不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

使用全面的學習材料徵服 Google 專業雲安全工程師考試

使用 SPOTO 的考試問題和答案、測試問題、考試問題和學習材料來準備 Google 專業雲安全工程師認證考試,可以大大提高您順利通過考試的幾率。這些全面的考試資源涵蓋了所有相關主題,包括安全最佳實踐、行業要求、身份和訪問管理、組織安全策略、使用谷歌雲技術的數據保護、網絡安全防禦、威脅監控、安全自動化、人工智能安全、安全軟件供應鏈和法規遵從。SPOTO 的模擬考試可模擬真實的考試環境,使您能夠確定需要進一步學習的領域。利用這些備考工具,您可以自信地展示自己作爲專業雲安全工程師在設計、開發和管理 Google Cloud 安全解決方案方面的專業知識。
參加其他線上考試
問題 #1
您正在將應用程序日誌導出到 Cloud Storage。您遇到了日誌匯不支持統一桶級訪問策略的錯誤消息。應該如何解決此錯誤?
A. 更改水桶的訪問控制模型
B. 用正確的水桶目的地更新水槽。
C. 將 roles/logging
D. 將 roles/logging
查看答案
正確答案: B
問題 #2
資源層次結構如下。如圖所示,層次結構中的每個節點都有一個組織策略。VPC A 中拒絕使用哪些負載平衡器類型?
A. 據全局節點策略,拒絕所有負載平衡器類型。
B. 據文件夾策略拒絕 INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPS。
C. XTERNAL_TCP_PROXY 和 EXTERNAL_SSL_PROXY 根據項目政策被拒絕。
D. 據文件夾和項目政策,拒絕 EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY、INTERNAL_TCP_UDP 和 INTERNAL_HTTP_HTTPS。
查看答案
正確答案: D
問題 #3
您正在建立一個 CI/CD 管道,以便將容器化應用程序部署到 Google Kubernetes Engine (GKE) 上的生產集羣。您需要防止部署存在已知漏洞的容器。您對自己的解決方案有以下要求:必須是雲原生的必須具有成本效益最大限度地減少運營開銷您應該如何實現這一目標?(選擇兩項)。
A.
B.
C.
D.
查看答案
正確答案: CE
問題 #4
您的團隊使用一個服務帳戶來驗證從指定的計算引擎虛擬機實例到指定的雲存儲桶的數據傳輸。一名工程師不小心刪除了服務帳戶,導致應用程序功能中斷。您想在不影響安全性的情況下儘快恢復應用程序,該怎麼辦?
A. 暫時禁用雲存儲桶的身份驗證。
B. 使用 undelete 命令恢復已刪除的服務帳戶。
C. 創建一個與已刪除服務帳戶同名的新服務帳戶。
D. 更新另一個現有服務帳戶的權限,並將這些憑證提供給應用程序。
查看答案
正確答案: B
問題 #5
客戶應如何將 Stackdriver 日誌從 GCP 可靠地傳送到內部 SIEM 系統?
A. 查詢數據訪問日誌。
B. 查詢管理員活動日誌。
C. 詢訪問透明度日誌。
D. 查詢堆棧驅動程序監控工作區。
查看答案
正確答案: C
問題 #6
客戶希望在計算引擎上部署大量 3 層網絡應用程序。客戶應如何確保不同層應用程序之間的認證網絡隔離?
A. 自己的項目中運行每一層,並使用項目標籤進行隔離。
B. 不同的服務帳戶(SA)運行每個層,並使用基於 SA 的防火牆規則。
C. 自己的子網中運行每個層,並使用基於子網的防火牆規則。
D. 用自己的虛擬機標記運行每個層,並使用基於標記的防火牆規則。
查看答案
正確答案: C
問題 #7
您正在建立一個 CI/CD 管道,以便將容器化應用程序部署到 Google Kubernetes Engine (GKE) 上的生產集羣。您需要防止部署存在已知漏洞的容器。您對自己的解決方案有以下要求:必須是雲原生的必須具有成本效益最大限度地減少運營開銷您應該如何實現這一目標?(選擇兩項)。
A.
B.
C.
D.
查看答案
正確答案: CE
問題 #8
您需要集中管理團隊的生產項目日誌。您希望團隊能夠使用日誌資源管理器搜索和分析日誌。您應該怎麼做?
