보안/교육

Google Professional Cloud Architect Exam Actual Questions#5

수달정보보호 2024. 3. 12. 21:55

41. Your customer support tool logs all email and chat conversations to Cloud Bigtable for retention and analysis. What is the recommended approach for sanitizing this data of personally identifiable information or payment card information before initial storage?

  • A. Hash all data using SHA256
  • B. Encrypt all data using elliptic curve cryptography
  • C. De-identify the data with the Cloud Data Loss Prevention API
  • D. Use regular expressions to find and redact phone numbers, email addresses, and credit card numbers

고객 지원 도구는 보존 및 분석을 위해 모든 이메일 및 채팅 대화를 클라우드 빅테이블에 기록한다. 초기 저장 전에 개인 식별 정보 또는 결제 카드 정보의 데이터를 검사하는 데 권장되는 접근 방식은 무엇인가.

 

A의 경우, SHA256을 사용한 해싱 데이터는 현재의 기술로 충분히 해싱을 되돌릴 수 있기 때문에 민감 정보 보호에 있어서 적합한 선택이 아니다. B에서 타원 곡선 암호화를 이용한 것은 데이터를 보호하는 데에 있어서는 분명 좋다고 할 수 있다. 그러나 이 암호화 키를 저장하고 관리하는 방법에 대해서도 추가가 되어야 하는데, B는 이 조건에 있어 취약하다. D는 정규표현식 자체는 효과적일 수는 있다. 그러나 모든 데이터 패턴의 완전하고 최신인 목록이 필요하다. 또한,  오류가 발생하기 쉽기 때문에 민감 데이터의 모든 인스턴스를 감지하지 못할 수도 있을 것이다. C에서 DLP는 앞서 나온 단점들을 모두 채울 수 있는 선택이 될 것이다.

 

 

42. You are using Cloud Shell and need to install a custom utility for use in a few weeks. Where can you store the file so it is in the default execution path and persists across sessions?

  • A. ~/bin
  • B. Cloud Storage
  • C. /google/scripts
  • D. /usr/local/bin

클라우드 셸을 사용하고 있으며, 몇 주 안에 사용할 사용자 정의 유틸리티를 설치해야 한다. 기본 실행 경로에 있고, 세션 간에 지속되도록 파일을 저장할 수 있는 위치는 어디인가.

 

https://cloud.google.com/shell/docs/how-cloud-shell-works의 내용을 고려했을 때 A가 명백한 것으로 보인다. 클라우드 셸에 최초로 로그인하면 ~/bin 디렉터리가 존재하지 않는다. 이후 다시 로그인을 하면, $PATH가 자동으로 ~/bin을 생성한다.  

 

43. You want to create a private connection between your instances on Compute Engine and your on-premises data center. You require a connection of at least 20Gbps. You want to follow Google-recommended practices. How should you set up the connection?

  • A. Create a VPC and connect it to your on-premises data center using Dedicated Interconnect.
  • B. Create a VPC and connect it to your on-premises data center using a single Cloud VPN.
  • C. Create a Cloud Content Delivery Network (Cloud CDN) and connect it to your on-premises data center using Dedicated Interconnect.
  • D. Create a Cloud Content Delivery Network (Cloud CDN) and connect it to your on-premises datacenter using a single Cloud VPN.

컴퓨트 엔진의 인스턴스와 사내 데이터 센터 간에 사적인 연결을 만들고자 한다. 적어도 20Gbps 이상의 연결이 필요하다. 이때 구글이 권장하는 방법을 따르려고 한다면 연결을 어떻게 설정해야 하는가.

 

명확하게 정답은 A다. 전용 인터커넥트는 사내 데이터 센터와 구글 클라우드 간에 전용 고대역폭 네트워크 연결을 만들 수 있는 서비스다. 이는 최소 20Gbps 이상의 연결이 필요할 때 사내 데이터 센터와 구글 클라우드 간에 사설 연결을 만들 수 있는 권장 솔루션이다. 그렇기에 정답은 A가 확실하다. B에서 단일 클라우드 VPN을 사용하여 VPC를 사내 데이터 센터에 연결하는 것은 클라우드 VPN의 최대 용량이 30Gbps이므로 최소 20Gbps 이상의 연결에는 적합하지 않다. 다음으로 C에서, Cloud CDN은 정적이고 동적인 웹 콘텐츠의 전달 속도를 높이는 캐싱 서버의 전 세계적으로 분산된 네트워크다. 그렇기에 컴퓨트 엔진의 인스턴스와 사내 데이터 센터 간에 사설 연결을 생성하는 데 적합하지 않다. D에서 클라우드 VPN의 최대 용량이 30Gbps이므로 단일 클라우드 VPN을 사용하여 사내 데이터 센터에 클라우드 CDN을 연결하는 것은 최소 20Gbps 이상의 연결에 적합하지 않다.

 

44. You are analyzing and defining business processes to support your startup's trial usage of GCP, and you don't yet know what consumer demand for your product will be. Your manager requires you to minimize GCP service costs and adhere to Google best practices. What should you do?

