不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

全面備考最新 Google 專業雲安全工程師考試試題

SPOTO 的谷歌專業雲安全工程師考試試題爲旨在專門從事谷歌雲上工作負載和基礎架構安全工作的個人提供了顯著優勢。SPOTO 專注於考試問題與答案、測試問題和模擬考試,爲有效備考提供了一個全面的平臺。作爲一名雲安全工程師,考生需要掌握身份和訪問管理、安全策略、使用谷歌雲技術進行數據保護、網絡安全、威脅監控、安全自動化、人工智能安全和法規遵從等方面的專業知識。SPOTO 的學習材料涵蓋安全最佳實踐和行業要求,使應聘者能夠自信地設計和實施安全解決方案。通過利用 SPOTO 的考試資源,考生可以提高自己的技能和知識,增加順利通過考試的機會,並爲雲環境中穩健的安全實施做出貢獻。
參加其他線上考試
問題 #1
一家公司正在 Google Kubernetes Engine 上運行他們的網店,並希望在 BigQuery 中分析客戶交易。您需要確保 BigQuery 中不存儲信用卡號。
A. 建一個 BigQuery 視圖,使用與信用卡號匹配的正則表達式來查詢和刪除受影響的行。
B. 將數據輸入 BigQuery 之前,使用雲數據丟失防護 API 編輯相關 infoType。
C. 用安全指揮中心在 BigQuery 中掃描信用卡號碼類型的資產。
D. 用雲身份感知代理,在 BigQuery 中存儲日誌前過濾掉信用卡號。
查看答案
正確答案: D
問題 #2
您的團隊需要確保計算引擎實例無法訪問互聯網或任何 Google API 或服務。(選擇兩項)。
A. 公共 IP
B. IP 轉發
C. 人谷歌訪問
D. 靜態路由
E. AM 網絡用戶角色
查看答案
正確答案: AC
問題 #3
某公司正在將應用程序日誌備份到雲存儲桶中,供分析師和管理員共享。分析師只能訪問不包含任何個人身份信息 (PII) 的日誌。包含 PII 的日誌文件應存儲在僅管理員可訪問的另一個存儲桶中。
A. 每次文件上傳到共享存儲桶時,使用雲 Pub/Sub 和雲功能觸發數據丟失防護掃描。如果掃描檢測到 PII,則將該功能移動到只有管理員才能訪問的雲存儲桶中。
B. 將日誌上傳到共享存儲桶和僅供管理員訪問的存儲桶。使用雲數據丟失防護 API 創建任務觸發器。配置觸發器以刪除共享數據桶中包含 PII 的任何文件。
C. 在分析師和管理員共享的數據桶上,配置 "對象生命周期管理 "以刪除包含任何 PII 的對象。
D. 在分析師和管理員共享的存儲桶上,配置僅在上傳 PII 數據時觸發的雲存儲觸發器。使用雲功能捕獲觸發器並刪除此類文件。
查看答案
正確答案: C
問題 #4
某客戶有 300 名工程師。該公司希望授予不同級別的訪問權限,並有效管理開發和生產環境項目中用戶之間的 IAM 權限。(選擇兩個)。
A. 爲所有持久磁盤和該 KeyRing 中的所有密鑰創建一個 KeyRing。在密鑰級別管理 IAM 權限。
B. 爲所有持久磁盤和該 KeyRing 中的所有密鑰創建一個 KeyRing。在 KeyRing 級別管理 IAM 權限。
C. 每個持久磁盤創建一個 KeyRing,每個 KeyRing 包含一個密鑰。
D. 爲每個持久磁盤創建一個 KeyRing,每個 KeyRing 包含一個密鑰。在 KeyRing 級別管理 IAM 權限。
查看答案
正確答案: BC
問題 #5
一位客戶正在 Google 雲平臺 (GCP) 上運行一個分析工作負載,其中計算引擎實例正在訪問存儲在雲存儲上的數據。您的團隊希望確保該工作負載無法訪問互聯網,或無法從互聯網訪問該工作負載。您的團隊應使用哪兩種策略來滿足這些要求?(選擇兩項)。
A. 爲羣集創建一個專用的雲身份用戶賬戶。使用強大的自託管保管庫解決方案來存儲用戶的臨時憑據。
B. 爲羣集創建專用的雲身份用戶賬戶。在項目級別啓用 constraints/iam
C. 爲羣集創建自定義服務帳戶 在項目級別啓用 constraints/iam
D. 爲羣集創建自定義服務帳戶 在項目級別啓用 constraints/iam
查看答案
正確答案: BE
問題 #6
出於合規原因,組織需要確保範圍內的 PCI Kubernetes Pod 僅駐留在 "範圍內 "節點上。組織應如何實現這一目標?
A. pod 配置中添加一個 nodeSelector 字段,只使用標有 inscope: true 的節點。
B. 建一個帶有標籤 inscope: true 的節點池和一個 Pod 安全策略,該策略只允許 Pod 在帶有該標籤的節點上運行。
C. 節點上放置一個污點,標籤爲 inscope: true,效果爲 NoSchedule,容忍度與 Pod 配置中的相匹配。
D. 命名空間 ?€in-scope-pci?€ 中運行所有範圍內 Pod。
查看答案
正確答案: C
問題 #7
數據庫管理員發現雲 SQL 實例中存在惡意活動。數據庫管理員希望監控讀取資源配置或元數據的 API 調用。數據庫管理員應查看哪些日誌?
