
Fast2test Professional-Cloud-Security-Engineer日本語リアル試験問題解答は更新された[2023年12月18日]
お手軽に合格させる 最新Google Professional-Cloud-Security-Engineer日本語問題集には212問があります
質問 # 119
組織のセキュリティおよびリスク管理チームは、Google Cloud Platform (GCP) で実行している特定の本番ワークロードに対する責任がどこにあるのか、Google の責任がどこにあるのかについて懸念しています。主に App Engine を含む Google Cloud の Platform-as-a-Service (PaaS) を使用してワークロードを実行しています。
App Engine を使用する際の主な責任として、テクノロジー スタックのどの分野に注力する必要がありますか?
- A. VPC フロー ログの設定とモニタリング
- B. ゲスト OS の最新の更新プログラムとセキュリティ パッチを管理します。
- C. すべての保存データを暗号化する
- D. XSS および SQLi 攻撃に対する防御
正解:D
解説:
in PaaS the customer is responsible for web app security, deployment, usage, access policy, and content. https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate
質問 # 120
脆弱性に対するパッチがリリースされ、DevOps チームは Google Kubernetes Engine (GKE) で実行中のコンテナを更新する必要があります。
DevOps チームはこれをどのように達成する必要がありますか?
- A. Puppet または Chef を使用して、実行中のコンテナーにパッチをプッシュします。
- B. 自動アップグレードが有効になっていることを確認します。その場合、Google は GKE クラスタ内のノードをアップグレードします。
- C. アプリケーション コードを更新するかパッチを適用し、新しいイメージをビルドして再デプロイします。
- D. Container Registry で基本イメージが使用可能になったときにコンテナーを自動的にアップグレードするように構成します。
正解:C
解説:
https://cloud.google.com/containers/security
Containers are meant to be immutable, so you deploy a new image in order to make changes. You can simplify patch management by rebuilding your images regularly, so the patch is picked up the next time a container is deployed. Get the full picture of your environment with regular image security reviews.
質問 # 121
ある企業が、自社のアプリケーションを Google Cloud Platform にデプロイしています。会社のポリシーでは、少なくとも 2 つの地理的な場所でデータを自動的に複製できるソリューションを使用して長期データを保存する必要があります。
どのストレージ ソリューションを使用できますか?
- A. クラウド Bigtable
- B. クラウド BigQuery
- C. Compute Engine 永続ディスク
- D. Compute Engine SSD ディスク
正解:B
解説:
Explanation
https://cloud.google.com/bigquery#:~:text=BigQuery%20transparently%20and%20automatically%20provides,ch
質問 # 122
エンベロープ暗号化を活用し、アプリケーション層でデータを暗号化するには、Google が推奨する方法に従う必要があります。
あなたは何をするべきか?
- A. Cloud KMS で新しいデータ暗号鍵 (DEK) を生成してデータを暗号化し、ローカルで鍵暗号鍵 (KEK) を生成して鍵を暗号化します。暗号化されたデータと KEK の両方を保存します。
- B. データ暗号化キー (DEK) をローカルで生成してデータを暗号化し、Cloud KMS で新しいキー暗号化キー (KEK) を生成して DEK を暗号化します。暗号化されたデータと KEK の両方を保存します。
- C. データ暗号化キー (DEK) をローカルで生成してデータを暗号化し、Cloud KMS で新しいキー暗号化キー (KEK) を生成して DEK を暗号化します。暗号化されたデータと暗号化された DEK の両方を保存します。
- D. Cloud KMS で新しいデータ暗号鍵 (DEK) を生成してデータを暗号化し、ローカルで鍵暗号鍵 (KEK) を生成して鍵を暗号化します。暗号化されたデータと暗号化された DEK の両方を保存します。
正解:C
解説:
Reference:
Envelope Encryption: https://cloud.google.com/kms/docs/envelope-encryption Here are best practices for managing DEKs:
-Generate DEKs locally.
-When stored, always ensure DEKs are encrypted at rest.
- For easy access, store the DEK near the data that it encrypts.
The DEK is encrypted (also known as wrapped) by a key encryption key (KEK). The process of encrypting a key with another key is known as envelope encryption.
Here are best practices for managing KEKs:
-Store KEKs centrally. (KMS )
-Set the granularity of the DEKs they encrypt based on their use case. For example, consider a workload that requires multiple DEKs to encrypt the workload's data chunks. You could use a single KEK to wrap all DEKs that are responsible for that workload's encryption.
