不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

通過練習測試提高您的 Google 專業雲安全工程師考試成績

使用 SPOTO 的考試問題和答案、測試問題、考試問題和學習材料備考 Google 專業雲安全工程師認證考試,可以大大提高您順利通過考試的幾率。這些全面的考試資源涵蓋所有相關主題,包括安全最佳實踐、行業要求、身份和訪問管理、組織安全結構和政策、數據保護、網絡安全防禦、威脅監控、安全自動化、人工智能安全、安全軟件供應鏈和法規遵從。SPOTO 的模擬考試可模擬真實的考試環境,使您能夠確定需要進一步學習的領域。利用這些備考工具,您可以自信地展示自己作爲專業雲安全工程師在設計、開發和管理 Google Cloud 安全解決方案方面的專業知識。
參加其他線上考試
問題 #1
您需要在公司內部數據中心和 VPC 主機網絡之間建立雲互連連接。您要確保內部部署應用程序只能通過雲互連訪問 Google API,而不能通過公共互聯網訪問。您必須只使用 VPC 服務控制支持的 API,以降低非支持 API 的外泄風險。應該如何配置網絡?
A.
B.
C.
D.
查看答案
正確答案: B
問題 #2
一個工程團隊正在啓動一個將在互聯網上公開的網絡應用程序。網絡應用程序託管在多個 GCP 區域,並將根據 URL 請求定向到相應的後端。您的團隊希望避免直接在互聯網上公開應用程序,並希望拒絕來自特定惡意 IP 地址列表的流量。
A. 雲甲
B. 網絡負載平衡
C. SL代理負載平衡
D. AT 網關
查看答案
正確答案: A
問題 #3
您正在與一位計劃將數據遷移到 Google 雲的客戶合作。您負責推薦一種加密服務來管理他們的加密密鑰。您有以下要求:主密鑰必須至少每 45 天輪換一次。存儲主密鑰的解決方案必須通過 FIPS 140-2 3 級驗證。主密鑰必須存儲在美國境內的多個地區,以實現冗餘。哪種解決方案能滿足這些要求?
A. 使用雲密鑰管理服務由客戶管理加密密鑰
B. 使用雲 HSM 由客戶管理加密密鑰
C. 戶提供的加密密鑰
D. 歌管理的加密密鑰
查看答案
正確答案: D
問題 #4
您需要集中管理團隊的生產項目日誌。您希望團隊能夠使用日誌資源管理器搜索和分析日誌。您應該怎麼做?
A. 啓用雲監控工作區,並添加要監控的生產項目。
B. 在組織級別使用日誌資源管理器,篩選生產項目日誌。
C. 在生產項目的父文件夾下創建聚合 org sink,並將目標設置爲 Cloud Storage 存儲桶。
D. 在生產項目的父文件夾下創建聚合 org sink,並將目標設置爲日誌桶。
查看答案
正確答案: D
問題 #5
您需要設置兩個網段:一個是非信任子網,另一個是信任子網。您想配置下一代防火牆 (NGFW) 等虛擬設備來檢查兩個網段之間的所有流量。您應該如何設計網絡以檢查流量?
A. 通過現有協議(如 syslog)將所有日誌發送到 SIEM 系統。
B. 配置每個項目,將其所有日誌導出到共同的 BigQuery DataSet,SIEM 系統將查詢該數據集。
C. 配置組織日誌匯,將日誌導出到雲發布/子主題,並通過 Dataflow 發送到 SIEM。
D. SIEM 建立一個連接器,以便從 GCP RESTful JSON API 實時查詢所有日誌。
查看答案
正確答案: B
問題 #6
您的團隊需要確保後端數據庫只能被前端應用程序訪問,而不能被網絡上的其他實例訪問。
A. 創建入口防火牆規則,使用防火牆標記只允許從應用程序訪問數據庫。
B. 前端應用程序和數據庫創建不同的子網,以確保網絡隔離。
C. 創建兩個 VPC 網絡,並使用雲 VPN 網關連接這兩個網絡,以確保網絡隔離。
D. 創建兩個 VPC 網絡,並使用 VPC 對等互聯連接這兩個網絡,以確保網絡隔離。
查看答案
正確答案: A
問題 #7
您正在爲一個電子健康記錄系統處理受保護健康信息 (PHI)。隱私官擔心分析系統中存儲了敏感數據。您的任務是以不可逆的方式對敏感數據進行匿名處理。此外,匿名數據不應保留字符集和長度。您應該使用哪種 Google 雲解決方案?