A. 行政活動
B. 系統事件
C. 獲取透明度
D. 數據訪問
查看答案
正確答案: C
問題 #8
客戶需要在源代碼管理 (SCM) 系統中存儲純文本機密的替代方案。
A. 使用雲源存儲庫,並在雲 SQL 中存儲機密。
B. 使用客戶管理加密密鑰 (CMEK) 加密機密,並將其存儲在雲存儲中。
C. 運行雲數據丟失防護 API 掃描機密,並將其存儲在雲 SQL 中。
D. 將 SCM 部署到帶有本地固態硬盤的計算引擎虛擬機上,並啓用可搶佔式虛擬機。
查看答案
正確答案: B
問題 #9
您公司的新任首席執行官最近出售了公司的兩個部門。你的總監要求你幫助將與這些部門相關的 Google Cloud 項目遷移到一個新的組織節點。在遷移之前,哪些準備步驟是必要的?(選擇兩個)。
A. 在組織策略中啓用域限制共享,並在雲存儲桶上啓用統一桶級訪問。
B. 啓用 VPC 服務控制,在項目 A 周圍創建周邊,並在服務周邊配置中包含雲存儲 API。
C. 項目 A 和項目 B 的網絡中啓用專用訪問,並制定嚴格的防火牆規則,允許網絡之間進行通信。
D. 項目 A 和項目 B 的網絡之間啓用 VPC 對等,並制定嚴格的防火牆規則,允許網絡之間進行通信。
查看答案
正確答案: BE
問題 #10
一家公司正在 Google Kubernetes Engine 上運行他們的網店,並希望在 BigQuery 中分析客戶交易。您需要確保 BigQuery 中不存儲信用卡號。
A. 建一個 BigQuery 視圖,使用與信用卡號匹配的正則表達式來查詢和刪除受影響的行。
B. 將數據輸入 BigQuery 之前,使用雲數據丟失防護 API 編輯相關 infoType。
C. 用安全指揮中心在 BigQuery 中掃描信用卡號碼類型的資產。
D. 用雲身份感知代理,在 BigQuery 中存儲日誌前過濾掉信用卡號。
查看答案
正確答案: D
問題 #11
一家公司將其整個數據/中心遷移到谷歌雲平臺。它在不同部門管理的多個項目中運行着數千個實例。您希望獲得谷歌雲平臺在任何時間點運行情況的歷史記錄。
A. 聯繫 Google 支持部門並啓動域名爭議程序,以便在新的雲身份認證域名中使用該域名。
B. 註冊一個新域名,並將其用於新的雲身份管理域。
C. 求 Google 將數據科學經理的帳戶設置爲現有域中的超級管理員。
D. 求客戶的管理層發現谷歌管理服務的其他用途,並與現有的超級管理員合作。
查看答案
正確答案: B
問題 #12
客戶需要在源代碼管理 (SCM) 系統中存儲純文本機密的替代方案。
A. 使用雲源存儲庫,並在雲 SQL 中存儲機密。
B. 使用客戶管理加密密鑰 (CMEK) 加密機密,並將其存儲在雲存儲中。
C. 運行雲數據丟失防護 API 掃描機密,並將其存儲在雲 SQL 中。
D. 將 SCM 部署到帶有本地固態硬盤的計算引擎虛擬機上,並啓用可搶佔式虛擬機。
查看答案
正確答案: B
問題 #13
您是公司的安全管理員。您的雲存儲桶中有 3,000 個對象。您不想單獨管理每個對象的訪問權限。您也不想讓對象的上傳者始終擁有對對象的完全控制權。但是,您希望使用雲審計日誌來管理對存儲桶的訪問。
A. allUsers 範圍設置具有 OWNER 權限的 ACL。
B. allUsers 範圍設置具有 READER 權限的 ACL。
C. 置默認桶 ACL,並使用 IAM 管理用戶訪問。
D. 在雲存儲桶上設置統一桶級訪問權限,並使用 IAM 管理用戶的訪問權限。
查看答案
正確答案: A
問題 #14
貴公司要求安全和網絡工程團隊識別 VPC 內部和跨 VPC 的所有網絡異常、從虛擬機到虛擬機的內部流量、互聯網終端位置和虛擬機之間的流量,以及虛擬機到生產中的 Google 雲服務之間的流量。您應該使用哪種方法?
A. 義組織政策約束。
B. 置數據包鏡像策略
C. 在子網上啓用 VPC 流量日誌。
D. 監控和分析雲審計日誌。
查看答案
正確答案: C
問題 #15
某客戶希望方便其移動員工訪問託管在谷歌雲平臺(GCP)上的 CRM 網頁界面。客戶關係管理只能由企業網絡上的人員訪問。客戶希望通過互聯網提供該功能。您的團隊要求在應用程序前面有一個支持雙因素身份驗證的身份驗證層。客戶應該實施哪種 GCP 產品來滿足這些要求?