-Rotate keys regularly, and also after a suspected incident.
質問 # 123
あなたのチームは、プロジェクト co-vpc-prod がホスト プロジェクトである共有 VPC ネットワークを設定します。あなたのチームは、ホスト プロジェクトでファイアウォール ルール、サブネット、および VPN ゲートウェイを構成しました。エンジニアリング グループ A が Compute Engine インスタンスを 10.1.1.0/24 サブネットのみに接続できるようにする必要があります。
この要件を満たすために、あなたのチームはエンジニアリング グループ A に何を付与する必要がありますか?
- A. サービス プロジェクト レベルで共有 VPC 管理者ロールを計算します。
- B. サブネット レベルでの Compute ネットワーク ユーザー ロール。
- C. ホスト プロジェクト レベルでのコンピューティング ネットワーク ユーザーの役割。
- D. ホスト プロジェクト レベルで共有 VPC 管理者ロールを計算します。
正解:B
解説:
Explanation
https://cloud.google.com/vpc/docs/shared-vpc#svc_proj_admins
https://cloud.google.com/vpc/docs/shared-vpc#svc_proj_admins
質問 # 124
エンタープライズ ユーザー アカウント全体でフィッシング攻撃の数が増加していることに気付きました。暗号署名を使用してユーザーを認証し、ログイン ページの URL を検証する Google 2 段階認証 (2SV) オプションを実装したいと考えています。どの Google 2SV オプションを使用する必要がありますか?
- A. Titan セキュリティ キー
- B. Google 認証アプリ
- C. クラウド HSM キー
- D. Google プロンプト
正解:A
解説:
Explanation
https://cloud.google.com/titan-security-key
Security keys use public key cryptography to verify a user's identity and URL of the login page ensuring attackers can't access your account even if you are tricked into providing your username and password.
質問 # 125
あなたの会社は、Spark と Hadoop のジョブに Cloud Dataproc を使用しています。Cloud Dataproc で使用される永続ディスクに使用される対称暗号鍵を作成、ローテーション、破棄できるようにしたいと考えています。キーはクラウドに保存できます。
あなたは何をするべきか?
- A. 顧客提供の暗号化キーを使用してキー暗号化キー (KEK) を管理します。
- B. 顧客提供の暗号化キーを使用して、データ暗号化キー (DEK) を管理します。
- C. Cloud Key Management Service を使用して、データ暗号化キー (DEK) を管理します。
- D. Cloud Key Management Service を使用して鍵暗号鍵 (KEK) を管理します。
正解:D
解説:
This PD and bucket data is encrypted using a Google-generated data encryption key (DEK) and key encryption key (KEK). The CMEK feature allows you to create, use, and revoke the key encryption key (KEK). Google still controls the data encryption key (DEK). For more information on Google data encryption keys, see Encryption at Rest. https://cloud.google.com/dataproc/docs/concepts/configuring-clusters/customer-managed-encryption
https://codelabs.developers.google.com/codelabs/encrypt-and-decrypt-data-with-cloud-kms#0
質問 # 126
個人を特定できる情報 (Pll) を含む機密性の高い BigQuery ワークロードがあり、インターネットからアクセスできないようにしたいと考えています。データの漏洩を防ぐため、承認された IP アドレスからのリクエストのみが BigQuery テーブルへのクエリを許可されます。
あなたは何をするべきか?
- A. リソース サービスの使用を制限する組織ポリシー制約をクラウド データ損失防止 (DLP) とともに使用します。
- B. サービス境界を使用し、許可された送信元 IP アドレスを条件としてアクセス レベルを作成します。
- C. Cloud Data Loss Prevention (DLP) とともに、許可される Google Cloud API とサービスを制限する組織ポリシー制約を使用します。
- D. グローバル HTTPS ロードバランサで承認された IP アドレスの許可リストを定義する Google Cloud Armor セキュリティ ポリシーを使用します。
正解:B
質問 # 127
組織のセキュリティおよびリスク管理チームは、Google Cloud Platform (GCP) で実行している特定の本番ワークロードに対する責任がどこにあるのか、Google の責任がどこにあるのかについて懸念しています。主に App Engine を含む Google Cloud の Platform-as-a-Service (PaaS) を使用してワークロードを実行しています。
App Engine を使用する際の主な責任として、テクノロジー スタックのどの分野に注力する必要がありますか?
