Google Cloud 認定資格 – Professional Cloud Security Engineer – 模擬問題集(全 40問)
QUESTION 1
顧客は Google Compute Engine の弾力性を利用するアプリケーションを Google Compute Engine にデプロイしました。
インフラストラクチャ運用エンジニアと協力して、Google Compute Engine VM Windows がすべての最新のOS パッチで最新であることを確認するにはどうすればよいでしょうか?
- A. ドメインコントローラーを Google Compute Engine に統合し、グループポリシーオブジェクトを介して毎週パッチを展開します。
- B. Google Cloud Deployment Manager を使用して、更新されたVM を新しいサービング インスタンス グループ(IGs)にプロビジョニングします。
- C. 毎週のメンテナンス期間中にすべてのVM を再起動し、起動スクリプトがインターネットから最新のパッチをダウンロードできるようにします。
- D. パッチが利用可能になったときに新しいベースイメージを構築し、CI/CD パイプラインを使用してVM を再構築し、段階的に展開します。
Correct Answer: C
QUESTION 2
セキュリティチームの一員であり、侵害されたサービス アカウントキーを調査しています。
サービス アカウントによって作成された新しいリソースを監査する必要があります。
何をするべきかでしょうか?
- A. データアクセス ログをクエリします。
- B. 管理アクティビティ ログをクエリします。
- C. アクセスの透明性ログをクエリします。
- D. Stackdriver Monitoring Workspace をクエリします。
Correct Answer: A
Reference contents:
– サービス アカウントの監査ログ
– Cloud Audit Logs > データアクセス監査ログ
QUESTION 3
顧客はVMでバッチ処理システムを実行し、出力ファイルを Google Cloud Storage バケットに保存したいと考えています。
ネットワークチームとセキュリティチームはVM がパブリック インターネットに到達できないことを決定しました。
これはどのように達成すればいいでしょうか?
- A. すべてのVM にローカルファイルシステムとして Google Cloud Storage バケットをマウントします。
- B. Google Cloud Storage API エンドポイントにアクセスするためのNAT ゲートウェイをプロビジョニングします。
- C. VPC で限定公開の Google アクセスを有効にします。
- D. VM からのインターネットトラフィックをブロックするファイアウォール ルールを作成します。