A. 使用 AES-SIV 進行確定性加密的雲數據丟失防護
B. 雲數據丟失防護與格式保存加密
C. 利用加密哈希算法防止雲數據丟失
D. 使用雲密鑰管理服務包裝加密密鑰的雲數據丟失防護
查看答案
正確答案: D
問題 #8
您的安全團隊使用加密密鑰來確保用戶數據的機密性。您希望建立一個流程,以減少雲密鑰管理服務 (Cloud KMS) 中對稱加密密鑰可能受損所造成的影響。您的團隊應在事件發生前採取哪些步驟?(選擇兩個)。
A. 使用雲密鑰管理服務管理數據加密密鑰 (DEK)。
B. 使用雲密鑰管理服務管理密鑰加密密鑰 (KEK)。
C. 用客戶提供的加密密鑰管理數據加密密鑰(DEK)。
D. 用客戶提供的加密密鑰管理密鑰加密密鑰 (KEK)。
查看答案
正確答案: AB
問題 #9
一家網站設計公司最近將所有客戶網站遷移到了 App Engine。哪些解決方案可以限制對進行中網站的訪問?
A. 將包含客戶和員工用戶帳戶的
B. 創建一條 App Engine 防火牆規則,允許從客戶和員工網絡訪問,拒絕所有其他流量。
C. 用雲身份感知代理(IAP),並允許訪問包含客戶和員工用戶賬戶的 Google 羣組。
D. 用雲 VPN 在相關內部網絡和公司的 GCP 虛擬私有雲 (VPC) 網絡之間創建 VPN 連接。
查看答案
正確答案: C
問題 #10
您想用新的訪問級別更新現有的 VPC 服務控制邊界。您需要避免因這一更改而破壞現有的邊界,並確保對用戶的幹擾最小,同時最大限度地減少開銷。您應該怎麼做?
A. 建一個與現有周邊完全相同的副本。在副本中添加新的訪問級別。審核訪問級別後,更新原始周界。
B. 永遠不匹配的新訪問級別更新您的邊界。每次更新新的訪問級別,使其與您希望的狀態相匹配,以避免過於放任。
C. 在周界上啓用幹運行模式。將新的訪問級別添加到外圍配置中。審核訪問級別後,更新周界配置。
D. 在周界上啓用幹運行模式。將新的訪問級別添加到外圍幹運行配置中。審核訪問級別後更新周界配置。
查看答案
正確答案: D
問題 #11
在使用標準網絡層時,應使用哪種類型的負載平衡器來默認維護客戶端 IP?
A. SL代理
B. TCP 代理
C. 內部 TCP/UDP
D. CP/UDP 網絡
查看答案
正確答案: C
問題 #12
您需要啓用 VPC 服務控制,並允許在現有環境中更改周界,而不阻止對資源的訪問。您應該使用哪種 VPC 服務控制模式?
A. 在 GSuite 中對所有用戶執行雙因素身份驗證。
B. 爲 App Engine 應用程序配置雲身份感知代理。
C. 使用 GSuite Password Sync 提供用戶密碼。
D. 在您的私人網絡和 GCP 之間配置雲 VPN。
查看答案
正確答案: D
問題 #13
您負責在當前維護合同到期前將一個傳統應用程序從公司數據中心遷移到 GCP。您不知道該應用程序正在使用哪些端口,也沒有可用的文檔供您檢查。您希望在不給環境帶來風險的情況下完成遷移。
A. 使用 "提升和轉移 "方法將應用程序遷移到一個隔離的項目中。使用 VPC 防火牆規則啓用所有內部 TCP 流量。使用 VPC 流量日誌確定應允許哪些流量,以便應用程序正常運行。
B. 在自定義網絡中使用 "提升和轉移 "方法將應用程序遷移到一個隔離項目中。禁用 VPC 內的所有流量並查看防火牆日誌,以確定應允許哪些流量使應用程序正常運行。
C. 應用程序重構爲 GKE 集羣中的微服務架構。使用防火牆規則禁止來自羣集外部的所有流量。使用 VPC 流量日誌確定應允許哪些流量,以便應用程序正常運行。
D. 應用程序重構爲在隔離項目中託管在雲功能中的微服務架構。使用 VPC 流量日誌確定應允許哪些流量使應用程序正常運行。
查看答案
正確答案: A
問題 #14
您負責在當前維護合同到期前將一個傳統應用程序從公司數據中心遷移到 GCP。您不知道該應用程序正在使用哪些端口,也沒有可用的文檔供您檢查。您希望在不給環境帶來風險的情況下完成遷移。
A. 使用 "提升和轉移 "方法將應用程序遷移到一個隔離的項目中。使用 VPC 防火牆規則啓用所有內部 TCP 流量。使用 VPC 流量日誌確定應允許哪些流量,以便應用程序正常運行。
B. 在自定義網絡中使用 "提升和轉移 "方法將應用程序遷移到一個隔離項目中。禁用 VPC 內的所有流量並查看防火牆日誌,以確定應允許哪些流量使應用程序正常運行。
C. 應用程序重構爲 GKE 集羣中的微服務架構。使用防火牆規則禁止來自羣集外部的所有流量。使用 VPC 流量日誌確定應允許哪些流量,以便應用程序正常運行。