A. 雲身份感知代理
B. 雲裝甲
C. 端點
D. 雲 VPN
查看答案
正確答案: A
問題 #16
隨着公司內部對雲數據丟失防護 (DLP) API 的採用越來越多,您需要優化使用以降低成本。DLP 目標數據存儲在雲存儲和 BigQuery 中。您應該推薦哪種降低成本的方案?
A. 美國以外託管的 BigQuery 數據上設置適當的 rowsLimit 值,並在多區域雲存儲桶上設置適當的 bytesLimitPerFile 值。
B. 美國以外託管的 BigQuery 數據上設置適當的 rowsLimit 值,並儘量減少多區域雲存儲桶上的轉換單元。
C. 用 rowsLimit 和 bytesLimitPerFile 對數據進行採樣,並使用 CloudStorageRegexFileSet 限制掃描。
D. 用 FindingLimits 和 TimespanContfig 對數據進行採樣並最小化轉換單位。
查看答案
正確答案: C
問題 #17
您的團隊希望從內部部署的 Active Directory 服務集中管理 GCP IAM 權限。您的團隊希望按 AD 組成員身份管理權限。您的團隊應如何滿足這些要求?
A. 設置雲目錄同步以同步組,並在組上設置 IAM 權限。
B. 設置 SAML 2
C. 用雲身份和訪問管理 API 從 Active Directory 創建組和 IAM 權限。
D. 用 Admin SDK 從 Active Directory 創建組並分配 IAM 權限。
查看答案
正確答案: B
問題 #18
貴公司的雲安全策略規定虛擬機實例不應有外部 IP 地址。您需要確定允許沒有外部 IP 地址的虛擬機實例連接到互聯網以更新虛擬機的 Google 雲服務。
A. 身份感知代理
B. 雲 NAT
C. CP/UDP 負載平衡
D. 雲 DNS
查看答案
正確答案: B
問題 #19
您負責爲公司創建一個新的 Google 雲組織。在創建超級管理員賬戶時,您應該執行哪兩項操作?(選擇兩項)。
A. 端運行
B. 本土
C. 強制執行
D. 模擬運行
查看答案
正確答案: AC
問題 #20
出於合規原因,組織需要確保範圍內的 PCI Kubernetes Pod 只駐留在 "範圍內 "節點上。組織應如何實現這一目標?
A. 在 pod 配置中添加一個 nodeSelector 字段,只使用標有 inscope:true 的節點。
B. 創建一個帶有標籤 inscope: true 的節點池,並創建一個 Pod 安全策略,該策略只允許 Pod 在帶有該標籤的節點上運行。
C. 在節點上放置一個污點,標籤爲 inscope: true,效果爲 NoSchedule,容忍度與 Pod 配置中的相匹配。
D. 命名空間 "in-scope-pci "中運行所有範圍內 Pod。
查看答案
正確答案: C
問題 #21
您正在與一位計劃將數據遷移到 Google 雲的客戶合作。您負責推薦一種加密服務來管理他們的加密密鑰。您有以下要求:主密鑰必須至少每 45 天輪換一次。存儲主密鑰的解決方案必須通過 FIPS 140-2 3 級驗證。主密鑰必須存儲在美國境內的多個地區,以實現冗餘。哪種解決方案能滿足這些要求?
A. 使用雲密鑰管理服務由客戶管理加密密鑰
B. 使用雲 HSM 由客戶管理加密密鑰
C. 戶提供的加密密鑰
D. 歌管理的加密密鑰
查看答案
正確答案: D
問題 #22
一家企業開始將其基礎架構從內部環境遷移到谷歌雲平臺(GCP)。該組織希望採取的第一步是將其正在進行的數據備份和災難恢復解決方案遷移到 GCP。該組織的內部部署生產環境將是向 GCP 遷移的下一階段。企業應該使用哪種 GCP 解決方案?
A. 過雲 VPN 使用數據管道作業進行 BigQuery 持續更新
B. 過雲互連使用計劃任務和 gsutil 實現雲存儲
C. 過雲互連使用持久磁盤的計算引擎虛擬機
D. 過雲 VPN 使用定期計劃的批量上傳工作的雲數據存儲
查看答案
正確答案: B
問題 #23
一位經理希望將安全事件日誌保留 2 年,同時儘量降低成本。您需要編寫一個過濾器來選擇適當的日誌條目。
A. igQuery 數據集
B. 存儲桶
C. 棧驅動程序日誌記錄
D. 發布/子主題
查看答案
正確答案: C
問題 #24
一位經理希望將安全事件日誌保留 2 年,同時儘量降低成本。您需要編寫一個過濾器來選擇適當的日誌條目。
A. BigQuery 數據集
B. 雲存儲桶
C. tackDriver 日誌
D. 雲發布/子主題
查看答案
正確答案: B
問題 #25
在創建安全容器映像時,如果可能,應將哪兩個項目納入構建過程?(請選擇兩項)。
A. 確保應用程序不以 PID 1 運行。
B. 單個應用程序打包爲容器。
C. 除應用程序不需要的任何不必要工具。
D. 使用公共容器映像作爲應用程序的基礎映像。
E. 用許多容器圖像層來隱藏敏感信息。
查看答案
正確答案: BC
問題 #26
某公司正在將應用程序日誌備份到雲存儲桶中,供分析師和管理員共享。分析師只能訪問不包含任何個人身份信息 (PII) 的日誌。包含 PII 的日誌文件應存儲在僅管理員可訪問的另一個存儲桶中。
A. 次將文件上傳到共享存儲桶時,使用雲發布/子和雲功能觸發數據丟失防護掃描。如果掃描檢測到 PII,則將該功能移動到只有管理員才能訪問的雲存儲桶中。
B. 日誌上傳到共享存儲桶和僅供管理員訪問的存儲桶。使用雲數據丟失防護 API 創建任務觸發器。配置觸發器以刪除共享數據桶中包含 PII 的任何文件。
C. 分析師和管理員共享的數據桶上,配置 "對象生命周期管理 "以刪除包含任何 PII 的對象。
D. 分析師和管理員共享的存儲桶上,配置僅在上傳 PII 數據時觸發的雲存儲觸發器。使用雲功能捕獲觸發器並刪除此類文件。
查看答案
正確答案: C
問題 #27
您想確保您組織的雲存儲存儲桶不能向互聯網公開數據。您想在所有雲存儲桶中強制執行這一點,該怎麼辦?