A. 啓用雲監控工作區,並添加要監控的生產項目。
B. 在組織級別使用日誌資源管理器,篩選生產項目日誌。
C. 在生產項目的父文件夾下創建聚合 org sink,並將目標設置爲 Cloud Storage 存儲桶。
D. 在生產項目的父文件夾下創建聚合 org sink,並將目標設置爲日誌桶。
查看答案
正確答案: D
問題 #9
您的任務是爲 Google Cloud 上的一個公共應用程序實施外部 Web 應用程序保護,以防範常見的 Web 應用程序攻擊。您希望在執行這些策略變更之前對其進行驗證。您應該使用哪種服務?
A. oogle Cloud Armor 在預覽模式下的預配置規則
B. 監控模式下預置 VPC 防火牆規則
C. 歌前端(GFE)固有的保護措施
D. 負載平衡防火牆規則
E. 幹運行模式下的 VPC 服務控制
查看答案
正確答案: A
問題 #10
您供職的企業屬於受監管行業,對數據保護有嚴格要求。該組織在雲中備份數據。爲了遵守數據隱私法規,這些數據只能存儲一段特定的時間,並且必須在這段特定時間後刪除。您希望自動遵守這一法規,同時最大限度地降低存儲成本。
A. 將數據存儲在持久磁盤中,並在到期時刪除磁盤。
B. 將數據存儲在 Cloud Bigtable 表中,並爲列族設置過期時間。
C. 數據存儲在 BigQuery 表中,並設置表的過期時間。
D. 將數據存儲在 Cloud Storage 存儲桶中,並配置存儲桶的對象生命周期管理功能。
查看答案
正確答案: C
問題 #11
數據庫管理員發現雲 SQL 實例中存在惡意活動。數據庫管理員希望監控讀取資源配置或元數據的 API 調用。數據庫管理員應查看哪些日誌?
A. 行政活動
B. 系統事件
C. 獲取透明度
D. 數據訪問
查看答案
正確答案: C
問題 #12
客戶希望在計算引擎上部署大量 3 層網絡應用程序。客戶應如何確保不同層應用程序之間的認證網絡隔離?
A. 在自己的項目中運行每一層,並使用項目標籤進行隔離。
B. 使用不同的服務帳戶(SA)運行每個層,並使用基於 SA 的防火牆規則。
C. 在自己的子網中運行每個層,並使用基於子網的防火牆規則。
D. 使用自己的虛擬機標記運行每個層,並使用基於標記的防火牆規則。
查看答案
正確答案: C
問題 #13
您的任務是檢查 IP 數據包數據是否含有無效或惡意內容。您應該怎麼做?
A. 用 "數據包鏡像 "來鏡像進出特定虛擬機實例的流量。使用分析鏡像流量的安全軟件進行檢查。
B. 爲 VPC 中的所有子網啓用 VPC Flow Logs。使用雲日誌對流量日誌數據進行檢查。
C. 在 VP 中的每個虛擬機實例上配置 Fluentd 代理 使用雲日誌對日誌數據進行檢查。
D. 配置 Google Cloud Armor 訪問日誌,以便對日誌數據執行檢查。
查看答案
正確答案: B
問題 #14
您需要使用雲外部密鑰管理器創建一個加密密鑰,以便對 Google 雲中靜態的特定 BigQuery 數據進行加密。您應該先執行哪些步驟?
A.
B.
C.
D.
查看答案
正確答案: C
問題 #15
您需要使用雲外部密鑰管理器創建一個加密密鑰,以便對 Google 雲中靜態的特定 BigQuery 數據進行加密。您應該先執行哪些步驟?
A.
B.
C.
D.
查看答案
正確答案: C
問題 #16
您的組織獲得了一個新的工作負載。Web 和應用程序 (App) 服務器將在新創建的自定義 VPC 中的計算引擎上運行。您負責配置一個安全的網絡通信解決方案,以滿足以下要求:只允許在 Web 層和 App 層之間進行通信;在自動擴展 Web 層和 App 層時執行一致的網絡安全;防止計算引擎實例管理員更改網絡流量。
A.
B.
C.
D.