D. 應用程序重構爲在隔離項目中託管在雲功能中的微服務架構。使用 VPC 流量日誌確定應允許哪些流量使應用程序正常運行。
查看答案
正確答案: A
問題 #15
一位客戶正在 Google 雲平臺 (GCP) 上運行一個分析工作負載,其中計算引擎實例正在訪問存儲在雲存儲上的數據。您的團隊希望確保該工作負載無法訪問互聯網,或無法從互聯網訪問該工作負載。您的團隊應使用哪兩種策略來滿足這些要求?(選擇兩項)。
A. 爲羣集創建一個專用的雲身份用戶賬戶。使用強大的自託管保管庫解決方案來存儲用戶的臨時憑據。
B. 爲羣集創建專用的雲身份用戶賬戶。在項目級別啓用 constraints/iam
C. 爲羣集創建自定義服務帳戶 在項目級別啓用 constraints/iam
D. 爲羣集創建自定義服務帳戶 在項目級別啓用 constraints/iam
查看答案
正確答案: BE
問題 #16
您正在將應用程序日誌備份到共享雲存儲桶,管理員和分析師都可以訪問該存儲桶。分析師不得訪問包含任何個人身份信息 (PII) 的日誌。包含 PII 的日誌文件應存儲在僅管理員可訪問的另一個存儲桶中。您應該怎麼做?
A. 將日誌上傳到共享存儲桶和僅管理員可訪問的 Pll 存儲桶。使用雲數據丟失防護 API 創建任務觸發器。配置觸發器以從共享數據桶中刪除任何包含 Pll 的文件。
B. 在共享桶上,配置對象生命周期管理以刪除包含 Pll 的對象。
C. 在共享桶上,配置僅在上傳 Pll 時觸發的雲存儲觸發器。使用雲函數捕獲觸發器並刪除包含 Pll 的文件。
D. 每次文件上傳到管理員的存儲桶時,使用 Pub/Sub 和雲功能觸發雲數據丟失防護掃描。如果掃描未檢測到 Pll,則讓該功能將對象移動到共享的雲存儲桶中。
查看答案
正確答案: D
問題 #17
貴公司要求安全和網絡工程團隊識別所有網絡異常,並能夠捕獲 VPC 中的有效載荷。您應該使用哪種方法?
A. 義組織政策約束。
B. 置數據包鏡像策略
C. 在子網上啓用 VPC 流量日誌。
D. 監控和分析雲審計日誌。
查看答案
正確答案: B
問題 #18
一家企業開始將其基礎架構從內部環境遷移到谷歌雲平臺(GCP)。該組織希望採取的第一步是將其正在進行的數據備份和災難恢復解決方案遷移到 GCP。該組織的內部生產環境將是向 GCP 遷移的下一階段。企業應該使用哪種 GCP 解決方案?
A. 創建一個雲存儲桶,將日誌存儲在 EUROPE-WEST1 區域。修改應用程序代碼,將日誌直接發送到存儲桶,以提高效率。
B. 配置您的計算引擎實例,使其使用 Google 雲的操作套件雲日誌代理將應用程序日誌發送到 EUROPE- WEST1 區域的自定義日誌桶,自定義保留期爲 12 年。
C. 使用 Pub/Sub 主題將應用程序日誌轉發到 EUROPE-WEST1 區域的 Cloud Storage 存儲桶。
D. EUROPE-WEST1 區域的 Google 雲操作套件日誌桶上配置 12 年的自定義保留策略。
查看答案
正確答案: A
問題 #19
您的團隊創建了一條出口防火牆規則,拒絕(優先級 1000)所有互聯網流量。計算引擎實例現在需要訪問公共存儲庫以獲取安全更新。您的團隊應該怎麼做?
A. 創建一條出口防火牆規則,允許優先級大於 1000 的流量進入存儲庫的 CIDR 範圍。
B. 創建一條出口防火牆規則,允許優先級低於 1000 的流量進入存儲庫的 CIDR 範圍。
C. 創建一條出口防火牆規則,允許優先級大於 1000 的流量進入存儲庫主機名。
D. 創建一條出口防火牆規則,允許優先級低於 1000 的流量訪問存儲庫主機名。
查看答案
正確答案: D
問題 #20
您是公司的安全管理員。您的雲存儲桶中有 3,000 個對象。您不想單獨管理每個對象的訪問權限。您也不想讓對象的上傳者始終擁有對對象的完全控制權。但是,您希望使用雲審計日誌來管理對存儲桶的訪問。
A. allUsers 範圍設置具有 OWNER 權限的 ACL。
B. allUsers 範圍設置具有 READER 權限的 ACL。
C. 置默認桶 ACL,並使用 IAM 管理用戶訪問。
D. 在雲存儲桶上設置統一桶級訪問權限,並使用 IAM 管理用戶的訪問權限。
查看答案
正確答案: A
問題 #21
您對一個客戶架構進行了安全評估,發現多個虛擬機擁有公共 IP 地址。在提出移除公共 IP 地址的建議後,您被告知這些虛擬機需要與外部站點通信,這是客戶典型操作的一部分。爲了減少客戶虛擬機對公共 IP 地址的需求,您應該提出哪些建議?
