Professional-Cloud-Security-Engineer日本語更新された試験問題集で[2024年最新] 練習有効な試験問題集 [Q106-Q129]

新問題 106
お客様には、インターネットアクセスを制限する必要がある Compute Engine で実行されている分析ワークロードがあります。
あなたのチームは、インターネットへのすべてのトラフィックを拒否する (優先度 1000) 下りファイアウォールルールを作成しました。
Compute Engine インスタンスは、公開リポジトリにアクセスしてセキュリティアップデートを取得する必要があります。あなたのチームは何をすべきですか？

優先度が 1000 を超えるリポジトリの CIDR 範囲へのトラフィックを許可するエグレスファイアウォールルールを作成します。

優先度が 1000 未満のリポジトリの CIDR 範囲へのトラフィックを許可するエグレスファイアウォールルールを作成します。

優先度が 1000 を超えるリポジトリのホスト名へのトラフィックを許可するエグレスファイアウォールルールを作成します。

より低い優先度でリポジトリのホスト名へのトラフィックを許可するエグレスファイアウォールルールを作成します。
1000。

新問題 107
あなたは、プロジェクト A の Cloud Storage バケットがプロジェクト B からのみ読み取り可能であることを確認したいセキュリティチームの一員です。
また、ユーザーが正しい認証情報を持っている場合でも、ネットワーク外の Cloud Storage バケットから Cloud Storage バケット内のデータにアクセスしたり、Cloud Storage バケットにコピーしたりできないようにする必要があります。
あなたは何をするべきか？

VPC Service Controls を有効にし、プロジェクト A と B で境界を作成し、Cloud Storage サービスを含めます。

Cloud Storage バケットでドメイン制限付き共有組織ポリシーとバケットポリシーのみを有効にします。

プロジェクト A と B のネットワークでプライベートアクセスを有効にし、厳格なファイアウォールルールを使用して、ネットワーク間の通信を許可します。

プロジェクト A と B のネットワーク間で VPC ピアリングを有効にし、厳格なファイアウォールルールを使用してネットワーク間の通信を許可します。

新問題 108
顧客には 300 人のエンジニアがいます。同社は、さまざまなレベルのアクセス権を付与し、開発環境プロジェクトと本番環境プロジェクトのユーザー間で IAM 権限を効率的に管理したいと考えています。
これらの要件を満たすために企業が取るべき 2 つのステップはどれですか? （2つ選んでください。）

環境ごとに複数の VPC ネットワークを持つプロジェクトを作成します。

開発環境と本番環境ごとにフォルダーを作成します。

エンジニアリングチーム用の Google グループを作成し、フォルダレベルで権限を割り当てます。

フォルダ環境ごとに組織ポリシーの制約を作成します。

環境ごとにプロジェクトを作成し、各エンジニアリングユーザーに IAM 権限を付与します。

新問題 109
VPC Service Controls を有効にして、リソースへのアクセスを妨げずに、既存の環境の境界を変更できるようにする必要があります。どの VPC Service Controls モードを使用する必要がありますか?

クラウドラン

ネイティブ

強制

ドライラン

新問題 110
設計によって、GDPR 要件に従ってデータ保護を実装しています。設計レビューの一環として、Compute Engine、Google Kubernetes Engine、Cloud Storage、BigQuery、Pub/Sub のワークロードを含むソリューションの暗号鍵を管理する必要があると言われました。この実装にはどのオプションを選択する必要がありますか?

クラウド外部キーマネージャー

顧客管理の暗号鍵

顧客提供の暗号化キー

Google のデフォルトの暗号化

新問題 111
ある企業は、データ/センター全体を Google Cloud Platform に移行しました。異なる部門が管理する複数のプロジェクトで数千のインスタンスを実行しています。任意の時点で Google Cloud Platform で何が実行されていたかの履歴記録が必要です。
あなたは何をするべきか？

組織レベルで Resource Manager を使用します。

Forseti Security を使用して、インベントリスナップショットを自動化します。

Stackdriver を使用して、すべてのプロジェクトにわたってダッシュボードを作成します。

Security Command Center を使用して、組織全体のすべてのアセットを表示します。

新問題 112
大規模な金融機関は、ビッグデータ分析を Google Cloud Platform に移行しています。彼らは、BigQuery に保存されているデータの暗号化プロセスを最大限に制御したいと考えています。
機関はどのような手法を使用する必要がありますか?