查看答案
正確答案: A
問題 #17
一位經理希望將安全事件日誌保留 2 年,同時儘量降低成本。您需要編寫一個過濾器來選擇適當的日誌條目。
A. BigQuery 數據集
B. 雲存儲桶
C. tackDriver 日誌
D. 雲發布/子主題
查看答案
正確答案: B
問題 #18
您的團隊希望從內部部署的 Active Directory 服務集中管理 GCP IAM 權限。您的團隊希望按 AD 組成員身份管理權限。您的團隊應如何滿足這些要求?
A. 設置雲目錄同步以同步組,並在組上設置 IAM 權限。
B. 設置 SAML 2
C. 用雲身份和訪問管理 API 從 Active Directory 創建組和 IAM 權限。
D. 用 Admin SDK 從 Active Directory 創建組並分配 IAM 權限。
查看答案
正確答案: B
問題 #19
某組織正在將應用程序遷移到谷歌雲,同時在內部保留一些關鍵任務應用程序。該組織必須以至少 50 Gbps 的帶寬傳輸數據。他們應該使用什麼來確保站點之間的安全持續連接?
A. 專用互聯
B. 雲路由器
C. 雲 VPN
D. 合作夥伴互聯
查看答案
正確答案: A
問題 #20
某組織的典型網絡和安全審查包括分析應用程序傳輸路由、請求處理和防火牆規則。他們希望讓開發人員團隊能夠部署新的應用程序,而無需進行這種全面審查。
A. 使用帶有防火牆過濾器的 Forseti 來捕捉生產中任何不需要的配置。
B. 強制使用基礎設施即代碼,並在 CI/CD 管道中提供靜態分析,以執行策略。
C. 過客戶管理的路由器路由所有 VPC 流量,以檢測生產中的惡意模式。
D. 有生產應用程序都將在內部運行。允許開發人員自由使用 GCP 作爲開發和質量保證平臺。
查看答案
正確答案: B
問題 #21
您的團隊需要確保計算引擎實例無法訪問互聯網或任何 Google API 或服務。(選擇兩項)。
A. 置 Google 雲目錄同步,使用將 "用戶電子郵件地址 "作爲屬性的 LDAP 搜索規則同步安全組,以方便單向同步。
B. 置 Google 雲目錄同步,使用將 "用戶電子郵件地址 "作爲屬性的 LDAP 搜索規則同步安全組,以促進雙向同步。
C. 用管理工具根據電子郵件地址屬性同步子集。在谷歌域中創建一個組。在谷歌域中創建的組將自動擁有一個明確的谷歌雲身份和訪問管理(IAM)角色。
D. 用管理工具根據組對象類別屬性同步子集。在谷歌域中創建一個組。在 Google 域中創建的組將自動擁有明確的 Google 雲身份和訪問管理(IAM)角色。
查看答案
正確答案: AC
問題 #22
您的任務是檢查 IP 數據包數據是否含有無效或惡意內容。您應該怎麼做?
A. 用 "數據包鏡像 "來鏡像進出特定虛擬機實例的流量。使用分析鏡像流量的安全軟件進行檢查。
B. 爲 VPC 中的所有子網啓用 VPC Flow Logs。使用雲日誌對流量日誌數據進行檢查。
C. 在 VP 中的每個虛擬機實例上配置 Fluentd 代理 使用雲日誌對日誌數據進行檢查。
D. 配置 Google Cloud Armor 訪問日誌,以便對日誌數據執行檢查。
查看答案
正確答案: B
問題 #23
您是公司的安全管理員,負責管理 Google Cloud 上的訪問控制(識別、身份驗證和授權)。在配置身份驗證和授權時,您應該遵循哪些 Google 推薦的最佳實踐?(選擇兩項)。
A. 使用雲外部密鑰管理器加密非敏感數據和敏感數據。
B. 使用雲密鑰管理服務加密非敏感數據和敏感數據
C. 用谷歌默認加密技術加密非敏感數據,使用雲外部密鑰管理器加密敏感數據。
D. 使用谷歌默認加密技術加密非敏感數據,使用雲密鑰管理服務加密敏感數據。
查看答案
正確答案: DE
問題 #24
貴組織的 Google Cloud 虛擬機是通過實例模板部署的,該模板爲虛擬機配置了公共 IP 地址,以便爲外部用戶託管 Web 服務。虛擬機駐留在一個服務項目中,該項目連接到一個主機(VPC)項目,其中包含一個虛擬機自定義共享 VPC。您被要求在繼續爲外部用戶提供服務的同時,減少虛擬機與互聯網的接觸。您已經在沒有公共 IP 地址配置的情況下重新創建了實例模板,以啓動虛擬機。
A. 在 MIG 服務項目中部署雲 NAT 網關。
B. 在主機(VPC)項目中爲 MIG 部署雲 NAT 網關。
C. 在服務項目中部署外部 HTTP(S) 負載平衡器,將 MIG 作爲後端。
D. 在主機(VPC)項目中部署外部 HTTP(S) 負載平衡器,將 MIG 作爲後端。
查看答案
正確答案: C
問題 #25
您正在排除連接到共享 VPC 的計算引擎實例和 BigQuery 數據集之間的拒絕訪問錯誤。這些數據集位於受 VPC 服務控制邊界保護的項目中。您應該怎麼做?