A. oogle 雲裝甲
B. 雲 NAT
C. 雲路由器
D. 雲 VPN
查看答案
正確答案: D
問題 #22
某零售客戶允許用戶上傳評論和產品評論。客戶需要在發布評論或評價之前確保文本不包含敏感數據。
A. 雲密鑰管理服務
B. 雲數據丟失防護 API
C. igQuery
D. 雲安全掃描儀
查看答案
正確答案: B
問題 #23
貴公司正在使用 GSuite,並在 Google App Engine 上開發了一個供內部使用的應用程序。您需要確保即使員工密碼泄露,外部用戶也無法訪問應用程序。
A. 雲甲
B. oogle 雲審計日誌
C. 雲安全掃描儀
D. Forseti 安全
查看答案
正確答案: A
問題 #24
一家網站設計公司最近將所有客戶網站遷移到了 App Engine。哪些解決方案可以限制對進行中網站的訪問?
A. 將包含客戶和員工用戶帳戶的
B. 創建一條 App Engine 防火牆規則,允許從客戶和員工網絡訪問,拒絕所有其他流量。
C. 用雲身份感知代理(IAP),並允許訪問包含客戶和員工用戶賬戶的 Google 羣組。
D. 用雲 VPN 在相關內部網絡和公司的 GCP 虛擬私有雲 (VPC) 網絡之間創建 VPN 連接。
查看答案
正確答案: C
問題 #25
您對一個客戶架構進行了安全評估,發現多個虛擬機擁有公共 IP 地址。在提出移除公共 IP 地址的建議後,您被告知這些虛擬機需要與外部站點通信,這是客戶典型操作的一部分。爲了減少客戶虛擬機對公共 IP 地址的需求,您應該提出哪些建議?
A. oogle 雲裝甲
B. 雲 NAT
C. 雲路由器
D. 雲 VPN
查看答案
正確答案: D
問題 #26
客戶希望在計算引擎上部署大量 3 層網絡應用程序。客戶應如何確保不同層應用程序之間的認證網絡隔離?
A. 在自己的項目中運行每一層,並使用項目標籤進行隔離。
B. 使用不同的服務帳戶(SA)運行每個層,並使用基於 SA 的防火牆規則。
C. 在自己的子網中運行每個層,並使用基於子網的防火牆規則。
D. 使用自己的虛擬機標記運行每個層,並使用基於標記的防火牆規則。
查看答案
正確答案: C
問題 #27
您是公司的安全管理員。您想在 Cloud IAM 中同步 LDAP 目錄中擁有電子郵件地址的所有安全組。
A. 政策故障排除器
B. 政策分析器
C. IAM 推薦器
D. 政策模擬器
查看答案
正確答案: A
問題 #28
您所在的組織爲第三方公司託管一個運行在 Compute Engine 實例上的金融服務應用程序。第三方公司將使用該應用程序的服務器也在單獨的 Google 雲組織中的 Compute Engine 上運行。您需要在 Compute Engine 實例之間配置安全的網絡連接,您有以下要求:網絡連接必須加密,服務器之間的通信必須通過私有 IP 地址進行。
A. 使用雲 SDK 和他們的目錄服務,在雲身份中刪除他們的 IAM 權限。
B. 使用雲 SDK 及其目錄服務從雲身份供應和取消供應用戶。
C. 他們的目錄服務配置雲目錄同步,以便從雲身份供應和取消供應用戶。
D. 與他們的目錄服務配置雲目錄同步,刪除他們在雲身份中的 IAM 權限。
查看答案
正確答案: A
問題 #29
某組織正在從當前的內部部署生產力軟件系統遷移到 G Suite。他們所在地區的監管機構要求對以前的內部部署系統進行一些網絡安全控制。該組織的風險團隊希望確保網絡安全控制措施在 G Suite 中保持有效。支持此次遷移的安全架構師被要求確保網絡安全控制措施到位,作爲新的共同責任的一部分。
A. 確保防火牆規則到位,以滿足所需的控制要求。
B. 設置 Cloud Armor 以確保 G Suite 的網絡安全控制得到管理。
C. 絡安全是一個內置的解決方案,谷歌雲對 G Suite 等 SaaS 產品負責。
D. 立一系列虛擬專用雲(VPC)網絡,按照相關規定控制網絡安全。
查看答案
正確答案: C
問題 #30
您需要將組織的內部網絡與現有的 Google 雲環境連接起來,該環境包括一個共享 VPC,其中有兩個子網,分別命名爲 "生產 "和 "非生產"。您需要:使用專用傳輸鏈路,通過源自內部環境的專用 API 端點配置對 Google Cloud API 的訪問,確保僅通過 VPC 服務控制使用 Google Cloud API。
A. 配置和監控 VPC 流量日誌
B. 抵禦 XSS 和 SQLi 攻擊
C. 理客戶操作系統的最新更新和安全補丁
D. 密所有存儲數據
查看答案
正確答案: C
問題 #31
某組織正在將應用程序遷移到谷歌雲,同時在內部保留一些關鍵任務應用程序。該組織必須以至少 50 Gbps 的帶寬傳輸數據。他們應該使用什麼來確保站點之間的安全持續連接?
