たろログ2

実験的運用により、記事品質が乱高下することがあります。予めご了承ください。

2022-06-23 Google Certified Professional Security Engineer 模擬試験

引き続き模擬試験について振り返りを行っている。

デフォルト VPCファイアウォールルール

問題

インバウンドとアウトバウンドのすべてのインターネット トラフィックから、デフォルトの VPC ネットワークを保護する必要があります。どうすればよいですか?

回答

  1. すべてのアウトバウンド トラフィックを拒否するファイアウォール ルールを作成する。

解説

デフォルトの VPC ネットワークでは、インバウンドのトラフィックは全てブロック、アウトバウンドのトラフィックはすべて許可する設定となっている。

そのため、アウトバウンドのトラフィックを拒否するファイアウォールルールを作成することで、インバウンドとアウトバウンドのすべてのインターネットトラフィックから保護することができる。

Cloud Identity Aware Proxy の構成

問題

ある組織が最近、顧客向けのウェブ アプリケーションを構築、ホストするために、App Engine を使用し始めました。この組織は、既存の IAM 設定を使用して、デベロッパーがアプリケーションへの昇格されたアクセス権をリモートで利用できるようにしたいと考えています。こうすることで、デベロッパーは HTTPS 接続を介して、更新プログラムや修正プログラムをアプリケーションにプッシュできるようになります。デベロッパー以外の従業員には、開発権限なしで、本番環境バージョンへのアクセス権のみを付与する必要があります。この要件をクリアするためには、どの Google Cloud ソリューションを使用すればよいですか?

回答

  1. Cloud Identity-Aware Proxy(Cloud IAP)を設定して、従業員によるアクセスの認証やさまざまな承認レベルを管理する。

Cloud NAT

インスタンスに外部 IP を付与することなく、外部との通信を行うことができる。

Cloud Identity Aware Proxy

Cloud Identity Aware Proxy (IAP) は、認証を行うサービス。組織に適用され、プロジェクトやリージョンを超えてグローバルレベルで有効になる。

IAP を使うことで、 App Engine アプリのユーザ条件に基づいて様々なレベルのアクセス権を確立できる。

開発者は、更新プログラムや修正プログラムを push するアクセスを得られる。

開発者でない従業員は、本番環境へのアクセスのみを得られる。