストを保存する前に、テキストから PII を編集します。

正解:A

解説:
https://cloud.google.com/dlp/docs/concepts-image-redaction


質問 # 86
組織のセキュリティおよびリスク管理チームは、Google Cloud Platform (GCP) で実行している特定の本番ワークロードに対する責任がどこにあるのか、Google の責任がどこにあるのかについて懸念しています。主に App Engine を含む Google Cloud の Platform-as-a-Service (PaaS) を使用してワークロードを実行しています。
App Engine を使用する際の主な責任として、テクノロジー スタックのどの分野に注力する必要がありますか?

  • A. ゲスト OS の最新の更新プログラムとセキュリティ パッチを管理します。
  • B. XSS および SQLi 攻撃に対する防御
  • C. VPC フロー ログの設定とモニタリング
  • D. すべての保存データを暗号化する

正解:B

解説:
in PaaS the customer is responsible for web app security, deployment, usage, access policy, and content. https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate


質問 # 87
Google Cloud 組織では、オーナー ロール(ロール/オーナー)を持つ Google Cloud プロジェクトを提供することで、管理機能を各チームに分散できます。この組織には何千もの Google Cloud プロジェクトが含まれており、Security Command Center Premium によって複数の cpen_myscl_port の調査結果が明らかになりました。ガードレールを適用しているため、このような一般的な構成ミスを防ぐ必要があります。
あなたは何をするべきか?

  • A. 内部 IP 範囲からの接続のみを許可するように組織で構成された階層型ファイアウォール ポリシーを作成します。
  • B. 0 0 0 0/0 からのトラフィックを拒否する Google Cloud Armor セキュリティ ポリシーを作成します。
  • C. Virtual Private Cloud (VPC) ごとに、優先度 0 の 0 0 0 0/0 からのトラフィックを拒否するファイアウォール ルールを作成します。
  • D. 0 0 0 0/0 からのすべての接続を拒否するように組織で構成された階層型ファイアウォール ポリシーを作成します。

正解:D


質問 # 88
組織のオンプレミス ネットワークを、Production と Non-Production という名前の 2 つのサブネットを持つ 1 つの共有 VPC を含む既存の GCP 環境に接続する必要があります。次のことを行う必要があります。
プライベート トランスポート リンクを使用します。
オンプレミス環境からのプライベート API エンドポイントを介して Google Cloud APIs へのアクセスを構成します。
Google Cloud API が VPC Service Controls 経由でのみ使用されるようにします。
あなたは何をするべきか?

  • A. 1. オンプレミス環境と Google Cloud の間に Partner Interconnect リンクを設定します。
    2. オンプレミスの DNS 構成で private.googleapis.com ドメインを使用してプライベート アクセスを構成します。
  • B. 1. オンプレミス環境と Google Cloud の間にダイレクト ピアリング リンクを設定します。
    2. 両方の VPC サブネットにプライベート アクセスを設定します。
  • C. 1. オンプレミス環境と Google Cloud の間に Cloud VPN リンクを設定します。
    2. オンプレミスの DNS 構成で、制限付きの googleapis.com ドメインを使用してプライベート アクセスを構成します。
  • D. 1. オンプレミス環境と Google Cloud の間に Dedicated Interconnect リンクを設定します。
    2. オンプレミスの DNS 構成で、restricted.googleapis.com ドメインを使用してプライベート アクセスを構成します。

正解:D

解説:
Explanation
restricted.googleapis.com (199.36.153.4/30) only provides access to Cloud and Developer APIs that support VPC Service Controls. VPC Service Controls are enforced for these services
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid


質問 # 89
設計によって、GDPR 要件に従ってデータ保護を実装しています。設計レビューの一環として、Compute Engine、Google Kubernetes Engine、Cloud Storage、BigQuery、Pub/Sub のワークロードを含むソリューションの暗号鍵を管理する必要があると言われました。この実装にはどのオプションを選択する必要がありますか?

  • A. クラウド外部キー マネージャー
  • B. 顧客管理の暗号鍵
  • C. 顧客提供の暗号化キー
  • D. Google のデフォルトの暗号化

正解:B

解説:
Explanation
https://cloud.google.com/kms/docs/using-other-products#cmek_integrations
https://cloud.google.com/kms/docs/using-other-products#cmek_integrations CMEK is supported for all the listed google services.