A. 專用互聯
B. 雲路由器
C. 雲 VPN
D. 合作夥伴互聯
查看答案
正確答案: A
問題 #32
某客戶正在與另一家公司合作在 Compute Engine 上構建應用程序。客戶在自己的 GCP 組織中構建應用程序層,另一家公司在不同的 GCP 組織中構建存儲層。這是一個 3 層網絡應用程序。應用程序各部分之間的通信不得以任何方式穿越公共互聯網。
A. PC 對等互聯
B. 雲 VPN
C. 雲互聯
D. 共享 VPC
查看答案
正確答案: B
問題 #33
某組織的客戶在通過在線聊天與支持中心的代理合作時,經常會分享包含個人身份信息 (PII) 的文檔圖片。擁有該支持中心的企業擔心,這些 PII 會被存儲在他們的數據庫中,作爲他們保留的定期聊天記錄的一部分,供內部或外部分析人員查看,以進行客戶服務趨勢分析。
A. 使用雲密鑰管理服務(KMS)對客戶共享的 PII 數據進行加密,然後再存儲以供分析。
B. 用對象生命周期管理確保丟棄所有包含 PII 的聊天記錄,不保存用於分析。
C. 用 DLP API 的圖像檢查和編輯操作來編輯圖像中的 PII,然後再將其存儲起來進行分析。
D. 用 DLP API 解決方案的概括和分級操作,在存儲文本以供分析之前對文本中的 PII 進行刪節。
查看答案
正確答案: C
問題 #34
您將創建一個新的服務帳戶,該帳戶應能列出項目中的計算引擎實例。您想遵循 Google 推薦的做法,該怎麼做?
A. 建一個實例模板,並允許服務帳戶對計算引擎訪問範圍進行只讀訪問。
B. 建具有 compute
C. 予服務賬戶 "計算查看器 "角色,並在所有實例中使用新的服務賬戶。
D. 予服務賬戶 "項目查看器 "角色,並在所有實例中使用新的服務賬戶。
查看答案
正確答案: A
問題 #35
某組織的客戶在通過在線聊天與支持中心的代理合作時,經常會分享包含個人身份信息 (PII) 的文檔圖片。擁有該支持中心的企業擔心,這些 PII 會被存儲在他們的數據庫中,作爲他們保留的定期聊天記錄的一部分,供內部或外部分析人員查看,以進行客戶服務趨勢分析。
A. 使用雲密鑰管理服務(KMS)對客戶共享的 PII 數據進行加密,然後再存儲以供分析。
B. 用對象生命周期管理確保丟棄所有包含 PII 的聊天記錄,不保存用於分析。
C. 用 DLP API 的圖像檢查和編輯操作來編輯圖像中的 PII,然後再將其存儲起來進行分析。
D. 用 DLP API 解決方案的概括和分級操作,在存儲文本以供分析之前對文本中的 PII 進行刪節。
查看答案
正確答案: C
問題 #36
您想限制可用作啓動盤源的映像。您應該怎麼做?