  • A. Utilize free tier and sustained use discounts. Provision a staff position for service cost management.
  • B. Utilize free tier and sustained use discounts. Provide training to the team about service cost management.
  • C. Utilize free tier and committed use discounts. Provision a staff position for service cost management.
  • D. Utilize free tier and committed use discounts. Provide training to the team about service cost management.

스타트업이 GCP를 시험적으로 사용할 수 있도록 비즈니스 프로세스를 분석하고 정의하고 있지만, 제품에 대한 소비자 요구가 무엇일지 아직 모른다. GCP 서비스 비용을 최소화하고 구글의 모범 사례를 따르도록 하는 요구사항이 있을 때 어떻게 해야 하는가.

 

https://cloud.google.com/compute/docs/sustained-use-discounts에서 지속적인 할인은 청구 월의 상당 부분에서 특정 GCE를 실행하는 것에 대한 자동 할인이다. 커밋은 1년 또는 3년 사이에 예측 가능한 리소스 요구가 있는 워크로드를 대상으로 하며, 대부분의 리소스에 대해 최대 57% 할인을 제공한다. https://cloud.google.com/compute/docs/instances/signing-up-committed-use-discounts이 같은 내용을 모두 더하면 B가 명확하다.

 

45. You are building a continuous deployment pipeline for a project stored in a Git source repository and want to ensure that code changes can be verified before deploying to production. What should you do?

  • A. Use Spinnaker to deploy builds to production using the red/black deployment strategy so that changes can easily be rolled back.
  • B. Use Spinnaker to deploy builds to production and run tests on production deployments.
  • C. Use Jenkins to build the staging branches and the master branch. Build and deploy changes to production for 10% of users before doing a complete rollout.
  • D. Use Jenkins to monitor tags in the repository. Deploy staging tags to a staging environment for testing. After testing, tag the repository for production and deploy that to the production environment.

Git 소스 저장소에 저장된 프로젝트에 대한 지속적인 배포 파이프라인을 구축하고 있으며 운영 환경에 배포하기 전에 코드 변경 사항을 확인하려고 한다. 어떻게 해야 하는가.

 

태그 지정은 Jenkins/Spinnaker에서 올바른 코드를 배포하고 실수로(또는 의도적으로) 잘못된 코드를 프로덕션 환경에 푸시하는 것을 방지하기 위해 권장하는 모범 사례이기 때문에 가장 좋은 답은 D인 것으로 보인다. https://stackify.com/continuous-delivery-git-jenkins/의 내용을 통해 확인할 수 있다.

 

46. You have an outage in your Compute Engine managed instance group: all instances keep restarting after 5 seconds. You have a health check configured, but autoscaling is disabled. Your colleague, who is a Linux expert, offered to look into the issue. You need to make sure that he can access the VMs. What should you do?

  • A. Grant your colleague the IAM role of project Viewer
  • B. Perform a rolling restart on the instance group
  • C. Disable the health check for the instance group. Add his SSH key to the project-wide SSH Keys
  • D. Disable autoscaling for the instance group. Add his SSH key to the project-wide SSH Keys

컴퓨트 엔진 관리 인스턴스 그룹에 정전이 발생했다. 모든 인스턴스가 5초 후에 계속 다시 시작되는 상태다. 상태 검사가 구성되어 있지만 자동 스케일링이 비활성화되어 있다. 리눅스 전문가가 이 문제를 진단할 때, VM에 액세스할 수 있는지 확인해야 한다. 어떻게 해야 하는가.

 

C가 정답이다. 요구 사항에 따라 리눅스 전문가가 문제를 해결하려면 VM에 액세스해야 한다. 상태 검사를 사용하면 VM에 대한 상태 검사가 실패하는 즉시 이전 VM이 종료되고 새 VM이 자동으로 생성된다. 따라서 이러한 상황은 리눅스 전문가가 문제를 해결하는 것을 방지한다. 스택-드라이버 로깅을 사용하도록 설정하고, 전문가가 클라우드 로그에서 프로젝트 뷰어로의 역할보다 로그만 보고 싶어하는 경우가 도움이 될 수 있을 수 있다. 그러나 특히 전문가가 VM에 로그인하여 문제를 해결하고 클라우드 로그는 보지 않는 것이 좋다. C가 정답이 된다.
 

47. Your company is migrating its on-premises data center into the cloud. As part of the migration, you want to integrate Google Kubernetes Engine (GKE) for workload orchestration. Parts of your architecture must also be PCI DSS-compliant. Which of the following is most accurate?

  • A. App Engine is the only compute platform on GCP that is certified for PCI DSS hosting.
  • B. GKE cannot be used under PCI DSS because it is considered shared hosting.
  • C. GKE and GCP provide the tools you need to build a PCI DSS-compliant environment.
  • D. All Google Cloud services are usable because Google Cloud Platform is certified PCI-compliant.

사내 데이터 센터를 클라우드로 마이그레이션하고 있다. 마이그레이션의 일부로 워크로드 조정을 위해 GKE를 통합하려고 한다. 아키텍처의 일부도 PCI DSS를 준수해야 한다. 그런 상황에서 가장 정확한 것은.