A. 從最終用戶中移除所有者角色,並配置雲數據丟失防護。
B. 除最終用戶的 "所有者 "角色,並在組織策略中執行域限制共享。
C. 置統一的桶級訪問,並在組織策略中執行域限制共享。
D. 從所有角色中刪除 *
查看答案
正確答案: C
問題 #28
您的團隊希望從內部部署的 Active Directory 服務集中管理 GCP IAM 權限。您的團隊希望按 AD 組成員身份管理權限。您的團隊應如何滿足這些要求?
A. 設置雲目錄同步以同步組,並在組上設置 IAM 權限。
B. 設置 SAML 2
C. 用雲身份和訪問管理 API 從 Active Directory 創建組和 IAM 權限。
D. 用 Admin SDK 從 Active Directory 創建組並分配 IAM 權限。
查看答案
正確答案: B
問題 #29
客戶需要在源代碼管理 (SCM) 系統中存儲純文本機密的替代方案。
A. 使用雲源存儲庫,並在雲 SQL 中存儲機密。
B. 使用客戶管理加密密鑰 (CMEK) 加密機密,並將其存儲在雲存儲中。
C. 運行雲數據丟失防護 API 掃描機密,並將其存儲在雲 SQL 中。
D. 將 SCM 部署到帶有本地固態硬盤的計算引擎虛擬機上,並啓用可搶佔式虛擬機。
查看答案
正確答案: B
問題 #30
貴公司正在使用 Cloud Dataproc 處理 Spark 和 Hadoop 作業。您希望能夠創建、旋轉和銷毀用於 Cloud Dataproc 所用持久磁盤的對稱加密密鑰。密鑰可以存儲在雲中,您應該怎麼做?
A. 在組織的 VPC 網絡和第三方網絡之間配置雲 VPN 連接,該連接受 VPC 防火牆規則控制。
B. 在組織的 VPC 網絡和第三方網絡之間配置 VPC 對等連接,該連接受 VPC 防火牆規則控制。
C. 在計算引擎實例周圍配置 VPC 服務控制邊界,並通過訪問級別向第三方提供訪問權限。
D. 置 Apigee 代理,將計算引擎託管的應用程序作爲 API 公開,並使用 TLS 加密,只允許第三方訪問。
查看答案
正確答案: A
問題 #31
貴公司要求安全和網絡工程團隊識別 VPC 內部和跨 VPC 的所有網絡異常、從虛擬機到虛擬機的內部流量、互聯網終端位置和虛擬機之間的流量,以及虛擬機到生產中的 Google 雲服務之間的流量。您應該使用哪種方法?
A. 義組織政策約束。
B. 置數據包鏡像策略
C. 在子網上啓用 VPC 流量日誌。
D. 監控和分析雲審計日誌。
查看答案
正確答案: C
問題 #32
您將創建一個新的服務帳戶,該帳戶應能列出項目中的計算引擎實例。您想遵循 Google 推薦的做法,該怎麼做?
A. 在組織層面使用資源管理器。
B. 使用 Forseti Security 自動執行庫存快照。
C. 用 Stackdriver 創建一個跨所有項目的儀錶盤。
D. 用安全指揮中心查看整個組織的所有資產。
查看答案
正確答案: B
問題 #33
您是公司的安全管理員。您想在 Cloud IAM 中同步 LDAP 目錄中擁有電子郵件地址的所有安全組。
A. 政策故障排除器
B. 政策分析器
C. IAM 推薦器
D. 政策模擬器
查看答案
正確答案: A
問題 #34
您有一個應用程序,其中前端部署在子網 A 的受管實例組上,數據層存儲在同一 VPC 子網 B 的 mysql 計算引擎虛擬機(VM)上。子網 A 和子網 B 中還有其他幾個計算引擎虛擬機。您只希望允許應用程序前端訪問應用程序 mysql 實例中 3306 端口的數據。
A. 置入口防火牆規則,允許從子網 A 的 src IP 範圍向應用於 3306 端口 mysql 計算引擎虛擬機的標記 "data-tag "通信。
B. 配置一條入口防火牆規則,允許前端的 uniqueservice 賬戶與 mysql 計算引擎虛擬機的 unique service 賬戶在 3306 端口上通信。
C. 置網絡標記 "fe-tag",將其應用於子網 A 中的所有實例;配置網絡標記 "data-tag",將其應用於子網 B 中的所有實例;然後配置出口防火牆規則,允許標記爲 data-tag 的計算引擎虛擬機與標記爲 fe-tag 的目標計算引擎虛擬機進行通信。
D. 置網絡標記 "fe-tag",將其應用於子網 A 中的所有實例,配置網絡標記 "data-tag",將其應用於子網 B 中的所有實例。然後配置入口防火牆規則,允許使用 fe-tag 標記的計算引擎虛擬機與使用 data-tag 標記的目標計算引擎虛擬機進行通信。
查看答案
正確答案: B
問題 #35
您想確保您組織的雲存儲存儲桶不能向互聯網公開數據。您想在所有雲存儲桶中強制執行這一點,該怎麼辦?