A. 用組織策略服務在組織級別創建 compute
B. 用組織策略服務在組織級別創建 compute
C. 在資源管理器中,編輯受信任項目的項目權限。將組織添加爲具有以下角色的成員計算映像用戶。
D. 在資源管理器中,編輯組織權限。將項目 ID 添加爲具有角色的成員:計算映像用戶。
查看答案
正確答案: B
問題 #37
您供職的企業屬於受監管行業,對數據保護有嚴格要求。該組織在雲中備份數據。爲了遵守數據隱私法規,這些數據只能存儲一段特定的時間,並且必須在這段特定時間後刪除。您希望自動遵守這一法規,同時最大限度地降低存儲成本。
A. 將數據存儲在持久磁盤中,並在到期時刪除磁盤。
B. 將數據存儲在 Cloud Bigtable 表中,並爲列族設置過期時間。
C. 數據存儲在 BigQuery 表中,並設置表的過期時間。
D. 將數據存儲在 Cloud Storage 存儲桶中,並配置存儲桶的對象生命周期管理功能。
查看答案
正確答案: C
問題 #38
您的安全團隊使用加密密鑰來確保用戶數據的機密性。您希望建立一個流程,以減少雲密鑰管理服務 (Cloud KMS) 中對稱加密密鑰可能受損所造成的影響。您的團隊應在事件發生前採取哪些步驟?(選擇兩個)。
A. 使用雲密鑰管理服務管理數據加密密鑰 (DEK)。
B. 使用雲密鑰管理服務管理密鑰加密密鑰 (KEK)。
C. 用客戶提供的加密密鑰管理數據加密密鑰(DEK)。
D. 用客戶提供的加密密鑰管理密鑰加密密鑰 (KEK)。
查看答案
正確答案: AB
問題 #39
您需要在公司內部數據中心和 VPC 主機網絡之間建立雲互連連接。您要確保內部部署應用程序只能通過雲互連訪問 Google API,而不能通過公共互聯網訪問。您必須只使用 VPC 服務控制支持的 API,以降低非支持 API 的外泄風險。應該如何配置網絡?
A.
B.
C.
D.
查看答案
正確答案: B
問題 #40
貴組織最近受到了幾次 DDoS 攻擊。您需要驗證對域名查詢的響應。您應該使用哪種 Google 雲服務?
A. 使用 DNSSEC 的雲 DNS
B. 雲 NAT
C. TTP(S) 負載平衡
D. oogle 雲裝甲
查看答案
正確答案: A
問題 #41
您的團隊希望確保在生產項目中運行的計算引擎實例沒有公共 IP 地址。前端應用程序計算引擎實例需要公共 IP。產品工程師具有編輯器角色,可以修改資源。您的團隊希望強制執行這一要求。您的團隊應如何滿足這些要求?
A. 在生產項目的 VPC 網絡上啓用專用訪問。
B. 刪除編輯器角色,並向工程師授予計算管理員 IAM 角色。
C. 置組織策略,只允許前端計算引擎實例使用公共 IP。
D. 立一個 VPC 網絡,其中有兩個子網:一個有公共 IP,另一個沒有公共 IP。
查看答案
正確答案: C
問題 #42
某客戶希望方便其移動員工訪問託管在谷歌雲平臺(GCP)上的 CRM 網頁界面。客戶關係管理只能由企業網絡上的人員訪問。客戶希望通過互聯網提供該功能。您的團隊要求在應用程序前面有一個支持雙因素身份驗證的身份驗證層。客戶應該實施哪種 GCP 產品來滿足這些要求?
A. 身份感知代理
B. 裝甲
C. 終端
D. VPN
查看答案
正確答案: D
問題 #43
您想限制可用作啓動盤源的映像。您應該怎麼做?
A. 用組織策略服務在組織級別創建 compute
B. 用組織策略服務在組織級別創建 compute
C. 在資源管理器中,編輯受信任項目的項目權限。將組織添加爲具有以下角色的成員計算映像用戶。
D. 在資源管理器中,編輯組織權限。將項目 ID 添加爲具有角色的成員:計算映像用戶。
查看答案
正確答案: B
問題 #44
您想用新的訪問級別更新現有的 VPC 服務控制邊界。您需要避免因這一更改而破壞現有的邊界,並確保對用戶的幹擾最小,同時最大限度地減少開銷。您應該怎麼做?
A. 建一個與現有周邊完全相同的副本。在副本中添加新的訪問級別。審核訪問級別後,更新原始周界。
B. 永遠不匹配的新訪問級別更新您的邊界。每次更新新的訪問級別,使其與您希望的狀態相匹配,以避免過於放任。
C. 在周界上啓用幹運行模式。將新的訪問級別添加到外圍配置中。審核訪問級別後,更新周界配置。
D. 在周界上啓用幹運行模式。將新的訪問級別添加到外圍幹運行配置中。審核訪問級別後更新周界配置。
查看答案
正確答案: D
問題 #45
要求您推薦一種解決方案,用於存儲和檢索在計算引擎上運行的應用程序中的敏感配置數據。您應該推薦哪種方案?
A. 雲密鑰管理服務
B. 算引擎訪客屬性
C. 算引擎自定義元數據
D. 祕密經理
查看答案
正確答案: A
問題 #46
您的組織獲得了一個新的工作負載。Web 和應用程序 (App) 服務器將在新創建的自定義 VPC 中的計算引擎上運行。您負責配置一個安全的網絡通信解決方案,以滿足以下要求:只允許在 Web 層和 App 層之間進行通信;在自動擴展 Web 層和 App 層時執行一致的網絡安全;防止計算引擎實例管理員更改網絡流量。
A.