Cloud Storage をフェデレーションデータソースとして使用します。

クラウドハードウェアセキュリティモジュール (Cloud HSM) を使用します。

顧客管理の暗号鍵 (CMEK)。

顧客指定の暗号化キー (CSEK)。

新問題 113
顧客は、モバイルワーカーが Google Cloud Platform (GCP) でホストされている CRM Web インターフェイスにアクセスできるようにしたいと考えています。CRM には、企業ネットワーク上のユーザーのみがアクセスできます。顧客は、それをインターネット経由で利用できるようにしたいと考えています。あなたのチームは、2 要素認証をサポートするアプリケーションの前に認証レイヤーを必要としています。これらの要件を満たすために、お客様はどの GCP プロダクトを実装する必要がありますか?

Cloud Identity-Aware Proxy

クラウドアーマー

クラウドエンドポイント

クラウド VPN

新問題 114
あなたの組織は、Cloud NAT を介したインターネットアクセスを備えた Virtual Private Cloud (VPC) 内のプライベート IP のみで仮想マシン (VM) を運用しています。毎日、すべての VM に重要な OS アップデートを適用し、概要レポートを提供する必要があります。どうすればよいですか?

出力ファイアウォールルールが送信トラフィックを許可していることを検証します。各 VM にログインし、OS 固有の更新コマンドを実行します。毎日の更新については、重要なパッチで毎日更新するように Cloud Scheduler ジョブを構成します。

VM Manager が VM にインストールされ、実行されていることを確認します。OSパッチ管理サービスにて。重要なパッチを毎日更新するようにパッチジョブを設定します。

VM にパブリック IP を割り当てます。エグレスファイアウォールルールがすべての送信トラフィックを許可していることを検証します各 VM にログインします。また、毎日の cron ジョブを設定して、アクティビティが少ない夜間に OS アップデートを有効にします。

最新のパッチを Cloud Storage バケットにコピーします。各 VM にログインします。バケットからパッチをダウンロードしてインストールします。

新問題 115
あなたの組織は認証に Google Workspace Enterprise Edition を使用しています。あなたは、従業員が Google Cloud への認証後に長時間ラップトップを放置することを懸念しています。悪意のある人物が従業員の無人ラップトップを使用して環境を変更することを防止する必要があります。
あなたは何をするべきか？

従業員が長時間セッションを開いたままにしないことを要求するポリシーを作成します。

不要な Google Cloud API を確認して無効にします。

強力なパスワードと、セキュリティトークンまたは Google 認証による 2SV が必要です。

Google Cloud サービスのセッション長のタイムアウトをより短い期間に設定します。

新問題 116
組織の Google Cloud VM は、外部ユーザー向けのウェブサービスをホストするためにパブリック IP アドレスを使用して構成するインスタンステンプレートを介してデプロイされます。VM は、VM 用の 1 つのカスタム共有 VPC を含むホスト (VPC) プロジェクトに接続されたサービスプロジェクトに存在します。外部ユーザーへのサービスを継続しながら、VM のインターネットへの露出を減らすように依頼されました。マネージドインスタンスグループ (MIG) を起動するためのパブリック IP アドレス構成なしで、インスタンステンプレートを既に再作成しています。あなたは何をするべきか？

MIG のサービスプロジェクトに Cloud NAT ゲートウェイをデプロイします。

MIG のホスト (VPC) プロジェクトに Cloud NAT ゲートウェイをデプロイします。

MIG をバックエンドとしてサービスプロジェクトに外部 HTTP(S) ロードバランサをデプロイします。

MIG をバックエンドとしてホスト (VPC) プロジェクトに外部 HTTP(S) ロードバランサーをデプロイします。

新問題 117
お客様の内部セキュリティチームは、Cloud Storage 上のデータを暗号化するために独自の暗号鍵を管理する必要があり、顧客指定の暗号鍵（CSEK）を使用することにしました。
チームはこのタスクをどのように完了する必要がありますか?

暗号化キーを Cloud Storage バケットにアップロードしてから、オブジェクトを同じバケットにアップロードします。

gsutil コマンドラインツールを使用してオブジェクトを Cloud Storage にアップロードし、暗号鍵の場所を指定します。

Google Cloud Platform Console で暗号化キーを生成し、指定されたキーを使用してオブジェクトを Cloud Storage にアップロードします。

オブジェクトを暗号化してから、gsutil コマンドラインツールまたは Google Cloud Platform Console を使用してオブジェクトを Cloud Storage にアップロードします。

新問題 118
会社のユーザーは、BigQuery テーブル内のデータにアクセスします。彼らが勤務時間中にのみデータにアクセスできるようにしたいと考えています。
あなたは何をするべきか？

BigQuery データ閲覧者のロールを、指定された勤務時間内にアクセスを制限する午前 1 時の条件とともに割り当てます。

指定された稼働時間中に BigQuery の組織ポリシー制約を変更する Cloud Functions インスタンスをトリガーするように Cloud Scheduler を構成します。

