[2024年04月] ベストな問題集を使おう Google Cloud Certified Professional-Cloud-Security-Engineer日本語 専門試験問題 [Q131-Q149]

Share

[2024年04月] ベストな問題集を使おうGoogle Cloud Certified Professional-Cloud-Security-Engineer日本語専門試験問題

100%の合格率を試そう!更新されたのはProfessional-Cloud-Security-Engineer日本語試験問題 [2024]

質問 # 131
先週、ある企業がログを BigQuery に書き込む新しい App Engine アプリケーションをデプロイしました。プロジェクトで他のワークロードは実行されていません。BigQuery に書き込まれたすべてのデータが App Engine のデフォルト サービス アカウントを使用して行われたことを検証する必要があります。
あなたは何をするべきか?

  • A. 1. プロジェクトの IAM セクションに移動します。
    2. App Engine のデフォルト サービス アカウントが、BigQuery に書き込むことができるロールを持つ唯一のアカウントであることを確認します。
  • B. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
    2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
    3. [一致するエントリを非表示] をクリックします。
    4.結果のリストが空であることを確認します。
  • C. 1. StackDriver Logging を使用して、BigQuery 挿入ジョブをフィルタリングします。
    2. 認証フィールドで、App Engine のデフォルト サービス アカウントと一致する電子メール アドレスをクリックします。
    3. [一致するエントリを表示] をクリックします。
    4.結果のリストが空であることを確認します。
  • D. 1. BigQuery で、関連するデータセットを選択します。
    2. App Engine のデフォルト サービス アカウントが、データセットに書き込むことができる唯一のアカウントであることを確認します。

正解:B


質問 # 132
Compute Engine インスタンスで実行されているアプリケーションは、Cloud Storage バケットからデータを読み取る必要があります。あなたのチームは、Cloud Storage バケットをグローバルに読み取り可能にすることを許可しておらず、最小権限の原則を確保したいと考えています。
あなたのチームの要件を満たすオプションはどれですか?

  • A. Cloud Storage バケットへの読み取り専用アクセス権を持つサービス アカウントを使用し、Compute Engine インスタンスのアプリケーションの構成にあるサービス アカウントへの認証情報を保存します。
  • B. Compute Engine インスタンスの IP アドレスからの読み取り専用アクセスを許可し、アプリケーションが資格情報なしでバケットから読み取ることを許可する Cloud Storage ACL を作成します。
  • C. Cloud KMS を使用して Cloud Storage バケット内のデータを暗号化し、アプリケーションが KMS 鍵を使用してデータを復号できるようにします。
  • D. Cloud Storage バケットへの読み取り専用アクセス権を持つサービス アカウントを使用して、インスタンス メタデータから認証情報を取得します。

正解:D

解説:
If the environment variable GOOGLE_APPLICATION_CREDENTIALS is set, ADC uses the service account key or configuration file that the variable points to. If the environment variable GOOGLE_APPLICATION_CREDENTIALS isn't set, ADC uses the service account that is attached to the resource that is running your code. https://cloud.google.com/docs/authentication/production#passing_the_path_to_the_service_account_key_in_code


質問 # 133
組織のセキュリティおよびリスク管理チームは、Google Cloud Platform (GCP) で実行している特定の本番ワークロードに対する責任がどこにあるのか、Google の責任がどこにあるのかについて懸念しています。主に App Engine を含む Google Cloud の Platform-as-a-Service (PaaS) を使用してワークロードを実行しています。
App Engine を使用する際の主な責任として、テクノロジー スタックのどの分野に注力する必要がありますか?

  • A. VPC フロー ログの設定とモニタリング
  • B. すべての保存データを暗号化する
  • C. ゲスト OS の最新の更新プログラムとセキュリティ パッチを管理します。
  • D. XSS および SQLi 攻撃に対する防御

正解:D

解説:
Explanation
in PaaS the customer is responsible for web app security, deployment, usage, access policy, and content.https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate


質問 # 134
ユーザーが共有 VPC ホスト プロジェクトを誤って削除するのを防ぎたい。どの組織レベルのポリシー制約を有効にする必要がありますか?