B.
C.
D.
查看答案
正確答案: A
問題 #47
貴公司正在使用 Cloud Dataproc 處理 Spark 和 Hadoop 作業。您希望能夠創建、旋轉和銷毀用於 Cloud Dataproc 所用持久磁盤的對稱加密密鑰。密鑰可以存儲在雲中,您應該怎麼做?
A. 在組織的 VPC 網絡和第三方網絡之間配置雲 VPN 連接,該連接受 VPC 防火牆規則控制。
B. 在組織的 VPC 網絡和第三方網絡之間配置 VPC 對等連接,該連接受 VPC 防火牆規則控制。
C. 在計算引擎實例周圍配置 VPC 服務控制邊界,並通過訪問級別向第三方提供訪問權限。
D. 置 Apigee 代理,將計算引擎託管的應用程序作爲 API 公開,並使用 TLS 加密,只允許第三方訪問。
查看答案
正確答案: A
問題 #48
一家公司將其整個數據/中心遷移到谷歌雲平臺。它在不同部門管理的多個項目中運行着數千個實例。您希望獲得谷歌雲平臺在任何時間點運行情況的歷史記錄。
A. 聯繫 Google 支持部門並啓動域名爭議程序,以便在新的雲身份認證域名中使用該域名。
B. 註冊一個新域名,並將其用於新的雲身份管理域。
C. 求 Google 將數據科學經理的帳戶設置爲現有域中的超級管理員。
D. 求客戶的管理層發現谷歌管理服務的其他用途,並與現有的超級管理員合作。
查看答案
正確答案: B
問題 #49
您想評估 GCP 的 PCI 合規性。您需要確定 Google 的固有控制措施。
A. oogle 雲平臺:客戶責任矩陣
B. PCI DSS 要求和安全評估程序
C. CI SSC 雲計算指南
D. 算引擎的產品文檔
查看答案
正確答案: A
問題 #50
您需要將組織的內部網絡與現有的 Google 雲環境連接起來,該環境包括一個共享 VPC,其中有兩個子網,分別命名爲 "生產 "和 "非生產"。您需要:使用專用傳輸鏈路,通過源自內部環境的專用 API 端點配置對 Google Cloud API 的訪問,確保僅通過 VPC 服務控制使用 Google Cloud API。
A. 配置和監控 VPC 流量日誌
B. 抵禦 XSS 和 SQLi 攻擊
C. 理客戶操作系統的最新更新和安全補丁
D. 密所有存儲數據
查看答案
正確答案: C
問題 #51
您將創建一個新的服務帳戶,該帳戶應能列出項目中的計算引擎實例。您想遵循 Google 推薦的做法,該怎麼做?
A. 在組織層面使用資源管理器。
B. 使用 Forseti Security 自動執行庫存快照。
C. 用 Stackdriver 創建一個跨所有項目的儀錶盤。
D. 用安全指揮中心查看整個組織的所有資產。
查看答案
正確答案: B
問題 #52
您需要實施一種靜態加密策略,既能保護敏感數據,又能降低非敏感數據的密鑰管理複雜性。您的解決方案有以下要求:安排敏感數據的密鑰輪換。控制敏感數據的加密密鑰存儲在哪個區域。儘量減少訪問敏感數據和非敏感數據的加密密鑰的延遲。
A. 使用雲外部密鑰管理器加密非敏感數據和敏感數據。
B. 使用雲密鑰管理服務加密非敏感數據和敏感數據
C. 用谷歌默認加密技術加密非敏感數據,使用雲外部密鑰管理器加密敏感數據。
D. 使用谷歌默認加密技術加密非敏感數據,使用雲密鑰管理服務加密敏感數據。
查看答案
正確答案: B
問題 #53
您需要啓用 VPC 服務控制,並允許在現有環境中更改周界,而不阻止對資源的訪問。您應該使用哪種 VPC 服務控制模式?
A. 在 GSuite 中對所有用戶執行雙因素身份驗證。
B. 爲 App Engine 應用程序配置雲身份感知代理。
C. 使用 GSuite Password Sync 提供用戶密碼。
D. 在您的私人網絡和 GCP 之間配置雲 VPN。
查看答案
正確答案: D
問題 #54
隨着公司內部對雲數據丟失防護 (DLP) API 的採用越來越多,您需要優化使用以降低成本。DLP 目標數據存儲在雲存儲和 BigQuery 中。您應該推薦哪種降低成本的方案?