A. 從最終用戶中移除所有者角色,並配置雲數據丟失防護。
B. 除最終用戶的 "所有者 "角色,並在組織策略中執行域限制共享。
C. 置統一的桶級訪問,並在組織策略中執行域限制共享。
D. 從所有角色中刪除 *
查看答案
正確答案: C
問題 #36
您公司的新任首席執行官最近出售了公司的兩個部門。你的總監要求你幫助將與這些部門相關的 Google Cloud 項目遷移到一個新的組織節點。在遷移之前,哪些準備步驟是必要的?(選擇兩個)。
A. 在組織策略中啓用域限制共享,並在雲存儲桶上啓用統一桶級訪問。
B. 啓用 VPC 服務控制,在項目 A 周圍創建周邊,並在服務周邊配置中包含雲存儲 API。
C. 項目 A 和項目 B 的網絡中啓用專用訪問,並制定嚴格的防火牆規則,允許網絡之間進行通信。
D. 項目 A 和項目 B 的網絡之間啓用 VPC 對等,並制定嚴格的防火牆規則,允許網絡之間進行通信。
查看答案
正確答案: BE
問題 #37
您的團隊創建了一條出口防火牆規則,拒絕(優先級 1000)所有互聯網流量。計算引擎實例現在需要訪問公共存儲庫以獲取安全更新。
A. 建一條出口防火牆規則,允許優先級大於 1000 的流量進入存儲庫的 CIDR 範圍。
B. 建一條出口防火牆規則,允許優先級低於 1000 的流量進入存儲庫的 CIDR 範圍。
C. 建一條出口防火牆規則,允許優先級大於 1000 的流量進入存儲庫主機名。
D. 建一條出口防火牆規則,允許優先級低於 1000 的流量訪問存儲庫的主機名。
查看答案
正確答案: C
問題 #38
應用程序通常需要訪問 "機密"--在構建或運行時的小段敏感數據。在 GCP 上管理這些機密的管理員希望跟蹤 GCP 項目中 "誰在何時何地做了什麼"。(選擇兩個)。
A. 創建一個實例模板,並允許服務帳戶對計算引擎訪問範圍進行只讀訪問。
B. 創建一個具有 compute
C. 賦予服務賬戶 "計算查看器 "角色,並在所有實例中使用新的服務賬戶。
D. 賦予服務賬戶 "項目查看器 "角色,並在所有實例中使用新的服務賬戶。
查看答案
正確答案: AC
問題 #39
貴公司的雲安全策略規定虛擬機實例不應有外部 IP 地址。您需要確定允許沒有外部 IP 地址的虛擬機實例連接到互聯網以更新虛擬機的 Google 雲服務。
A. 身份感知代理
B. 雲 NAT
C. CP/UDP 負載平衡
D. 雲 DNS
查看答案
正確答案: B
問題 #40
一個 DevOps 團隊將創建一個新容器在 Google Kubernetes 引擎上運行。由於應用程序將面向互聯網,他們希望最大限度地減少容器的攻擊面。
A. 使用 Cloud Build 構建容器映像。
B. 使用小型基礎映像構建小型容器。
C. 容器註冊表中刪除未使用的版本。
D. 使用持續交付工具部署應用程序。
查看答案
正確答案: D
問題 #41
某零售客戶允許用戶上傳評論和產品評論。客戶需要在發布評論或評價之前確保文本不包含敏感數據。
A. 雲密鑰管理服務
B. 雲數據丟失防護 API
C. igQuery
D. 雲安全掃描儀
查看答案
正確答案: B
問題 #42
您發現,在從內部部署環境到 BigQuery 數據集的日常 ETL 流程中,敏感的個人身份信息 (PII) 被輸入到您的 Google 雲環境中。您需要編輯這些數據以混淆 PII,但需要重新識別這些數據以用於數據分析。您應該在解決方案中使用哪些組件?(選擇兩個)。
A. BigQuery 使用數據管道作業,通過雲 VPN 進行持續更新
B. 通過雲互連使用計劃任務和 gsutil 進行雲存儲
C. 通過雲互連使用持久磁盤的計算引擎虛擬機
D. 通過雲 VPN 使用定期計劃的批量上傳工作的雲數據存儲
查看答案
正確答案: DE
問題 #43
一家企業開始將其基礎架構從內部環境遷移到谷歌雲平臺(GCP)。該組織希望採取的第一步是將其正在進行的數據備份和災難恢復解決方案遷移到 GCP。該組織的內部生產環境將是向 GCP 遷移的下一階段。企業應該使用哪種 GCP 解決方案?