- A. VPC フロー ログの設定とモニタリング
- B. ゲスト OS の最新の更新プログラムとセキュリティ パッチを管理します。
- C. すべての保存データを暗号化する
- D. XSS および SQLi 攻撃に対する防御
正解:D
解説:
Explanation
in PaaS the customer is responsible for web app security, deployment, usage, access policy, and content.
https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate
質問 # 128
あなたの会社は、IT インフラストラクチャのほとんどを Google Cloud に移行することを計画しています。彼らは、既存のオンプレミス Active Directory を Google Cloud の ID プロバイダとして活用したいと考えています。会社のオンプレミス Active Directory を Google Cloud と統合してアクセス管理を構成するには、どの 2 つの手順を実行する必要がありますか? (2つ選んでください。)
- A. Cloud Identity SAML 統合を使用して、ユーザーとグループを Google Cloud にプロビジョニングします。
- B. 各 Active Directory グループに対応する権限を持つ Identity and Access Management (1AM) グループを作成します。
- C. Identity Platform を使用して、ユーザーとグループを Google Cloud にプロビジョニングします。
- D. 各 Active Directory グループに対応するアクセス許可を持つ Identity and Access Management (1AM) ロールを作成します。
- E. Google Cloud Directory Sync をインストールし、Active Directory と Cloud Identity に接続します。
正解:B、E
解説:
https://cloud.google.com/architecture/identity/federating-gcp-with-active-directory-synchronizing-user-accounts?hl=en
https://cloud.google.com/architecture/identity/federating-gcp-with-active-directory-synchronizing-user-accounts?hl=en#deciding_where_to_deploy_gcds
質問 # 129
あなたは最近、会社の Google Cloud 実装をサポートするネットワーキング チームに参加しました。ファイアウォール ルールの構成をよく理解し、ネットワーキングと Google Cloud の経験に基づいて推奨事項を提供する必要があります。より高い優先度または同等の優先度を持つ他のファイアウォール ルールの属性と重複するファイアウォール ルールを検出するには、どの製品を推奨する必要がありますか?
- A. ファイアウォール インサイト
- B. VPC フロー ログ
- C. セキュリティ コマンド センター
- D. ファイアウォール ルールのロギング
正解:A
解説:
Explanation
https://cloud.google.com/network-intelligence-center/docs/firewall-insights/concepts/overview#shadowed-firewa Firewall Insights analyzes your firewall rules to detect firewall rules that are shadowed by other rules. A shadowed rule is a firewall rule that has all of its relevant attributes, such as its IP address and port ranges, overlapped by attributes from one or more rules with higher or equal priority, called shadowing rules.
質問 # 130
あなたのチームは、オンプレミスの Active Directory サービスから GCP IAM 権限を一元管理したいと考えています。
あなたのチームは、AD グループ メンバーシップによってアクセス許可を管理したいと考えています。
これらの要件を満たすために、あなたのチームは何をすべきですか?
- A. Admin SDK を使用してグループを作成し、Active Directory から IAM 権限を割り当てます。
- B. Cloud Directory Sync をセットアップしてグループを同期し、グループに IAM 権限を設定します。
- C. Cloud Identity and Access Management API を使用して、Active Directory からグループと IAM 権限を作成します。
- D. SAML 2.0 シングル サインオン (SSO) をセットアップし、グループに IAM 権限を割り当てます。
正解:B
解説:
Explanation
"In order to be able to keep using the existing identity management system, identities need to be synchronized between AD and GCP IAM. To do so google provides a tool called Cloud Directory Sync. This tool will read all identities in AD and replicate those within GCP. Once the identities have been replicated then it's possible to apply IAM permissions on the groups. After that you will configure SAML so google can act as a service provider and either you ADFS or other third party tools like Ping or Okta will act as the identity provider. This way you effectively delegate the authentication from Google to something that is under your control."
質問 # 131
Cloud Key Management Service(KMS)によって管理される鍵を使用して、Compute Engine ディスク上のデータを保存時に暗号化する必要があります。これらのキーに対する Cloud Identity and Access Management (IAM) のアクセス許可は、グループ化された方法で管理する必要があります。これは、アクセス許可がすべてのキーに対して同じである必要があるためです。
あなたは何をするべきか?