  • A. compute.restrictSharedVpcSubnetworks
  • B. compute.sharedReservationsOwnerProjects
  • C. compute.restrictXpnProjectLienRemoval
  • D. compute.restrictSharedVpcHostProjects

正解:C

解説:
Reference:
https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints#constraints-for-specific-services
- constraints/compute.restrictXpnProjectLienRemoval
- Restrict shared VPC project lien removal
This boolean constraint restricts the set of users that can remove a Shared VPC host project lien without organization-level permission where this constraint is set to True.
By default, any user with the permission to update liens can remove a Shared VPC host project lien. Enforcing this constraint requires that permission be granted at the organization level.


質問 # 135
あなたは、Identity and Access Management (IAM) 管理者として所有および管理するプロジェクトで実行される、規制されたワークロードのプロジェクト オーナーです。今後の監査のために、アクセス レビューの証拠を提供する必要があります。
どのツールを使用する必要がありますか?

  • A. ポリシー シミュレーター
  • B. ポリシーに関するトラブルシューティング
  • C. IAM レコメンダー
  • D. ポリシー アナライザー

正解:D

解説:
https://cloud.google.com/policy-intelligence/docs/policy-analyzer-overview Policy Analyzer lets you find out which principals (for example, users, service accounts, groups, and domains) have what access to which Google Cloud resources based on your IAM allow policies.


質問 # 136
gcloud コマンドライン ツールを使用して、サードパーティのシングル サインオン(SSO)SAML ID プロバイダを使用して認証したいと考えています。認証がサードパーティ ID プロバイダー (IdP) によってサポートされていることを確認するには、どのオプションが必要ですか? (2つ選んでください。)

  • A. OpenID コネクト
  • B. クラウド ID
  • C. ID 認識プロキシ
  • D. サードパーティ IdP としての SSO SAML
  • E. ID プラットフォーム

正解:A、D

解説:
Explanation
To provide users with SSO-based access to selected cloud apps, Cloud Identity as your IdP supports the OpenID Connect (OIDC) and Security Assertion Markup Language 2.0 (SAML) protocols.
https://cloud.google.com/identity/solutions/enable-sso


質問 # 137
マネージャーは、コストを最小限に抑えながら、2 年間のセキュリティ イベント ログの保持を開始したいと考えています。適切なログ エントリを選択するフィルタを記述します。
ログはどこにエクスポートする必要がありますか?

  • A. StackDriver のログ
  • B. Cloud Storage バケット
  • C. BigQuery データセット
  • D. Cloud Pub/Sub トピック

正解:B


質問 # 138
あなたの組織は仮想マシン(VM)を Google Cloud に移行しようとしています。プロジェクト全体で使用されるオペレーティング システム イメージが信頼されており、セキュリティ要件を満たしていることを確認する必要があります。
あなたは何をするべきか?

  • A. すべてのプロジェクトで Shielded VM サービスが信頼できるイメージ リポジトリの使用を強制できるようにする組織ポリシー制約を実装します。
  • B. 組織のポリシーを実装して、信頼できるイメージ プロジェクトからのイメージからのみブート ディスクを作成できるように強制します。
  • C. 信頼されたイメージ リポジトリに一般的な脆弱性と危険性 (CVE) が存在しないことを検証するセキュリティ スキャナーを自動化します。
  • D. 信頼されたイメージ リポジトリから新しい仮想マシンが作成されるときに自動的にトリガーされるクラウド関数を作成します。イメージが非推奨になっていないことを確認します。

正解:C


質問 # 139
オンプレミスのデータ ウェアハウスを BigQuery Cloud SQL と Cloud Storage に移行しています。データ ウェアハウスでセキュリティ サービスを構成する必要があります。会社のコンプライアンス ポリシーでは、データ ウェアハウスが次のことを行うことが義務付けられています。
* 暗号キーの完全なライフサイクル管理により保存データを保護
* データ管理とは別のキー管理プロバイダーを実装する
* すべての暗号化キー要求を可視化します。
データ ウェアハウスの実装にはどのようなサービスを含める必要がありますか?
2 つの答えを選択してください

  • A. クラウド外部キーマネージャー
  • B. 顧客管理の暗号化キー
  • C. 顧客指定の暗号化キー
  • D. キーアクセスの正当性
  • E. アクセスの透明性と承認

正解:A、D


質問 # 140
Google Cloud 組織では、オーナー ロール(ロール/オーナー)を持つ Google Cloud プロジェクトを提供することで、管理機能を各チームに分散できます。この組織には何千もの Google Cloud プロジェクトが含まれており、Security Command Center Premium によって複数の cpen_myscl_port の調査結果が明らかになりました。ガードレールを適用しているため、このような一般的な構成ミスを防ぐ必要があります。
あなたは何をするべきか?