A. 創建一個雲存儲桶,將日誌存儲在 EUROPE-WEST1 區域。修改應用程序代碼,將日誌直接發送到存儲桶,以提高效率。
B. 配置您的計算引擎實例,使其使用 Google 雲的操作套件雲日誌代理將應用程序日誌發送到 EUROPE- WEST1 區域的自定義日誌桶,自定義保留期爲 12 年。
C. 使用 Pub/Sub 主題將應用程序日誌轉發到 EUROPE-WEST1 區域的 Cloud Storage 存儲桶。
D. EUROPE-WEST1 區域的 Google 雲操作套件日誌桶上配置 12 年的自定義保留策略。
查看答案
正確答案: A
問題 #44
您有一個應用程序,其中前端部署在子網 A 的受管實例組上,數據層存儲在同一 VPC 子網 B 的 mysql 計算引擎虛擬機(VM)上。子網 A 和子網 B 中還有其他幾個計算引擎虛擬機。您只希望允許應用程序前端訪問應用程序 mysql 實例中 3306 端口的數據。
A. 置入口防火牆規則,允許從子網 A 的 src IP 範圍向應用於 3306 端口 mysql 計算引擎虛擬機的標記 "data-tag "通信。
B. 配置一條入口防火牆規則,允許前端的 uniqueservice 賬戶與 mysql 計算引擎虛擬機的 unique service 賬戶在 3306 端口上通信。
C. 置網絡標記 "fe-tag",將其應用於子網 A 中的所有實例;配置網絡標記 "data-tag",將其應用於子網 B 中的所有實例;然後配置出口防火牆規則,允許標記爲 data-tag 的計算引擎虛擬機與標記爲 fe-tag 的目標計算引擎虛擬機進行通信。
D. 置網絡標記 "fe-tag",將其應用於子網 A 中的所有實例,配置網絡標記 "data-tag",將其應用於子網 B 中的所有實例。然後配置入口防火牆規則,允許使用 fe-tag 標記的計算引擎虛擬機與使用 data-tag 標記的目標計算引擎虛擬機進行通信。
查看答案
正確答案: B
問題 #45
您需要實施一種靜態加密策略,既能保護敏感數據,又能降低非敏感數據的密鑰管理複雜性。您的解決方案有以下要求:安排敏感數據的密鑰輪換。控制敏感數據的加密密鑰存儲在哪個區域。儘量減少訪問敏感數據和非敏感數據的加密密鑰的延遲。
A. 使用雲外部密鑰管理器加密非敏感數據和敏感數據。
B. 使用雲密鑰管理服務加密非敏感數據和敏感數據
C. 用谷歌默認加密技術加密非敏感數據,使用雲外部密鑰管理器加密敏感數據。
D. 使用谷歌默認加密技術加密非敏感數據,使用雲密鑰管理服務加密敏感數據。
查看答案
正確答案: B
問題 #46
貴公司運營着一個應用程序實例組,該實例組目前部署在 us-central-1 的 Google 雲負載平衡器後面,並配置爲使用標準層網絡。基礎設施團隊希望擴展到第二個 Google 雲區域(us- east-2)。您需要設置一個外部 IP 地址,以便將新請求分發到這兩個地區的實例組。
A. 更改負載平衡器後端配置,使用網絡端點組而不是實例組。
B. 將負載平衡器前端配置更改爲使用高級層網絡,並添加新的實例組。
C. 使用標準層網絡在 us-east-2 中創建一個新的負載平衡器,並分配一個靜態外部 IP 地址。
D. 兩個區域之間創建雲 VPN 連接,並啓用 Google Private Access。
查看答案
正確答案: A
問題 #47
您在一家大型企業工作,每個業務部門都有數千名用戶。您需要將訪問控制權限的管理權限下放給每個業務部門。您有以下要求:每個業務部門管理自己項目的訪問控制。每個業務部門管理大規模的訪問控制權限。業務部門不能訪問其他業務部門的項目。如果用戶轉移到不同的業務部門或離開公司,他們將失去訪問權限。
A. 區域子網和全局動態路由模式上啓用專用 Google 訪問。
B. 使用 "all-apis "的 API 捆綁設置專用服務連接端點 IP 地址,並將其作爲雲互連連接上的路由進行宣傳。
C. 使用 private
D. 使用限制性 googleapis
查看答案
正確答案: DE
問題 #48
爲了使貴公司的消息應用程序符合 FIPS 140-2 標準,我們決定使用 GCP 計算和網絡服務。消息應用程序架構包括一個受管實例組(MIG),它控制着一個計算引擎實例集羣。這些實例使用本地固態硬盤進行數據緩存,使用 UDP 進行實例間通信。您應推薦哪些選項來滿足要求?
