Google Professional-Cloud-Security-Engineer日本語 問題集

質問 1：
Google Cloud 上には多数のプライベート仮想マシンがあります。場合によっては、リモートの場所から Secure Socket Shell (SSH) を介してサーバーを管理する必要があります。セキュリティとコスト効率を最適化する方法でサーバーへのリモート アクセスを構成したいと考えています。
あなたは何をするべきか？
A. パブリック IP を使用してジャンプ ホスト インスタンスを作成します。ジャンプ ホスト経由で接続してインスタンスを管理します。
B. Identity-Aware Proxy (IAP) IP 範囲からのアクセスを許可するファイアウォール ルールを作成します。 IAP で保護されたトンネル ユーザーの役割を管理者に付与します。
C. 企業ネットワークから Google Cloud へのサイト間 VPN を作成します。
D. パブリック IP アドレスを使用してサーバー インスタンスを構成する 企業 IP からのトラフィックのみを許可するファイアウォール ルールを作成します。
正解：B

質問 2：
あなたは、プロジェクト A の Cloud Storage バケットがプロジェクト B からのみ読み取り可能であることを確認したいセキュリティ チームの一員です。
また、ユーザーが正しい認証情報を持っている場合でも、ネットワーク外の Cloud Storage バケットから Cloud Storage バケット内のデータにアクセスしたり、Cloud Storage バケットにコピーしたりできないようにする必要があります。
あなたは何をするべきか？
A. VPC Service Controls を有効にし、プロジェクト A と B で境界を作成し、Cloud Storage サービスを含めます。
B. Cloud Storage バケットでドメイン制限付き共有組織ポリシーとバケット ポリシーのみを有効にします。
C. プロジェクト A と B のネットワークでプライベート アクセスを有効にし、厳格なファイアウォール ルールを使用して、ネットワーク間の通信を許可します。
D. プロジェクト A と B のネットワーク間で VPC ピアリングを有効にし、厳格なファイアウォール ルールを使用してネットワーク間の通信を許可します。
正解：A
解説: (Topexam メンバーにのみ表示されます)

質問 3：
あなたは、Security Command Center (SCC) を使用してワークロードを保護し、社内でセキュリティ違反の疑いがある場合のアラートを受信して​​います。暗号通貨マイニング ソフトウェアを検出する必要があります。
どの SCC サービスを使用する必要がありますか?
A. 仮想マシンの脅威の検出
B. Web セキュリティ スキャナー
C. 脆弱性の迅速な検出
D. コンテナの脅威の検出
正解：A

質問 4：
管理者とアナリストの両方がアクセスできる共有 Cloud Storage バケットにアプリケーション ログをバックアップしています。アナリストは、個人を特定できる情報 (PII) を含むログにアクセスできません。PII を含むログ ファイルは、管理者だけがアクセスできる別のバケットに保存する必要があります。あなたは何をするべきか？
A. 共有バケットで、Pll がアップロードされたときにのみトリガーされる Cloud Storage トリガーを構成します。Cloud Functions を使用してトリガーをキャプチャし、Pll を含むファイルを削除します。
B. 共有バケットで、Pll を含むオブジェクトを削除するようにオブジェクト ライフサイクル管理を構成します。
C. 共有バケットと、管理者のみがアクセスできる Pll を使用するバケットの両方にログをアップロードします。Cloud Data Loss Prevention API を使用して、ジョブ トリガーを作成します。Pll を含むすべてのファイルを共有バケットから削除するようにトリガーを構成します。
D. ファイルが管理者のバケットにアップロードされるたびに、Pub/Sub と Cloud Functions を使用して Cloud Data Loss Prevention スキャンをトリガーします。スキャンで Pll が検出されない場合は、関数でオブジェクトを共有 Cloud Storage バケットに移動します。
正解：B

質問 5：
組織は、いくつかのミッション クリティカルなアプリケーションをオンプレミスで維持しながら、アプリケーションを Google Cloud に移行しています。組織は、少なくとも 50 Gbps の帯域幅でデータを転送する必要があります。サイト間の安全な継続的な接続を確保するために、何を使用する必要がありますか?
A. 専用インターコネクト
B. パートナー インターコネクト
C. クラウド ルーター
D. クラウド VPN
正解：A

質問 6：
あなたの組織は機密性の高い健康情報を処理しています。仮想マシン (VM) による使用中にデータが確実に暗号化されるようにしたいと考えています。組織全体に適用されるポリシーを作成する必要があります。
あなたは何をするべきか？
A. 組織全体で作成されたすべての VM リソースが顧客管理の暗号化キー (CMEK) 保護を使用することを保証する組織ポリシーを実装します。
B. 組織全体で作成されるすべての VM リソースが Confidential VM インスタンスであることを保証する組織ポリシーを実装します。
C. 組織全体で作成されたすべての VM リソースがクラウド外部キー マネージャー (EKM) 保護を使用することを保証する組織ポリシーを実装します。
D. Google はデフォルトで使用中のデータを暗号化するため、アクションは必要ありません。
正解：A

質問 7：
Cloud Run でアプリケーションを実行します。脆弱性スキャンのためのコンテナ分析はすでに有効になっています。ただし、デプロイされたアプリケーションを制御できないことを懸念しています。信頼できるコンテナ イメージのみが Cloud Run にデプロイされるようにする必要があります。
あなたは何をするべきか？
2 つの答えを選択してください
A. 既存の Kubernetes クラスターで Binary Authorization を有効にします。
B. 組織ポリシー制約constraints/compute.trustedimageProjectsを、信頼されたコンテナーイメージを含む保護のリストに設定します。
C. Cloud Run ブレークグラスを使用して、デフォルトで Binary Authorization ポリシーを満たすイメージをデプロイします。
D. 既存の Cloud Run サービスで Binary Authorization を有効にします。
E. 組織ポリシーの制約制約/実行を設定します。allowedBinaryAuthorizationPolicie を、許可される Binary Authorization ポリシー名のリストに追加します。
正解：D,E