Google Professional-Cloud-Security-Engineer日本語 問題集

質問 1：
フロントエンドがサブネット A のマネージド インスタンス グループにデプロイされ、データレイヤーが同じ VPC のサブネット B の mysql Compute Engine 仮想マシン (VM) に格納されているアプリケーションがあります。サブネット A とサブネット B は、他のいくつかの Compute Engine VM を保持しています。アプリケーションのフロントエンドがポート 3306 でアプリケーションの mysql インスタンスのデータにアクセスできるようにするだけです。
あなたは何をするべきか？
A. フロントエンドの一意のサービス アカウントからポート 3306 の mysql Compute Engine VM の一意のサービス アカウントへの通信を許可するイングレス ファイアウォール ルールを構成します。
B. サブネット A のすべてのインスタンスに適用されるネットワーク タグ「fe-tag」と、サブネット B のすべてのインスタンスに適用されるネットワーク タグ「data-tag」を構成します。次に、通信を許可するエグレス ファイアウォール ルールを構成します。 data-tag でタグ付けされた Compute Engine VM から、fe-tag でタグ付けされた宛先 Compute Engine VM へ。
C. サブネット A の src IP 範囲からポート 3306 の mysql Compute Engine VM に適用されるタグ「data-tag」への通信を許可するイングレス ファイアウォール ルールを構成します。
D. サブネット A のすべてのインスタンスに適用されるネットワーク タグ「fe-tag」と、サブネット B のすべてのインスタンスに適用されるネットワーク タグ「data-tag」を構成します。次に、通信を許可するイングレス ファイアウォール ルールを構成します。 fe-tag でタグ付けされた Compute Engine VM から、data-tag でタグ付けされた宛先 Compute Engine VM へ。
正解：A
解説: (Topexam メンバーにのみ表示されます)

質問 2：
組織は、特定の IT ワークロードに対する Google Cloud Platform (GCP) の使用を評価しています。十分に確立されたディレクトリ サービスを使用して、ユーザー ID とライフサイクル管理を管理します。このディレクトリ サービスは、組織が ID の "信頼できるソース" ディレクトリとして使用するために継続する必要があります。
組織の要件を満たすソリューションはどれですか?
A. クラウド ID
B. セキュリティ アサーション マークアップ言語 (SAML)
C. Google Cloud Directory Sync (GCDS)
D. パブ/サブ
正解：C
解説: (Topexam メンバーにのみ表示されます)

質問 3：
オンプレミスのデータ ウェアハウスを BigQuery Cloud SQL と Cloud Storage に移行しています。データ ウェアハウスでセキュリティ サービスを構成する必要があります。会社のコンプライアンス ポリシーでは、データ ウェアハウスが次のことを行うことが義務付けられています。
* 暗号キーの完全なライフサイクル管理により保存データを保護
* データ管理とは別のキー管理プロバイダーを実装する
* すべての暗号化キー要求を可視化します。
データ ウェアハウスの実装にはどのようなサービスを含める必要がありますか?
2 つの答えを選択してください
A. アクセスの透明性と承認
B. クラウド外部キーマネージャー
C. 顧客管理の暗号化キー
D. 顧客指定の暗号化キー
E. キーアクセスの正当性
正解：B,E

質問 4：
ブート ディスクのソースとして使用できるイメージを制限したい。これらの画像は、専用のプロジェクトに保存されます。
あなたは何をするべきか？
A. Resource Manager で、組織のアクセス許可を編集します。役割を持つメンバーとしてプロジェクト ID を追加します: Compute Image User。
B. 組織ポリシー サービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。信頼できるプロジェクトを拒否操作の例外としてリストします。
C. Resource Manager で、信頼済みプロジェクトのプロジェクト パーミッションを編集します。Compute Image User というロールを持つメンバーとして組織を追加します。
D. 組織ポリシー サービスを使用して、組織レベルで compute.trustedimageProjects 制約を作成します。許可操作で、信頼できるプロジェクトをホワイトリストとしてリストします。
正解：D
解説: (Topexam メンバーにのみ表示されます)

質問 5：
あなたは金融会社のセキュリティエンジニアです。あなたの組織は Google Cloud にデータを保存することを計画していますが、経営陣は機密性の高いデータのセキュリティについて懸念しています。具体的には、あなたの会社は、Google の内部従業員が Google Cloud 上の会社のデータにアクセスする能力について懸念しています。どのようなソリューションを提案する必要がありますか?
A. Google の Identity and Access Management (IAM) サービスを使用して、Google Cloud でアクセス制御を管理します。
B. Google 従業員のアクセス承認リクエストでアクセスの透明性ログを有効にします。
C. 管理アクティビティ ログを有効にして、リソースへのアクセスを監視します。
D. 顧客管理の暗号化キーを使用します。
正解：B
解説: (Topexam メンバーにのみ表示されます)

質問 6：
あなたは会社のセキュリティ管理者です。開発チームは、複数の GCP プロジェクトを
いくつかの開発、ステージング、および運用ワークロードの「実装」フォルダー。セキュリティ境界を設定することで、悪意のある内部関係者や侵害されたコードによるデータの流出を防止したいと考えています。ただし、プロジェクト間の通信を制限したくありません。
あなたは何をするべきか？
A. Access Context Manager でアクセス レベルを作成してデータの流出を防ぎ、プロジェクト間の通信に共有 VPC を使用します。
B. コードとしてのインフラストラクチャ ソフトウェア ツールを使用して、開発、ステージング、本番用の 3 つの異なるサービス境界を設定し、Stackdriver と Cloud Pub/Sub を介して「実装」フォルダを監視する Cloud Function をデプロイします。この関数は、新しいプロジェクトがフォルダーに追加されたことを認識すると、Terraform を実行して新しいプロジェクトをそれぞれの境界に追加します。
C. 共有 VPC を使用してすべてのプロジェクト間の通信を有効にし、ファイアウォール ルールを使用してデータの流出を防ぎます。
D. コードとしてのインフラストラクチャ ソフトウェア ツールを使用して、単一のサービス境界を設定し、Stackdriver と Cloud Pub/Sub を介して「実装」フォルダを監視する Cloud Function をデプロイします。この関数は、新しいプロジェクトがフォルダーに追加されたことを認識すると、Terraform を実行して、関連付けられた境界に新しいプロジェクトを追加します。
正解：D
解説: (Topexam メンバーにのみ表示されます)

質問 7：
マネージャーは、コストを最小限に抑えながら、2 年間のセキュリティ イベント ログの保持を開始したいと考えています。適切なログ エントリを選択するフィルタを記述します。
ログはどこにエクスポートする必要がありますか?
A. Cloud Pub/Sub トピック
B. StackDriver のログ
C. BigQuery データセット
D. Cloud Storage バケット
正解：D