A. 用 BoringCrypto 模塊加密所有緩存存儲和虛擬機到虛擬機的通信。
B. MIG 使用的實例模板上的磁盤加密設置爲客戶管理密鑰,並在實例之間的所有數據傳輸中使用 BoringSSL。
C. 應用程序實例與實例之間的通信從 UDP 改爲 TCP,並在客戶端的 TLS 連接上啓用 BoringSSL。
D. MIG 使用的實例模板上的磁盤加密設置爲 Google 管理密鑰,並在所有實例與實例之間的通信中使用 BoringSSL 庫。
查看答案
正確答案: D
問題 #49
某客戶正在與另一家公司合作在 Compute Engine 上構建應用程序。客戶在自己的 GCP 組織中構建應用程序層,另一家公司在不同的 GCP 組織中構建存儲層。這是一個 3 層網絡應用程序。應用程序各部分之間的通信不得以任何方式穿越公共互聯網。
A. PC 對等互聯
B. 雲 VPN
C. 雲互聯
D. 共享 VPC
查看答案
正確答案: B
問題 #50
您正在將應用程序日誌導出到 Cloud Storage。您遇到了日誌匯不支持統一桶級訪問策略的錯誤消息。應該如何解決此錯誤?
A. 更改水桶的訪問控制模型
B. 用正確的水桶目的地更新水槽。
C. 將 roles/logging
D. 將 roles/logging
查看答案
正確答案: B
問題 #51
貴公司要求安全和網絡工程團隊識別所有網絡異常,並能夠捕獲 VPC 中的有效載荷。您應該使用哪種方法?
A. 義組織政策約束。
B. 置數據包鏡像策略
C. 在子網上啓用 VPC 流量日誌。
D. 監控和分析雲審計日誌。
查看答案
正確答案: B
問題 #52
在這種情況下,應該使用哪種方法來保護員工憑證?
A. 因素身份驗證
B. 格的密碼政策
C. 錄頁面上的驗證碼
D. 加密電子郵件
查看答案
正確答案: D
問題 #53
您的團隊在主機項目上配置了防火牆規則、子網和 VPN 網關。他們需要讓工程組 A 僅將計算引擎實例附加到 10.1.1.0/24 子網。
A. 機項目級別的計算網絡用戶角色。
B. 在子網級別計算網絡用戶角色。
C. 機項目級別的計算共享 VPC 管理角色。
D. 服務項目級別的計算共享 VPC 管理角色。
查看答案
正確答案: B
問題 #54
某公司正在將應用程序日誌備份到雲存儲桶中,供分析師和管理員共享。分析師只能訪問不包含任何個人身份信息 (PII) 的日誌。包含 PII 的日誌文件應存儲在僅管理員可訪問的另一個存儲桶中。
A. 每次文件上傳到共享存儲桶時,使用雲 Pub/Sub 和雲功能觸發數據丟失防護掃描。如果掃描檢測到 PII,則將該功能移動到只有管理員才能訪問的雲存儲桶中。
B. 將日誌上傳到共享存儲桶和僅供管理員訪問的存儲桶。使用雲數據丟失防護 API 創建任務觸發器。配置觸發器以刪除共享數據桶中包含 PII 的任何文件。
C. 在分析師和管理員共享的數據桶上,配置 "對象生命周期管理 "以刪除包含任何 PII 的對象。
D. 在分析師和管理員共享的存儲桶上,配置僅在上傳 PII 數據時觸發的雲存儲觸發器。使用雲功能捕獲觸發器並刪除此類文件。
查看答案
正確答案: C
問題 #55
您的任務是爲 Google Cloud 上的一個公共應用程序實施外部 Web 應用程序保護,以防範常見的 Web 應用程序攻擊。您希望在執行這些策略變更之前對其進行驗證。您應該使用哪種服務?
A. oogle Cloud Armor 在預覽模式下的預配置規則
B. 監控模式下預置 VPC 防火牆規則
C. 歌前端(GFE)固有的保護措施
D. 負載平衡防火牆規則
E. 幹運行模式下的 VPC 服務控制
查看答案
正確答案: A
問題 #56
您正在爲一個電子健康記錄系統處理受保護健康信息 (PHI)。隱私官擔心分析系統中存儲了敏感數據。您的任務是以不可逆的方式對敏感數據進行匿名處理。此外,匿名數據不應保留字符集和長度。您應該使用哪種 Google 雲解決方案?
A. 使用 AES-SIV 進行確定性加密的雲數據丟失防護
B. 雲數據丟失防護與格式保存加密
C. 利用加密哈希算法防止雲數據丟失
D. 使用雲密鑰管理服務包裝加密密鑰的雲數據丟失防護
查看答案
正確答案: D
問題 #57
您是一家企業的安全團隊成員。您所在的團隊有一個 GCP 項目,其中包含信用卡支付處理系統、網絡應用程序和數據處理系統。您希望縮小受 PCI 審計標準限制的系統範圍。
A. 對網絡應用程序的管理員訪問使用多因素身份驗證。
B. 能使用經認證符合 PA-DSS 的應用程序。
C. 持卡人數據環境轉移到單獨的 GCP 項目中。
D. 在辦公室和雲環境之間的所有連接中使用 VPN。
查看答案
正確答案: C
問題 #58
您負責管理貴組織的安全運營中心 (SOC)。目前,您根據數據包頭信息監控和檢測 Google Cloud VPC 中的網絡流量異常。但是,您希望能夠探索網絡流及其有效載荷,以協助調查。您應該使用哪種 Google 雲產品?