質問 # 90
企業のアプリケーションは、ユーザー管理のサービス アカウント キーを使用してデプロイされます。キーをローテーションするには、Google が推奨する方法を使用します。
あなたは何をするべきか?

  • A. Cloud Shell を開き、gcloud iam service-accounts enable-auto-rotate --iam-account=IAM_ACCOUNT を実行します。
  • B. 新しいキーを作成し、アプリケーションで新しいキーを使用します。サービス アカウントから古いキーを削除します。
  • C. 新しいキーを作成し、アプリケーションで新しいキーを使用します。古いキーをバックアップ キーとしてシステムに保存します。
  • D. Cloud Shell を開き、gcloud iam service-accounts keys rotate --iam-account=IAM_ACCOUNT を実行します。
    --key=NEW_KEY.

正解:B

解説:
Explanation
You can rotate a key by creating a new key, updating applications to use the new key, and deleting the old key.
Use the serviceAccount.keys.create() method and serviceAccount.keys.delete() method together to automate the rotation.


質問 # 91
組織の記録データは Cloud Storage に存在します。すべての記録データは少なくとも 7 年間保持する必要があります。このポリシーは永続的である必要があります。
あなたは何をするべきか?

  • A. * 1 レコードデータを持つバケットを識別します
    ※2 保存ポリシーを適用し、7年間保存するように設定します。
    ※3 バケットロックを有効にする
  • B. * 1 レコードデータを持つバケットを識別します
    ※2 保存ポリシーを適用し、7年間保存するように設定します。
    * 3 ストレージ バケットの更新権限を含む Identity and Access Management (IAM) ロールを削除します。
  • C. * 1 レコードデータを持つバケットを識別します
    *2 データが確実に保持されるようにするためにのみバケット ポリシーを有効にします。
    ※3 バケットロックを有効にする
  • D. * 1 レコードデータが含まれるバケットを識別します
    ※2 保存ポリシーを適用し、7年間保存するように設定します。
    * 3 ログベースのアラートを使用してバケットを監視し、保持ポリシーの変更が発生しないようにします。

正解:A


質問 # 92
あなたの会社は、Google Cloud リソースへのアクセスを提供するために、Cloud Identity で手動でユーザーを作成しています。環境が継続的に拡大しているため、Google Cloud Directory Sync (GCDS) インスタンスを承認し、それをオンプレミスの LDAP サーバーと統合して、何百人ものユーザーをオンボーディングしたいと考えています。次のことを行う必要があります。
ユーザーとグループのライフサイクルの変更を Cloud Identity のオンプレミス LDAP サーバーから複製します。
Cloud Identity で手動で作成されたユーザーを無効にします。
Google Cloud のスコープにユーザーとセキュリティ グループを含めるように、LDAP 検索属性をすでに構成しています。このソリューションを完了するには、次に何をすべきですか?

  • A. 1. LDAP 検索属性を構成して、LDAP で見つからない手動で作成された Cloud ID ユーザーを除外します。
    2. ユーザーとグループのライフサイクルの変更後に GCDS を実行します。
  • B. 1. LDAP 検索属性を構成して、LDAP で見つからない手動で作成された Cloud Identity ユーザーを除外します。
    2. 定期的な GCDS タスクを設定します。
  • C. 1. LDAP で見つからないドメイン ユーザーを削除するオプションを構成します。
    2. ユーザーとグループのライフサイクルの変更後に GCDS を実行します。
  • D. 1. LDAP で見つからないドメイン ユーザーを一時停止するオプションを構成します。
    2. 定期的な GCDS タスクを設定します。

正解:D

解説:
To achieve the requirement "Disable any manually created users in Cloud Identity", configure GCDS to suspend rather than delete accounts if user accounts are not found in the LDAP directory in GCDS. Ref: https://support.google.com/a/answer/7177267


質問 # 93
組織のセキュリティ オペレーション センター (SOC) を管理します。現在、パケット ヘッダー情報に基づいて、Google Cloud VPC のネットワーク トラフィックの異常をモニタリングおよび検出しています。ただし、調査を支援するために、ネットワーク フローとそのペイロードを調査する機能が必要です。どの Google Cloud プロダクトを使用する必要がありますか?