- A. 永続ディスクごとに KeyRing を作成します。各 KeyRing には 1 つのキーが含まれます。KeyRing レベルで IAM 権限を管理します。
- B. すべての永続ディスクとこのキーリング内のすべてのキーに対して単一のキーリングを作成します。KeyRing レベルで IAM 権限を管理します。
- C. すべての永続ディスクとこのキーリング内のすべてのキーに対して単一のキーリングを作成します。キー レベルで IAM 権限を管理します。
- D. 永続ディスクごとに KeyRing を作成します。各 KeyRing には単一のキーが含まれます。キー レベルで IAM 権限を管理します。
正解:B
解説:
Explanation
https://cloud.netapp.com/blog/gcp-cvo-blg-how-to-use-google-cloud-encryption-with-a-persistent-disk
質問 # 132
Compute Engine で実行されるアプリケーションから機密性の高い構成データを保存および取得するためのソリューションを推奨するよう求められました。どのオプションをお勧めしますか?
- A. クラウド鍵管理サービス
- B. Compute Engine のゲスト属性
- C. シークレット マネージャー
- D. Compute Engine カスタム メタデータ
正解:C
解説:
Explanation
Secret Manager is a secure and convenient storage system for API keys, passwords, certificates, and other sensitive data. Secret Manager provides a central place and single source of truth to manage, access, and audit secrets across Google Cloud. https://cloud.google.com/secret-manager
質問 # 133
ある企業は、アナリストと管理者の両方が共有する Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは、個人を特定できる情報 (PII) を含まないログにのみアクセスできる必要があります。PII を含むログ ファイルは、管理者だけがアクセスできる別のバケットに保存する必要があります。
あなたは何をするべきか?
- A. アナリストと管理者の両方が共有するバケットで、PII データがアップロードされたときにのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、そのようなファイルを削除します。
- B. 共有バケットと管理者のみがアクセスできるバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用してジョブトリガーを作成します。PII を含む共有バケットからすべてのファイルを削除するようにトリガーを構成します。
- C. Cloud Pub/Sub と Cloud Functions を使用して、ファイルが共有バケットにアップロードされるたびにデータ損失防止スキャンをトリガーします。スキャンで PII が検出された場合は、管理者のみがアクセスできる Cloud Storage バケットに関数を移動します。
- D. アナリストと管理者の両方が共有するバケットで、PII を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
正解:C
解説:
https://codelabs.developers.google.com/codelabs/cloud-storage-dlp-functions#0 https://www.youtube.com/watch?v=0TmO1f-Ox40
質問 # 134
あなたは、Google Cloud 上のパブリック アプリケーションに対する一般的なウェブ アプリケーション攻撃に対する外部ウェブ アプリケーション保護を実装する任務を負っています。これらのポリシーの変更を適用する前に検証する必要があります。どのサービスを使用する必要がありますか?
- A. ドライラン モードの VPC Service Controls
- B. Google Front End (GFE) 固有の保護機能
- C. Cloud Load Balancing ファイアウォール ルール
- D. プレビュー モードでの Google Cloud Armor の事前構成済みルール
- E. 監視モードで事前設定された VPC ファイアウォール ルール
正解:D
解説:
Reference:
You can preview the effects of a rule without enforcing it. In preview mode, actions are noted in Cloud Monitoring. You can choose to preview individual rules in a security policy, or you can preview every rule in the policy. https://cloud.google.com/armor/docs/security-policy-overview#preview_mode
質問 # 135
あなたの会社では、セキュリティ チームとネットワーク エンジニアリング チームがすべてのネットワーク異常を特定し、VPC 内のペイロードをキャプチャできるようにする必要があります。どの方法を使用する必要がありますか?
- A. 組織のポリシーの制約を定義します。
- B. クラウド監査ログを監視および分析します。
- C. パケット ミラーリング ポリシーを構成します。
- D. サブネットで VPC フロー ログを有効にします。
正解:C
解説:
https://cloud.google.com/vpc/docs/packet-mirroring
Packet Mirroring clones the traffic of specified instances in your Virtual Private Cloud (VPC) network and forwards it for examination. Packet Mirroring captures all traffic and packet data, including payloads and headers.
質問 # 136
......
最新のProfessional-Cloud-Security-Engineer日本語学習ガイド2023年最新の- 提供するのはテストエンジンとPDF:https://jp.fast2test.com/Professional-Cloud-Security-Engineer-JPN-premium-file.html