指定された稼働時間中に毎日ユーザーを追加および削除するサービスアカウントに BigQuery データ閲覧者のロールを割り当てます。

BigQuery データ閲覧者のロールを割り当てる gsuttl スクリプトを実行し、指定された稼働時間内にのみ削除します。

新問題 119
あなたは、Google Cloud 内のアプリケーションデータ（転送中のデータ、使用中のデータ、保存中のデータを含む）のエンドツーエンドの暗号化を必要とするクライアントと相談しています。これを達成するには、どのオプションを利用する必要がありますか? （2つ選んでください。）

外部キーマネージャー

顧客提供の暗号化キー

ハードウェアセキュリティモジュール

Confidential Computing と Istio

クライアント側の暗号化

新問題 120
あなたは組織のセキュリティチームのメンバーです。あなたのチームには、クレジットカード決済処理システムとウェブアプリケーションおよびデータ処理システムを含む単一の GCP プロジェクトがあります。PCI 監査基準の対象となるシステムの範囲を縮小したいと考えています。
あなたは何をするべきか？

Web アプリケーションへの管理者アクセスに多要素認証を使用します。

PA-DSS に準拠することが認定されたアプリケーションのみを使用してください。

カード会員データ環境を別の GCP プロジェクトに移動します。

オフィスとクラウド環境間のすべての接続に VPN を使用します。

新問題 121
あなたの組織は、最近いくつかの DDoS 攻撃を受けました。ドメイン名検索への応答を認証する必要があります。どの Google Cloud サービスを使用する必要がありますか?

Generalization

Redaction

CryptoHashConfig

CryptoReplaceFfxFpeConfig

新問題 122
gcloud コマンドラインツールを使用して、サードパーティのシングルサインオン（SSO）SAML ID プロバイダを使用して認証したいと考えています。認証がサードパーティ ID プロバイダー (IdP) によってサポートされていることを確認するには、どのオプションが必要ですか? （2つ選んでください。）

サードパーティ IdP としての SSO SAML

ID プラットフォーム

OpenID コネクト

ID 認識プロキシ

クラウド ID

新問題 123
標準ネットワーク層を使用している間、デフォルトでクライアント IP を維持するには、どのタイプのロードバランサーを使用する必要がありますか?

SSL プロキシ

TCP プロキシ

内部 TCP/UDP

TCP/UDP ネットワーク

新問題 124
組織の Google Cloud VM は、外部ユーザー向けのウェブサービスをホストするためにパブリック IP アドレスを使用して構成するインスタンステンプレートを介してデプロイされます。VM は、VM 用の 1 つのカスタム共有 VPC を含むホスト (VPC) プロジェクトに接続されたサービスプロジェクトに存在します。外部ユーザーへのサービスを継続しながら、VM のインターネットへの露出を減らすように依頼されました。マネージドインスタンスグループ (MIG) を起動するためのパブリック IP アドレス構成なしで、インスタンステンプレートを既に再作成しています。あなたは何をするべきか？

MIG のサービスプロジェクトに Cloud NAT ゲートウェイをデプロイします。

MIG のホスト (VPC) プロジェクトに Cloud NAT ゲートウェイをデプロイします。

MIG をバックエンドとしてサービスプロジェクトに外部 HTTP(S) ロードバランサをデプロイします。

MIG をバックエンドとしてホスト (VPC) プロジェクトに外部 HTTP(S) ロードバランサーをデプロイします。

新問題 125
あなたの組織は、CIS Google Cloud Computing Foundations Benchmark v1 3 0 (CIS Google Cloud Foundation 1 3) に対して継続的に評価されることを望んでいます。コントロールの中には組織に無関係なものもあり、評価では無視する必要があります。関連するコントロールのみが確実に評価されるように、自動化されたシステムまたはプロセスを作成する必要があります。
あなたは何をするべきか？

無関係なすべてのセキュリティ検出結果をタグとセキュリティ例外を示す値でマークします。マークされた検出結果をすべて選択し、表示されるたびにコンソールでミュートします。 Security Command Center (SCC) Premium をアクティブにします。

Security Command Center (SCC) プレミアムを有効にする SCC のセキュリティ検出結果をミュートして評価されないようにするルールを作成します。

Security Command Center (SCC) からすべての検出結果を CSV ファイルにダウンロードします。 CIS Google Cloud Foundation 1 3 の一部である検出結果をファイル内でマークします。無関係で会社の範囲外のエントリは無視します。

外部の監査会社に、必要な CIS ベンチマークを含む独立したレポートの提供を依頼します。監査の範囲内で、一部の管理は不要であり、無視する必要があることを明確にします。

新問題 126
お客様のデータサイエンスグループは、分析ワークロードに Google Cloud Platform (GCP) を使用したいと考えています。
会社のポリシーでは、すべてのデータは会社所有でなければならず、すべてのユーザー認証は独自の Security Assertion Markup Language (SAML) 2.0 ID プロバイダー (IdP) を経由する必要があると規定されています。インフラストラクチャオペレーションシステムエンジニアは、お客様のために Cloud Identity を設定しようとしていたところ、お客様のドメインがすでに G Suite で使用されていることに気付きました。
混乱を最小限に抑えて作業を進めるには、システムエンジニアにどのようにアドバイスすればよいですか?