A. 將包含共享 VPC 的主機項目添加到服務邊界。
B. 將計算引擎實例所在的服務項目添加到服務邊界。
C. 計算引擎實例所在的服務項目和包含共享 VP 的主機項目之間創建服務邊界
D. 計算引擎實例所在的服務項目和包含受保護 BigQuery 數據集的邊界之間創建邊界橋。
查看答案
正確答案: C
問題 #26
在 IaaS 的共享安全責任模式中,客戶要分擔堆棧中哪兩層的責任?(選擇兩個)。
A. 件
B. 絡安全
C. 儲加密
D. 入政策
E. 子
查看答案
正確答案: CD
問題 #27
在使用標準網絡層時,應使用哪種類型的負載平衡器來默認維護客戶端 IP?
A. SL代理
B. TCP 代理
C. 內部 TCP/UDP
D. CP/UDP 網絡
查看答案
正確答案: C
問題 #28
在 VPC 網絡上定義了哪兩個隱含防火牆規則?(選擇兩個)。
A. 許所有出站連接的規則
B. 絕所有入站連接的規則
C. 止所有 25 端口入站連接的規則
D. 止所有出站連接的規則
E. 許所有 80 端口入站連接的規則
查看答案
正確答案: AB
問題 #29
客戶的公司有多個業務部門。每個業務部門都獨立運營,每個部門都有自己的工程小組。您的團隊希望了解公司內部創建的所有項目,並希望根據不同的業務部門組織他們的 Google 雲平臺 (GCP) 項目。每個業務部門還需要單獨的 IAM 權限集。您應該使用哪種策略來滿足這些需求?
A. 創建一個組織節點,並爲每個業務單位分配文件夾。
B. 使用 gmail
C. 項目中分配 GCP 資源,並用標籤標明資源歸哪個業務部門所有。
D. VPC 中爲每個業務部門分配 GCP 資源,以分離網絡訪問。
查看答案
正確答案: A
問題 #30
您負責管理貴組織的安全運營中心 (SOC)。目前,您根據數據包頭信息監控和檢測 Google Cloud VPC 中的網絡流量異常。但是,您希望能夠探索網絡流及其有效載荷,以協助調查。您應該使用哪種 Google 雲產品?
A. 市場 IDS
B. VPC 流量日誌
C. PC 服務控制日誌
D. 據包鏡像
E. oogle 雲裝甲深度包檢測
查看答案
正確答案: D
問題 #31
您希望使用雲密鑰管理服務 (KMS) 管理的密鑰對計算引擎磁盤上的數據進行靜態加密。這些密鑰的雲身份和訪問管理(IAM)權限必須分組管理,因爲所有密鑰的權限都應相同。
A. 所有持久磁盤和該 KeyRing 中的所有密鑰創建一個 KeyRing。在密鑰級別管理 IAM 權限。
B. 所有持久磁盤和該 KeyRing 中的所有密鑰創建一個 KeyRing。在 KeyRing 級別管理 IAM 權限。
C. 每個持久磁盤創建一個 KeyRing,每個 KeyRing 包含一個密鑰。在密鑰級別管理 IAM 權限。
D. 每個持久磁盤創建一個 KeyRing,每個 KeyRing 包含一個密鑰。在 KeyRing 級別管理 IAM 權限。
查看答案
正確答案: C
問題 #32
貴公司正在使用 GSuite,並在 Google App Engine 上開發了一個供內部使用的應用程序。您需要確保即使員工密碼泄露,外部用戶也無法訪問應用程序。
A. 雲甲
B. oogle 雲審計日誌
C. 雲安全掃描儀
D. Forseti 安全
查看答案
正確答案: A
問題 #33
某客戶希望方便其移動員工訪問託管在谷歌雲平臺(GCP)上的 CRM 網頁界面。客戶關係管理只能由企業網絡上的人員訪問。客戶希望通過互聯網提供該功能。您的團隊要求在應用程序前面有一個支持雙因素身份驗證的身份驗證層。客戶應該實施哪種 GCP 產品來滿足這些要求?