A. 美國以外託管的 BigQuery 數據上設置適當的 rowsLimit 值,並在多區域雲存儲桶上設置適當的 bytesLimitPerFile 值。
B. 美國以外託管的 BigQuery 數據上設置適當的 rowsLimit 值,並儘量減少多區域雲存儲桶上的轉換單元。
C. 用 rowsLimit 和 bytesLimitPerFile 對數據進行採樣,並使用 CloudStorageRegexFileSet 限制掃描。
D. 用 FindingLimits 和 TimespanContfig 對數據進行採樣並最小化轉換單位。
查看答案
正確答案: C
問題 #55
您是公司的安全管理員,負責管理 Google Cloud 上的訪問控制(識別、身份驗證和授權)。在配置身份驗證和授權時,您應該遵循哪些 Google 推薦的最佳實踐?(選擇兩項)。
A. 使用雲外部密鑰管理器加密非敏感數據和敏感數據。
B. 使用雲密鑰管理服務加密非敏感數據和敏感數據
C. 用谷歌默認加密技術加密非敏感數據,使用雲外部密鑰管理器加密敏感數據。
D. 使用谷歌默認加密技術加密非敏感數據,使用雲密鑰管理服務加密敏感數據。
查看答案
正確答案: DE
問題 #56
在這種情況下,應該使用哪種方法來保護員工憑證?
A. 因素身份驗證
B. 格的密碼政策
C. 錄頁面上的驗證碼
D. 加密電子郵件
查看答案
正確答案: D
問題 #57
您負責爲公司創建一個新的 Google 雲組織。在創建超級管理員賬戶時,您應該執行哪兩項操作?(選擇兩項)。
A. 端運行
B. 本土
C. 強制執行
D. 模擬運行
查看答案
正確答案: AC
問題 #58
您發現,在從內部部署環境到 BigQuery 數據集的日常 ETL 流程中,敏感的個人身份信息 (PII) 被輸入到您的 Google 雲環境中。您需要編輯這些數據以混淆 PII,但需要重新識別這些數據以用於數據分析。您應該在解決方案中使用哪些組件?(選擇兩個)。
A. BigQuery 使用數據管道作業,通過雲 VPN 進行持續更新
B. 通過雲互連使用計劃任務和 gsutil 進行雲存儲
C. 通過雲互連使用持久磁盤的計算引擎虛擬機
D. 通過雲 VPN 使用定期計劃的批量上傳工作的雲數據存儲
查看答案
正確答案: DE
問題 #59
您注意到企業用戶賬戶中的網絡釣魚攻擊數量有所增加。您想實施 Google 2-Step Verification (2SV) 選項,該選項使用加密籤名來驗證用戶身份並驗證登錄頁面的 URL。您應該使用哪個 Google 2SV 選項?
A. 泰坦安全密鑰
B. 歌提示
C. 歌身份驗證程序
D. 雲 HSM 密鑰
查看答案
正確答案: C
問題 #60
您的團隊希望確保在生產項目中運行的計算引擎實例沒有公共 IP 地址。前端應用程序計算引擎實例需要公共 IP。產品工程師具有編輯器角色,可以修改資源。您的團隊希望強制執行這一要求。您的團隊應如何滿足這些要求?
A. 在生產項目的 VPC 網絡上啓用專用訪問。
B. 刪除編輯器角色,並向工程師授予計算管理員 IAM 角色。
C. 置組織策略,只允許前端計算引擎實例使用公共 IP。
D. 立一個 VPC 網絡,其中有兩個子網:一個有公共 IP,另一個沒有公共 IP。
查看答案
正確答案: C
問題 #61
某組織正在從當前的內部部署生產力軟件系統遷移到 G Suite。他們所在地區的監管機構要求對以前的內部部署系統進行一些網絡安全控制。該組織的風險團隊希望確保網絡安全控制措施在 G Suite 中保持有效。支持此次遷移的安全架構師被要求確保網絡安全控制措施到位,作爲新的共同責任的一部分。
A. 確保防火牆規則到位,以滿足所需的控制要求。
B. 設置 Cloud Armor 以確保 G Suite 的網絡安全控制得到管理。
C. 絡安全是一個內置的解決方案,谷歌雲對 G Suite 等 SaaS 產品負責。
D. 立一系列虛擬專用雲(VPC)網絡,按照相關規定控制網絡安全。
查看答案
正確答案: C
問題 #62
一個 DevOps 團隊將創建一個新容器在 Google Kubernetes 引擎上運行。由於應用程序將面向互聯網,他們希望最大限度地減少容器的攻擊面。
A. 使用 Cloud Build 構建容器映像。
B. 使用小型基礎映像構建小型容器。
C. 容器註冊表中刪除未使用的版本。
D. 使用持續交付工具部署應用程序。
查看答案
正確答案: D

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.