  • A. 0 0 0 0/0 からのすべての接続を拒否するように組織で構成された階層型ファイアウォール ポリシーを作成します。
  • B. 0 0 0 0/0 からのトラフィックを拒否する Google Cloud Armor セキュリティ ポリシーを作成します。
  • C. 内部 IP 範囲からの接続のみを許可するように組織で構成された階層型ファイアウォール ポリシーを作成します。
  • D. Virtual Private Cloud (VPC) ごとに、優先度 0 の 0 0 0 0/0 からのトラフィックを拒否するファイアウォール ルールを作成します。

正解:A


質問 # 141
2 つのネットワーク セグメントを設定する必要があります。1 つは信頼されていないサブネットで、もう 1 つは信頼されているサブネットです。
次世代ファイアウォール (NGFW) などの仮想アプライアンスを構成して、2 つのネットワーク セグメント間のすべてのトラフィックを検査したいと考えています。トラフィックを検査するには、ネットワークをどのように設計する必要がありますか?

  • A. 1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
    2. 仮想アプライアンスを指すすべての RFC1918 サブネットのカスタム ルートを構成します。
  • B. 1. 1 つの VPC に 2 つのサブネット (信頼できるサブネットと信頼できないサブネット) を設定します。
    2. 仮想アプライアンスを指すすべてのトラフィック (0.0.0.0/0) のカスタム ルートを構成します。
  • C. 1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークをセットアップします。
    2. 複数のネットワーク インターフェースを使用して仮想アプライアンスを構成し、各インターフェースを VPC ネットワークの 1 つに接続します。
  • D. 1. 信頼できるネットワークと信頼できないネットワークの 2 つの VPC ネットワークを設定し、それらをピアリングします。
    2. 仮想アプライアンスを指す各ネットワークでカスタム ルートを構成します。

正解:C

解説:
Explanation
Multiple network interfaces. The simplest way to connect multiple VPC networks through a virtual appliance is by using multiple network interfaces, with each interface connecting to one of the VPC networks. Internet and on-premises connectivity is provided over one or two separate network interfaces. With many NGFW products, internet connectivity is connected through an interface marked as untrusted in the NGFW software.
https://cloud.google.com/architecture/best-practices-vpc-design#l7
This architecture has multiple VPC networks that are bridged by an L7 next-generation firewall (NGFW) appliance, which functions as a multi-NIC bridge between VPC networks. An untrusted, outside VPC network is introduced to terminate hybrid interconnects and internet-based connections that terminate on the outside leg of the L7 NGFW for inspection. There are many variations on this design, but the key principle is to filter traffic through the firewall before the traffic reaches trusted VPC networks.


質問 # 142
DevOps チームは Packer を使用して、次のプロセスで Compute Engine イメージを構築します。
1 一時的な Compute Engine VM を作成します。
2 Cloud Storage バケットから VM のファイル システムにバイナリをコピーします。
3 VM のパッケージ マネージャーを更新します。
4 外部パッケージをインターネットから VM にインストールします。
セキュリティ チームが組織ポリシーを有効にしたところです。consrraints/compure.vnExtemallpAccess。VM 上のパブリック IP アドレスの使用を制限します。これに応じて、DevOps チームはスクリプトを更新して Compute Engine VM 上のパブリック IP アドレスを削除しましたが、接続の問題によりビルド パイプラインが失敗しました。
あなたは何をするべきか?
2 つの答えを選択してください

  • A. Compute Engine VM と同じ VPC およびリージョンに Cloud VPN トンネルをプロビジョニングします。
  • B. インターネットとの間のトラフィックを許可するように VPC ルートを更新します。
  • C. インターネットから VM への受信接続を許可するために、アンマネージド インスタンス グループ内の VM を使用して HTTP ロード バランサーをプロビジョニングします。
  • D. Compute Engine VM と同じ VPC およびリージョンに Cloud NAT インスタンスをプロビジョニングします。
  • E. Compute Engine VM がデプロイされているサブネットでプライベート Google アクセスを有効にします。

正解:D、E


質問 # 143
Stackdriver のログを GCP からオンプレミスの SIEM システムに確実に配信するにはどうすればよいですか?