A. 雲身份感知代理
B. 雲裝甲
C. 端點
D. 雲 VPN
查看答案
正確答案: A
問題 #34
您的團隊在主機項目上配置了防火牆規則、子網和 VPN 網關。他們需要讓工程組 A 僅將計算引擎實例附加到 10.1.1.0/24 子網。
A. 機項目級別的計算網絡用戶角色。
B. 在子網級別計算網絡用戶角色。
C. 機項目級別的計算共享 VPC 管理角色。
D. 服務項目級別的計算共享 VPC 管理角色。
查看答案
正確答案: B
問題 #35
您的團隊需要確保計算引擎實例無法訪問互聯網或任何 Google API 或服務。(選擇兩項)。
A. 置 Google 雲目錄同步,使用將 "用戶電子郵件地址 "作爲屬性的 LDAP 搜索規則同步安全組,以方便單向同步。
B. 置 Google 雲目錄同步,使用將 "用戶電子郵件地址 "作爲屬性的 LDAP 搜索規則同步安全組,以促進雙向同步。
C. 用管理工具根據電子郵件地址屬性同步子集。在谷歌域中創建一個組。在谷歌域中創建的組將自動擁有一個明確的谷歌雲身份和訪問管理(IAM)角色。
D. 用管理工具根據組對象類別屬性同步子集。在谷歌域中創建一個組。在 Google 域中創建的組將自動擁有明確的 Google 雲身份和訪問管理(IAM)角色。
查看答案
正確答案: AC
問題 #36
您是一家企業的安全團隊成員。您所在的團隊有一個 GCP 項目,其中包含信用卡支付處理系統、網絡應用程序和數據處理系統。您希望縮小受 PCI 審計標準限制的系統範圍。
A. 對網絡應用程序的管理員訪問使用多因素身份驗證。
B. 能使用經認證符合 PA-DSS 的應用程序。
C. 持卡人數據環境轉移到單獨的 GCP 項目中。
D. 在辦公室和雲環境之間的所有連接中使用 VPN。
查看答案
正確答案: C
問題 #37
您的團隊需要確保後端數據庫只能被前端應用程序訪問,而不能被網絡上的其他實例訪問。
A. 創建入口防火牆規則,使用防火牆標記只允許從應用程序訪問數據庫。
B. 前端應用程序和數據庫創建不同的子網,以確保網絡隔離。
C. 創建兩個 VPC 網絡,並使用雲 VPN 網關連接這兩個網絡,以確保網絡隔離。
D. 創建兩個 VPC 網絡,並使用 VPC 對等互聯連接這兩個網絡,以確保網絡隔離。
查看答案
正確答案: A
問題 #38
資源層次結構如下。如圖所示,層次結構中的每個節點都有一個組織策略。VPC A 中拒絕使用哪些負載平衡器類型?
A. 據全局節點策略,拒絕所有負載平衡器類型。
B. 據文件夾策略拒絕 INTERNAL_TCP_UDP、INTERNAL_HTTP_HTTPS。
C. XTERNAL_TCP_PROXY 和 EXTERNAL_SSL_PROXY 根據項目政策被拒絕。
D. 據文件夾和項目政策,拒絕 EXTERNAL_TCP_PROXY、EXTERNAL_SSL_PROXY、INTERNAL_TCP_UDP 和 INTERNAL_HTTP_HTTPS。
查看答案
正確答案: D
問題 #39
您應該使用哪種 Google 雲服務來執行應用程序和資源的訪問控制策略?