  • A. Google Cloud Armor ディープ パケット インスペクション
  • B. VPC Service Controls のログ
  • C. マーケットプレイス IDS
  • D. パケット ミラーリング
  • E. VPC フロー ログ

正解:D

解説:
Reference:
Packet Mirroring clones the traffic of specified instances in your Virtual Private Cloud (VPC) network and forwards it for examination. Packet Mirroring captures all traffic and packet data, including payloads and headers. https://cloud.google.com/vpc/docs/packet-mirroring


質問 # 94
プライバシー チームは、個人を特定できる情報 (PII) を削除するための戦略として、クリプト シュレッディング (暗号化キーの削除) を使用します。プラットフォームのサービスの大部分を利用し、運用上のオーバーヘッドを最小限に抑えながら、このプラクティスを Google Cloud に実装する必要があります。あなたは何をするべきか?

  • A. Google の既定の暗号化を使用して、特定の暗号化キーを削除します。
  • B. 顧客管理の暗号化キーを使用して、特定の暗号化キーを削除します。
  • C. Cloud External Key Manager を使用して、特定の暗号化キーを削除します。
  • D. Google Cloud にデータを送信する前にクライアント側の暗号化を使用し、オンプレミスの暗号鍵を削除します

正解:B

解説:
Explanation
https://cloud.google.com/sql/docs/mysql/cmek
"You might have situations where you want to permanently destroy data encrypted with CMEK. To do this, you destroy the customer-managed encryption key version. You can't destroy the keyring or key, but you can destroy key versions of the key."


質問 # 95
組織の顧客は、契約書と運転免許証をスキャンして、Cloud Storage のウェブ ポータルにアップロードする必要があります。12 か月以上経過したファイルからは、個人を特定できる情報 (Pll) をすべて削除する必要があります。また、保持目的で匿名化されたファイルをアーカイブする必要があります。
あなたは何をするべきか?

  • A. Cloud Storage バケットの Autoclass 機能を構成して、12 か月より古いファイルを PLL アーカイブし、元のファイルを削除します。
  • B. 12 か月以上前に作成された PLL ファイルを匿名化し、別の Cloud Storage バケットにアーカイブする Cloud Data Loss Prevention (DLP) 検査ジョブを作成します。元のファイルを削除します。
  • C. Pll を含むクラウド ストレージ ファイルの暗号化キーの 12 か月のクラウド キー管理サービス (KMS) ローテーション期間をスケジュールして、暗号化キーを匿名化します。元のキーを削除します。
  • D. Cloud Storage バケット内のファイルの存続期間 (TTL) を 12 か月に設定します。これにより、PH が削除され、ファイルがアーカイブ ストレージ クラスに移動されます。

正解:B


質問 # 96
あなたは、Google Cloud で会社の ID を管理する責任があります。あなたの会社は、すべてのユーザーに 2 段階認証プロセス (2SV) を適用しています。ユーザーのアクセスをリセットする必要がありますが、ユーザーは 2SV の第 2 要素を失いました。
リスクを最小限に抑えたい。あなたは何をするべきか?

  • A. Google 管理コンソールで、スーパー管理者アカウントを使用して、ユーザー アカウントの資格情報をリセットします。
    最初のログイン後に資格情報を更新するようユーザーに依頼します。
  • B. Google 管理コンソールで、適切なユーザー アカウントを選択し、このアカウントの 2SV を一時的に無効にします。ユーザーに 2 番目の要素を更新するよう依頼してから、このアカウントの 2SV を再度有効にします。
  • C. Google 管理コンソールで、すべてのユーザーの 2SV 要件を一時的に無効にします。ログインして、新しい第 2 要素をアカウントに追加するようユーザーに依頼します。すべてのユーザーに対して 2SV 要件を再度有効にします。
  • D. Google 管理コンソールで、適切なユーザー アカウントを選択し、ユーザーがサインインできるようにバックアップ コードを生成します。ユーザーに 2 番目の要素を更新するように依頼します。

正解:D

解説:
Explanation
https://support.google.com/a/answer/9176734
Use backup codes for account recovery If you need to recover an account, use backup codes. Accounts are still protected by 2-Step Verification, and backup codes are easy to generate.


質問 # 97
......

最新問題をダウンロードProfessional-Cloud-Security-Engineer日本語問題集で2024年最新のProfessional-Cloud-Security-Engineer日本語試験問題集:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어