  • A. syslog などの既存のプロトコルを介して、すべてのログを SIEM システムに送信します。
  • B. すべてのプロジェクトを構成して、すべてのログを共通の BigQuery DataSet にエクスポートします。これは SIEM システムによってクエリされます。
  • C. Cloud Pub/Sub トピックにログをエクスポートするように組織のログ シンクを構成します。このトピックは、Dataflow 経由で SIEM に送信されます。
  • D. SIEM 用のコネクタを構築して、GCP RESTful JSON API からすべてのログをリアルタイムでクエリします。

正解:C

解説:
Explanation
Scenarios for exporting Cloud Logging data: Splunk This scenario shows how to export selected logs from Cloud Logging to Pub/Sub for ingestion into Splunk. Splunk is a security information and event management (SIEM) solution that supports several ways of ingesting data, such as receiving streaming data out of Google Cloud through Splunk HTTP Event Collector (HEC) or by fetching data from Google Cloud APIs through Splunk Add-on for Google Cloud. Using the Pub/Sub to Splunk Dataflow template, you can natively forward logs and events from a Pub/Sub topic into Splunk HEC. If Splunk HEC is not available in your Splunk deployment, you can use the Add-on to collect the logs and events from the Pub/Sub topic.https://cloud.google.com/solutions/exporting-stackdriver-logging-for-splunk


質問 # 144
IaaS の共有セキュリティ責任モデルで、お客様が責任を共有するスタックの 2 つのレイヤーはどれですか? (2つ選んでください。)

  • A. ブート
  • B. アクセス ポリシー
  • C. ストレージ暗号化
  • D. ハードウェア
  • E. ネットワーク セキュリティ

正解:B、E

解説:
https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-the-shared-responsibility-model-in-gke-container-security-shared-responsibility-model-gke


質問 # 145
顧客は、認証局 (CA) を備えたオンプレミスの公開キー基盤 (PKI) を持っています。多くの HTTP ロード バランサー フロントエンドに対して証明書を発行する必要があります。オンプレミス PKI は多くの手動プロセスによる影響を最小限に抑える必要があり、ソリューションは拡張する必要があります。
あなたは何をするべきか?

  • A. オンプレミスの PKI システムから Google 認証局サービスの下位 CA を使用して、ロード バランサーの証明書を発行します。
  • B. オンプレミスの OpenSSL に基づいて下位 CA から発行された PKCS12 証明書を持つ Web アプリケーションを使用します。インポートには gcloud ツールを使用します。外部 HTTP ロード バランサの代わりに、外部 TCP/UDP ネットワーク ロード バランサを使用します。
  • C. 証明書マネージャーを使用して、Google 管理の公開証明書を発行し、HTTP でそれをコードとしてのインフラストラクチャ (laC) のロード バランサーに構成します。
  • D. 証明書マネージャーを使用して、オンプレミス PKI から発行された証明書とフロントエンド用の証明書をインポートします。gcloud ツールをインポートに活用する

正解:A

解説:
Explanation
This approach allows you to leverage your existing on-premises PKI infrastructure while minimizing its impact and manual processes. By creating a subordinate CA in Google's Certificate Authority Service, you can automate the process of issuing certificates for your HTTP load balancer frontends. This solution scales well as the number of load balancers increases.


質問 # 146
管理アプリケーションは、現在インターネットにアクセスせずに、Virtual Private Cloud (VPC) インスタンス内のポート 5601 の管理対象グループ内の仮想マシン (VM) 上で実行されています。Web インターフェイスをポート 5601 でユーザーに公開し、Google 資格情報による認証と認可を強制したいと考えています。