A. 份感知代理
B. 雲 NAT
C. oogle 雲裝甲
D. 屏蔽虛擬機
查看答案
正確答案: A
問題 #40
出於合規原因,組織需要確保範圍內的 PCI Kubernetes Pod 只駐留在 "範圍內 "節點上。組織應如何實現這一目標?
A. 在 pod 配置中添加一個 nodeSelector 字段,只使用標有 inscope:true 的節點。
B. 創建一個帶有標籤 inscope: true 的節點池,並創建一個 Pod 安全策略,該策略只允許 Pod 在帶有該標籤的節點上運行。
C. 在節點上放置一個污點,標籤爲 inscope: true,效果爲 NoSchedule,容忍度與 Pod 配置中的相匹配。
D. 命名空間 "in-scope-pci "中運行所有範圍內 Pod。
查看答案
正確答案: C
問題 #41
您需要設置兩個網段:一個是非信任子網,另一個是信任子網。您想配置下一代防火牆 (NGFW) 等虛擬設備來檢查兩個網段之間的所有流量。您應該如何設計網絡以檢查流量?
A. 通過現有協議(如 syslog)將所有日誌發送到 SIEM 系統。
B. 配置每個項目,將其所有日誌導出到共同的 BigQuery DataSet,SIEM 系統將查詢該數據集。
C. 配置組織日誌匯,將日誌導出到雲發布/子主題,並通過 Dataflow 發送到 SIEM。
D. SIEM 建立一個連接器,以便從 GCP RESTful JSON API 實時查詢所有日誌。
查看答案
正確答案: B
問題 #42
一個工程團隊正在啓動一個將在互聯網上公開的網絡應用程序。網絡應用程序託管在多個 GCP 區域,並將根據 URL 請求定向到相應的後端。您的團隊希望避免直接在互聯網上公開應用程序,並希望拒絕來自特定惡意 IP 地址列表的流量。
A. 雲甲
B. 網絡負載平衡
C. SL代理負載平衡
D. AT 網關
查看答案
正確答案: A
問題 #43
某客戶有 300 名工程師。該公司希望授予不同級別的訪問權限,並有效管理開發和生產環境項目中用戶之間的 IAM 權限。(選擇兩個)。
A. 爲所有持久磁盤和該 KeyRing 中的所有密鑰創建一個 KeyRing。在密鑰級別管理 IAM 權限。
B. 爲所有持久磁盤和該 KeyRing 中的所有密鑰創建一個 KeyRing。在 KeyRing 級別管理 IAM 權限。
C. 每個持久磁盤創建一個 KeyRing,每個 KeyRing 包含一個密鑰。
D. 爲每個持久磁盤創建一個 KeyRing,每個 KeyRing 包含一個密鑰。在 KeyRing 級別管理 IAM 權限。
查看答案
正確答案: BC
問題 #44
某企業採用谷歌雲平臺(GCP)提供應用程序託管服務,需要爲其雲身份賬戶設置密碼要求提供指導。該組織有一項密碼政策要求,即企業員工的密碼必須有最少的字符數。該組織可以使用哪些雲身份密碼指南來通知他們的新要求?
A. 密碼的最小長度設置爲 8 個字符。
B. 置密碼的最小長度爲 10 個字符。
C. 置密碼的最小長度爲 12 個字符。
D. 密碼的最小長度設置爲 6 個字符。
查看答案
正確答案: A
問題 #45
客戶應如何將 Stackdriver 日誌從 GCP 可靠地傳送到內部 SIEM 系統?