Google サポートに連絡し、ドメイン競合プロセスを開始して、新しい Cloud Identity ドメインでドメイン名を使用してください。

新しいドメイン名を登録し、それを新しい Cloud Identity ドメインに使用します。

データサイエンスマネージャーのアカウントを既存のドメインのスーパー管理者としてプロビジョニングするよう Google に依頼します。

お客様の経営陣に、Google マネージドサービスの他の用途を発見するよう依頼し、既存のスーパー管理者と協力します。

新問題 127
あなたの会社は、顧客が年齢層に応じて信用スコアを改善するために構築できる製品を決定したいと考えています。これを実現するには、会社のバンキングアプリのユーザー情報を、サードパーティから受け取った顧客のクレジットスコアデータと結合する必要があります。この生データを使用すると、このタスクを完了することができますが、機密データが公開され、新しいシステムに伝播される可能性があります。
このリスクは、データベース全体の参照整合性を維持しながら、Cloud Data Loss Prevention による匿名化とトークン化を使用して対処する必要があります。これらの要件を満たすには、どの暗号化トークン形式を使用する必要がありますか?

確定的暗号化

安全な鍵ベースのハッシュ

フォーマット保存暗号化

暗号ハッシュ

新問題 128
あなたの組織は新しいワークロードを取得しました。ウェブサーバーとアプリケーション (アプリ) サーバーは、新しく作成されたカスタム VPC 内の Compute Engine で実行されます。次の要件を満たす安全なネットワーク通信ソリューションを構成する責任があります。
Web 層とアプリケーション層の間の通信のみを許可します。
Web 層とアプリ層を自動スケーリングする際に、一貫したネットワークセキュリティを適用します。
Compute Engine インスタンス管理者がネットワークトラフィックを変更できないようにします。
あなたは何をするべきか？

1. 実行中のすべての Web サーバーとアプリケーションサーバーをそれぞれのネットワークタグで構成します。
2. それぞれのネットワークタグでターゲット/ソースを指定する VPC ファイアウォールルールを許可するを作成します。

1. 実行中のすべての Web サーバーとアプリケーションサーバーをそれぞれのサービスアカウントで構成します。
2. それぞれのサービスアカウントでターゲット/ソースを指定する許可 VPC ファイアウォールルールを作成します。

1. それぞれのネットワークタグで構成されたインスタンステンプレートを使用して、Web サーバーとアプリサーバーを再展開します。
2. それぞれのネットワークタグでターゲット/ソースを指定する VPC ファイアウォールルールを許可するを作成します。

1. それぞれのサービスアカウントで構成されたインスタンステンプレートを使用して、Web サーバーとアプリサーバーを再展開します。
2. それぞれのサービスアカウントでターゲット/ソースを指定する許可 VPC ファイアウォールルールを作成します。

新問題 129
組織は以前、Google 管理の暗号化キー (GMEK) を使用してファイルを Cloud Storage に保存していました。しかし最近、顧客管理の暗号化キー (CMEK) を要求するように内部ポリシーが更新されました。最小限のコストでファイルを迅速かつ効率的に再暗号化する必要があります。
あなたは何をするべきか？

ファイルをローカルで暗号化し、gsutil を使用してファイルを新しいバケットにアップロードします。

セカンダリリージョンで CMEK が有効になっている新しいバケットにファイルをコピーします。

gsutil を使用して、キーファイルを指定してファイルを同じ Cloud Storage バケットに再アップロードします。

バケットの暗号化タイプを CMEK に変更し、オブジェクトを書き換えます。

Professional-Cloud-Security-Engineer日本語更新された試験問題集で[2024年最新] 練習有効な試験問題集 [Q106-Q129]

コメントを残すコメントをキャンセル

関連認証

Professional-Cloud-Security-Engineer-JPN 練習テスト

最近の投稿

アーカイブ

カテゴリー

Professional-Cloud-Security-Engineer日本語更新された試験問題集で[2024年最新] 練習有効な試験問題集 [Q106-Q129]

コメントを残す コメントをキャンセル

関連認証

Professional-Cloud-Security-Engineer-JPN 練習テスト

最近の投稿

アーカイブ

カテゴリー

コメントを残すコメントをキャンセル