  • A. Google 認証情報による Identity-Aware Proxy (IAP) 保護を備えた管理対象グループを指す HTTP 負荷分散インスタンスを構成します。 IAP ネットワーク範囲からのアクセスを許可するように VPC ファイアウォールを変更します。
  • B. デフォルトのインターネット ゲートウェイへのデフォルト ルート ポイントを使用して VPC ルーティングを変更します。インターネット 0.0.0.0/0 からアプリケーション インスタンスのポート 5601 へのアクセスを許可するように VPC ファイアウォール ルールを変更します。
  • C. パブリック ネットワークでセキュア シェル アクセス (SSH) 要塞ホストを構成し、要塞ホストのみがポート 5601 でアプリケーションに接続できるようにします。アプリケーションに接続するためのジャンプ ホストとして要塞ホストを使用します。
  • D. OS ログインを有効にして要塞ホストを構成し、VPC ファイアウォールでポート 5601 への接続を許可します。ブラウザ内の SSH を使用して Google Cloud コンソールから要塞ホストにログインし、ウェブ アプリケーションにログインします。

正解:A

解説:
This approach allows you to expose the web interface securely by using Identity-Aware Proxy (IAP), which provides authentication and authorization with Google credentials. The HTTP Load Balancer can distribute traffic to the VMs in the managed group, and the VPC firewall rule ensures that access is allowed from the IAP network range.


質問 # 147
あなたは、1 日に 1 回、Compute Engine VM のみを使用する新しいアプリケーションを開発しています。このアプリケーションは 5 つの異なるバッチ ジョブを実行します。各バッチ ジョブには、アプリケーションの外部の Google Cloud リソースに対する専用の権限セットが必要です。最小特権の原則に準拠したバッチ ジョブの安全なアクセスの概念を設計する必要があります。

  • A. 1. Workload Identity プールを作成し、バッチ ジョブごとに Workload Identity プール プロバイダーを構成します。
    *2 プロバイダーで構成されている各 ID に Workload Identity ユーザー ロールを割り当てます。
    * 3. バッチ ジョブ Mb-sa-[1-5]" ごとに 1 つのサービス アカウントを作成し、個々のバッチ ジョブの実行に必要なアクセス許可のみをサービス アカウントに付与します。
  • B. 1. バッチ ジョブを実行するための一般サービス アカウント **g-sa" を作成します。
    ※2 g-saにバッチジョブの実行に必要な権限を付与します。
    * 3. g-saに付与された権限でバッチジョブを実行します。
  • C. 1. バッチ ジョブを調整するための一般サービス アカウント「g-sa」を作成します。
    * 2. バッチ ジョブごとに 1 つのサービス アカウントを作成します。Mb-sa-[1-5]」と指定し、個々のバッチ ジョブの実行に必要なアクセス許可のみをサービス アカウントに付与します。
    * 3. g-sa にサービス アカウント トークン作成者のロールを付与します。 g-sa を使用して、b-sa-[1-5] の有効期間の短いアクセス トークンを取得し、b-sa-[ の権限でバッチ ジョブを実行します。 1-5]。

正解:C

解説:
* 4 Generate credential configuration files for each of the providers Use these files to execute the batch jobs with the permissions of b-sa-[1-5].
D.
* 1. Create a general service account "g-sa" to orchestrate the batch jobs.
* 2 Create one service account per batch job 'b-sa-[1-5)\ Grant only the permissions required to run the individual batch jobs to the service accounts and generate service account keys for each of these service accounts
* 3. Store the service account keys in Secret Manager. Grant g-sa access to Secret Manager and run the batch jobs with the permissions of b-sa-[1-5].


質問 # 148
2 つの VPC ネットワークを接続するための VPC ピアリングの使用に関連する 2 つのセキュリティ特性はどれですか?
(2つ選んでください。)

  • A. あるピアリングされたネットワークから別のピアリングされたネットワークへのタグを使用して作成できるファイアウォール ルール
  • B. 異なる Google Cloud Platform 組織に属するネットワークをピアリングする機能
  • C. 非推移的なピアリングされたネットワーク。直接ピアリングされたネットワークのみが通信できる場所
  • D. ピアリングされたネットワーク間で特定のサブネットを共有する機能
  • E. ピアリングされたネットワークのルート、ファイアウォール、および VPN の一元管理

正解:B、C

解説:
Explanation
https://cloud.google.com/vpc/docs/vpc-peering#key_properties


質問 # 149
......

Professional-Cloud-Security-Engineer日本語試験問題を今すぐ試そう!最新の[2024年最新] 正解回答付き:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어