A. 查詢數據訪問日誌。
B. 查詢管理員活動日誌。
C. 詢訪問透明度日誌。
D. 查詢堆棧驅動程序監控工作區。
查看答案
正確答案: C
問題 #46
您需要遵循谷歌推薦的做法,利用信封加密並在應用層加密數據。
A. 在本地生成數據加密密鑰 (DEK) 來加密數據,並在雲 KMS 中生成新的密鑰加密密鑰 (KEK) 來加密 DEK。同時存儲加密數據和加密的 DEK。
B. 在本地生成數據加密密鑰 (DEK) 來加密數據,並在雲 KMS 中生成新的密鑰加密密鑰 (KEK) 來加密 DEK。同時存儲加密數據和 KEK。
C. 在雲 KMS 中生成新的數據加密密鑰 (DEK) 來加密數據,並在本地生成密鑰加密密鑰 (KEK) 來加密密鑰。同時存儲加密數據和加密 DEK。
D. 在雲 KMS 中生成新的數據加密密鑰 (DEK) 來加密數據,並在本地生成密鑰加密密鑰 (KEK) 來加密密鑰。存儲加密數據和 KEK。
查看答案
正確答案: A
問題 #47
您在一家大型企業工作,每個業務部門都有數千名用戶。您需要將訪問控制權限的管理權限下放給每個業務部門。您有以下要求:每個業務部門管理自己項目的訪問控制。每個業務部門管理大規模的訪問控制權限。業務部門不能訪問其他業務部門的項目。如果用戶轉移到不同的業務部門或離開公司,他們將失去訪問權限。
A. 區域子網和全局動態路由模式上啓用專用 Google 訪問。
B. 使用 "all-apis "的 API 捆綁設置專用服務連接端點 IP 地址,並將其作爲雲互連連接上的路由進行宣傳。
C. 使用 private
D. 使用限制性 googleapis
查看答案
正確答案: DE
問題 #48
您的團隊使用一個服務帳戶來驗證從指定的計算引擎虛擬機實例到指定的雲存儲桶的數據傳輸。一名工程師不小心刪除了服務帳戶,導致應用程序功能中斷。您想在不影響安全性的情況下儘快恢復應用程序,該怎麼辦?
A. 暫時禁用雲存儲桶的身份驗證。
B. 使用 undelete 命令恢復已刪除的服務帳戶。
C. 創建一個與已刪除服務帳戶同名的新服務帳戶。
D. 更新另一個現有服務帳戶的權限,並將這些憑證提供給應用程序。
查看答案
正確答案: B
問題 #49
某企業採用谷歌雲平臺(GCP)提供應用程序託管服務,需要爲其雲身份賬戶設置密碼要求提供指導。該組織有一項密碼政策要求,即企業員工的密碼必須有最少的字符數。該組織可以使用哪些雲身份密碼指南來通知他們的新要求?
A. 密碼的最小長度設置爲 8 個字符。
B. 置密碼的最小長度爲 10 個字符。
C. 置密碼的最小長度爲 12 個字符。
D. 密碼的最小長度設置爲 6 個字符。
查看答案
正確答案: A
問題 #50
您所在的組織爲第三方公司託管一個運行在 Compute Engine 實例上的金融服務應用程序。第三方公司將使用該應用程序的服務器也在單獨的 Google 雲組織中的 Compute Engine 上運行。您需要在 Compute Engine 實例之間配置安全的網絡連接,您有以下要求:網絡連接必須加密,服務器之間的通信必須通過私有 IP 地址進行。
A. 使用雲 SDK 和他們的目錄服務,在雲身份中刪除他們的 IAM 權限。
B. 使用雲 SDK 及其目錄服務從雲身份供應和取消供應用戶。
C. 他們的目錄服務配置雲目錄同步,以便從雲身份供應和取消供應用戶。
D. 與他們的目錄服務配置雲目錄同步,刪除他們在雲身份中的 IAM 權限。
查看答案
正確答案: A
問題 #51
您需要遵循谷歌推薦的做法,利用信封加密並在應用層加密數據。
A. 在本地生成數據加密密鑰 (DEK) 來加密數據,並在雲 KMS 中生成新的密鑰加密密鑰 (KEK) 來加密 DEK。同時存儲加密數據和加密的 DEK。
B. 在本地生成數據加密密鑰 (DEK) 來加密數據,並在雲 KMS 中生成新的密鑰加密密鑰 (KEK) 來加密 DEK。同時存儲加密數據和 KEK。
C. 在雲 KMS 中生成新的數據加密密鑰 (DEK) 來加密數據,並在本地生成密鑰加密密鑰 (KEK) 來加密密鑰。同時存儲加密數據和加密 DEK。
D. 在雲 KMS 中生成新的數據加密密鑰 (DEK) 來加密數據,並在本地生成密鑰加密密鑰 (KEK) 來加密密鑰。存儲加密數據和 KEK。
查看答案
正確答案: A
問題 #52
您注意到企業用戶賬戶中的網絡釣魚攻擊數量有所增加。您想實施 Google 2-Step Verification (2SV) 選項,該選項使用加密籤名來驗證用戶身份並驗證登錄頁面的 URL。您應該使用哪個 Google 2SV 選項?