 

https://cloud.google.com/security/compliance/pci-dss의 내용까지 살펴 보았을 때, 분명히 GKE를 PCI DSS 준수라고 언급하지만 모든 GCP 서비스가 PCI DSS-Compliance인 것은 아니므로, 정답은 반드시 C라고 할 수 있다. https://cloud.google.com/architecture/pci-dss-compliance-in-gcp#kubernetes_engine에서도PCI DSS를준수하도록 환경을 구성해야 한다는 것을 확인할 수 있다.

 

48. Your company has multiple on-premises systems that serve as sources for reporting. The data has not been maintained well and has become degraded over time. You want to use Google-recommended practices to detect anomalies in your company data. What should you do?

  • A. Upload your files into Cloud Storage. Use Cloud Datalab to explore and clean your data.
  • B. Upload your files into Cloud Storage. Use Cloud Dataprep to explore and clean your data.
  • C. Connect Cloud Datalab to your on-premises systems. Use Cloud Datalab to explore and clean your data.
  • D. Connect Cloud Dataprep to your on-premises systems. Use Cloud Dataprep to explore and clean your data.

보고를 위한 자료가 되는 사내 시스템이 여러 개 있다. 그런데 데이터가 잘 유지되지 않고 시간이 지남에 따라 성능이 저하되었다. 구글에서 권장하는 방법을 사용하여 회사 데이터의 이상 징후를 탐지하려고 한다. 어떻게 해야 하는가.

 

이번 문제의 정답은 명백하게 B가 될 것이다. 사내 데이터 소스, 부적합한 데이터인데 유지보수가 잘 되지 않고 성능도 저하된다는 점, 구글이 권장하는 이상 징후 탐지. 이 키워드들을 종합했을 때 말이다. 특히 여기서 이상 징후 탐지가 가장 포인트인 것으로 보인다. Datalab은 이상 탐지 징후를 제공하지 않기 때문에 A, C는 바로 배제가 된다. 데이터랩은 대화형 데이터 분석 및 ML 모델 구축 같은 것에 적합하다. D에서 데이터프랩은 SaaS 또는 온 프레미스에 연결할 수 없다. 데이터 플로우와 이를 혼동할 수 있으니 명확히 구분해야 한다. 따라서 B가 정답이 된다. 데이터프랩은 빠른 탐색과 이상 탐지 기능을 제공하며, 수집 매체로서 클라우드 스토리지를 사용하는 것도 아주 모범적이다. https://cloud.google.com/dataprep에서 해당 내용을 확인할 수 있다.

 

49. Google Cloud Platform resources are managed hierarchically using organization, folders, and projects. When Cloud Identity and Access Management (IAM) policies exist at these different levels, what is the effective policy at a particular node of the hierarchy?

  • A. The effective policy is determined only by the policy set at the node
  • B. The effective policy is the policy set at the node and restricted by the policies of its ancestors
  • C. The effective policy is the union of the policy set at the node and policies inherited from its ancestors
  • D. The effective policy is the intersection of the policy set at the node and policies inherited from its ancestors

구글 클라우드 플랫폼 리소스는 조직, 폴더 및 프로젝트를 사용하여 계층적으로 관리된다. 클라우드 ID 및 액세스 관리 정책이 이러한 다른 수준에 존재할 때 계층의 특정 노드에서 효과적인 정책은 무엇인가.

 

https://cloud.google.com/iam/docs/resource-hierarchy-access-control에서 리소스에 대한 유효한 정책은 해당 리소스에 설정된 정책과 해당 상위에서 상속된 정책의 결합임을 확인할 수 있다. 그렇기에 C가 정답이 된다.

 

50. You are migrating your on-premises solution to Google Cloud in several phases. You will use Cloud VPN to maintain a connection between your on-premises systems and Google Cloud until the migration is completed. You want to make sure all your on-premise systems remain reachable during this period. How should you organize your networking in Google Cloud?

  • A. Use the same IP range on Google Cloud as you use on-premises
  • B. Use the same IP range on Google Cloud as you use on-premises for your primary IP range and use a secondary range that does not overlap with the range you use on-premises
  • C. Use an IP range on Google Cloud that does not overlap with the range you use on-premises
  • D. Use an IP range on Google Cloud that does not overlap with the range you use on-premises for your primary IP range and use a secondary range with the same IP range as you use on-premises

사내 솔루션을 구글 클라우드로 여러 단계로 마이그레이션한다. 마이그레이션이 완료될 때까지 클라우드 VPN을 사용하여 사내 시스템과 구글 클라우드 간의 연결을 유지한다. 이 기간 동안 모든 사내 시스템에 연결할 수 있는지 확인하고 싶다. 구글 클라우드에서 네트워킹을 어떻게 구성해야 하는가.

 

https://cloud.google.com/vpc/docs/using-vpc의 내용을 고려했을 때 답은 C가 될 것이다. 클라우드 VPN, 전용 인터커넥트 또는 파트너 인터커넥트를 사용하여 VPC 네트워크를 다른 네트워크에 연결한 경우, 기본 및 보조 범위가 사내 IP 범위와 충돌할 수 없기 때문이다.

728x90