A. 市場 IDS
B. VPC 流量日誌
C. PC 服務控制日誌
D. 據包鏡像
E. oogle 雲裝甲深度包檢測
查看答案
正確答案: D
問題 #59
應用程序通常需要訪問 "機密"--在構建或運行時的小段敏感數據。在 GCP 上管理這些機密的管理員希望跟蹤 GCP 項目中 "誰在何時何地做了什麼"。(選擇兩個)。
A. 創建一個實例模板,並允許服務帳戶對計算引擎訪問範圍進行只讀訪問。
B. 創建一個具有 compute
C. 賦予服務賬戶 "計算查看器 "角色,並在所有實例中使用新的服務賬戶。
D. 賦予服務賬戶 "項目查看器 "角色,並在所有實例中使用新的服務賬戶。
查看答案
正確答案: AC
問題 #60
客戶解僱了一名工程師,需要確保該工程師的 Google 帳戶自動解除供應。
A. 用雲 SDK 及其目錄服務,刪除雲身份中的 IAM 權限。
B. 用雲 SDK 及其目錄服務從雲身份供應和取消供應用戶。
C. 他們的目錄服務配置雲目錄同步,以便從雲身份供應和取消供應用戶。
D. 他們的目錄服務配置雲目錄同步,刪除他們在雲身份中的 IAM 權限。
查看答案
正確答案: C
問題 #61
某企業正在評估將谷歌雲平臺(GCP)用於某些 IT 工作負載。一個成熟的目錄服務用於管理用戶身份和生命周期管理。哪種解決方案能滿足該組織的要求?
A. 歌雲目錄同步(GCDS)
B. 身份
C. 全斷言標記語言(SAML)
D. 版社/分社
查看答案
正確答案: B
問題 #62
您正在排除連接到共享 VPC 的計算引擎實例和 BigQuery 數據集之間的拒絕訪問錯誤。這些數據集位於受 VPC 服務控制邊界保護的項目中。您應該怎麼做?
A. 將包含共享 VPC 的主機項目添加到服務邊界。
B. 將計算引擎實例所在的服務項目添加到服務邊界。
C. 計算引擎實例所在的服務項目和包含共享 VP 的主機項目之間創建服務邊界
D. 計算引擎實例所在的服務項目和包含受保護 BigQuery 數據集的邊界之間創建邊界橋。
查看答案
正確答案: C
問題 #63
哪項國際合規標準規定了適用於提供和使用雲服務的信息安全控制指南?
A. SO 27001
B. SO 27002
C. SO 27017
D. SO 27018
查看答案
正確答案: C
問題 #64
要求您推薦一種解決方案,用於存儲和檢索在計算引擎上運行的應用程序中的敏感配置數據。您應該推薦哪種方案?
A. 雲密鑰管理服務
B. 算引擎訪客屬性
C. 算引擎自定義元數據
D. 祕密經理
查看答案
正確答案: A
問題 #65
客戶的公司有多個業務部門。每個業務部門都獨立運營,每個部門都有自己的工程小組。您的團隊希望了解公司內部創建的所有項目,並希望根據不同的業務部門組織他們的 Google 雲平臺 (GCP) 項目。每個業務部門還需要單獨的 IAM 權限集。您應該使用哪種策略來滿足這些需求?
A. 創建一個組織節點,並爲每個業務單位分配文件夾。
B. 使用 gmail
C. 項目中分配 GCP 資源,並用標籤標明資源歸哪個業務部門所有。
D. VPC 中爲每個業務部門分配 GCP 資源,以分離網絡訪問。
查看答案
正確答案: A
問題 #66
某組織的典型網絡和安全審查包括分析應用程序傳輸路由、請求處理和防火牆規則。他們希望讓開發人員團隊能夠部署新的應用程序,而無需進行這種全面審查。
A. 使用帶有防火牆過濾器的 Forseti 來捕捉生產中任何不需要的配置。
B. 強制使用基礎設施即代碼,並在 CI/CD 管道中提供靜態分析,以執行策略。
C. 過客戶管理的路由器路由所有 VPC 流量,以檢測生產中的惡意模式。
D. 有生產應用程序都將在內部運行。允許開發人員自由使用 GCP 作爲開發和質量保證平臺。
查看答案
正確答案: B
問題 #67
您的團隊創建了一條出口防火牆規則,拒絕(優先級 1000)所有互聯網流量。計算引擎實例現在需要訪問公共存儲庫以獲取安全更新。您的團隊應該怎麼做?
A. 創建一條出口防火牆規則,允許優先級大於 1000 的流量進入存儲庫的 CIDR 範圍。
B. 創建一條出口防火牆規則,允許優先級低於 1000 的流量進入存儲庫的 CIDR 範圍。
C. 創建一條出口防火牆規則,允許優先級大於 1000 的流量進入存儲庫主機名。
D. 創建一條出口防火牆規則,允許優先級低於 1000 的流量訪問存儲庫主機名。
查看答案
正確答案: D

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.