A. 泰坦安全密鑰
B. 歌提示
C. 歌身份驗證程序
D. 雲 HSM 密鑰
查看答案
正確答案: C
問題 #53
貴公司運營着一個應用程序實例組,該實例組目前部署在 us-central-1 的 Google 雲負載平衡器後面,並配置爲使用標準層網絡。基礎設施團隊希望擴展到第二個 Google 雲區域(us- east-2)。您需要設置一個外部 IP 地址,以便將新請求分發到這兩個地區的實例組。
A. 更改負載平衡器後端配置,使用網絡端點組而不是實例組。
B. 將負載平衡器前端配置更改爲使用高級層網絡,並添加新的實例組。
C. 使用標準層網絡在 us-east-2 中創建一個新的負載平衡器,並分配一個靜態外部 IP 地址。
D. 兩個區域之間創建雲 VPN 連接,並啓用 Google Private Access。
查看答案
正確答案: A
問題 #54
您想評估 GCP 的 PCI 合規性。您需要確定 Google 的固有控制措施。
A. oogle 雲平臺:客戶責任矩陣
B. PCI DSS 要求和安全評估程序
C. CI SSC 雲計算指南
D. 算引擎的產品文檔
查看答案
正確答案: A
問題 #55
您正在將應用程序日誌備份到共享雲存儲桶,管理員和分析師都可以訪問該存儲桶。分析師不得訪問包含任何個人身份信息 (PII) 的日誌。包含 PII 的日誌文件應存儲在僅管理員可訪問的另一個存儲桶中。您應該怎麼做?
A. 將日誌上傳到共享存儲桶和僅管理員可訪問的 Pll 存儲桶。使用雲數據丟失防護 API 創建任務觸發器。配置觸發器以從共享數據桶中刪除任何包含 Pll 的文件。
B. 在共享桶上,配置對象生命周期管理以刪除包含 Pll 的對象。
C. 在共享桶上,配置僅在上傳 Pll 時觸發的雲存儲觸發器。使用雲函數捕獲觸發器並刪除包含 Pll 的文件。
D. 每次文件上傳到管理員的存儲桶時,使用 Pub/Sub 和雲功能觸發雲數據丟失防護掃描。如果掃描未檢測到 Pll,則讓該功能將對象移動到共享的雲存儲桶中。
查看答案
正確答案: D
問題 #56
貴組織最近受到了幾次 DDoS 攻擊。您需要驗證對域名查詢的響應。您應該使用哪種 Google 雲服務?
A. 使用 DNSSEC 的雲 DNS
B. 雲 NAT
C. TTP(S) 負載平衡
D. oogle 雲裝甲
查看答案
正確答案: A
問題 #57
您應該使用哪種 Google 雲服務來執行應用程序和資源的訪問控制策略?
A. 份感知代理
B. 雲 NAT
C. oogle 雲裝甲
D. 屏蔽虛擬機
查看答案
正確答案: A
問題 #58
貴組織的 Google Cloud 虛擬機是通過實例模板部署的,該模板爲虛擬機配置了公共 IP 地址,以便爲外部用戶託管 Web 服務。虛擬機駐留在一個服務項目中,該項目連接到一個主機(VPC)項目,其中包含一個虛擬機自定義共享 VPC。您被要求在繼續爲外部用戶提供服務的同時,減少虛擬機與互聯網的接觸。您已經在沒有公共 IP 地址配置的情況下重新創建了實例模板,以啓動虛擬機。
A. 在 MIG 服務項目中部署雲 NAT 網關。
B. 在主機(VPC)項目中爲 MIG 部署雲 NAT 網關。
C. 在服務項目中部署外部 HTTP(S) 負載平衡器,將 MIG 作爲後端。
D. 在主機(VPC)項目中部署外部 HTTP(S) 負載平衡器,將 MIG 作爲後端。
查看答案
正確答案: C

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.