[GCP]Professional Cloud Security Engineer(PCSE) 내용정리

해당 글은 PCSE 취득을 위해 정리한 글입니다.

잘못된 내용 있으면 알려주세요

2021-05-12 작성되었습니다.

 

*Compute Engine : CE

---

Compute Engine Instance 가 인터넷이나 Google API, 서비스에  액세스 할수 없게 하는 경우

-> Public IP, IP Forwarding 비활성화

 

VPC Network에 정의된 2가지 암시정 방화벽 규칙

-> OutBound All Allow, InBound All Deny

 

사내 Active Directory Service 에서 GCP IAM 권한을 중앙에서 관리 할 때 세팅

-> Group Sync를 위해 Cloud Directory Sync 설정 하고 그룹에 IAM 권한 설정

 

보안 컨테이너 이미지를 생성할때 빌드를 통합해야 하는 두가지 항목

-> 단일 앱을 패키지

-> 필요없는 tool 제거

 

SYN Flood DDoS를 Protection 을 원한다면?

-> Cloud Armor 

 

전용서버룸에서 워크로드를 실행중일때, 회사 개인 네트워크 내에서만 접속 되어야한다.

GCP project의 Compute Engine Instance를 워크로드에 연결하는 방법

-> Cloud VPN 을 이용하여 Project 구성

-> Cloud Interconnect를 사용하여 프로젝트 구성

 

 

Compute Engine 을 이용하여 ERP system을 IAP로 구현했을때, 보안계층을 추가했을 경우

IAP 트래픽을 허용하게 하는 방법

-> JWT(Json Token)을 이용하여 인증한다.

https://cloud.google.com/iap/docs/signed-headers-howto

 

Compute Engine을 어플리케이션을 실행할 때, 나쁜 이용자가 Compute Engine 을 출동하는 스크립트를 반복적으로 실행하도록 허용하는 버그를 일으켜 수정했지만, 이 경우를 또다시 겪지않기위해 알람을 받고자 하는 방법

-> Stackdriver 알림정책을 생성하여 스크립트의 실행 수가 원하는 임계값 미만으로 유지되는지 확인하는 알림을 사용

https://cloud.google.com/monitoring/alerts/types-of-conditions#metric-threshold

 

SIEM을 이용하여 모든 log view를 얻기를 원한다. dev 프로젝트는 test 및 pre-production 프로젝트와 함께 A 폴더 아래에 있다. dev프로젝트는 ABC-Billing 청구 계정을 조직의 나머지 부분과 공유할때 해당 요구 사항을 충족시키는 전략

-> A폴더 상위 항목에 포함된 로그를 PUB/SUB을 통해 내본고 전용 SIEM project에 Children 속성 포함

->  SIEM subscription 을 Topic에 추가

cloud.google.com/logging/docs/export/aggregated_sinks

* SIEM 은 보안 정보 및 이벤트 관리는 소프트웨어 제품 및 서비스가 보안 정보 관리 및 보안 이벤트 관리를 결합하는 컴퓨터 보안 분야의 하위 섹션 입니다.

 

공격자가 도메인/IP를 탈취하고, 중간 공격을 통해 사용자를 악의적인 사이트로 Redirection하는것을 방지하는 방법

->DNSSEC

cloud.google.com/blog/products/gcp/dnssec-now-available-in-cloud-dns

 

OWASP 취약성을 확인

-> Cloud Security Scanner(Security Command Center

 

분석워크로드에 GCP를 사용하고자 하는경우, 회사 정책에따라 모든 데이터는 회사 소유여야 하며, 

모든 사용자 인증은 SAML 2.0 IDP를 거쳐야 한다. 

엔지니어는 고객을위해 Cloud Identity를 설정하며, 고객의 도메인이 이미 G suite에 의해 사용되고 있을때 하는 조언

-> 경영진에게 Google 관리 서비스으 다른용도 알아보기

 

CE에서 실행중인 애플리케이션은 버킷에서 데이터를 읽어야한다. 버킷을 전체적으로 읽을 수 없도록 하며 최소한의 특권 원칙을 보장하는 방법

-> 버킷에 대한 읽기전용 액세스 권한이 있는 서비스 계정을 사용하고 ce의 애플리케이션 구성에 있는 서비스 계정에 자격증명을 저장

 

대표적인 네트워크 및 보안검토는 애플리케이션 전송 경로 분석, 요청처리 및 방화벽 규칙으로 구성된다.

그들은 개발자 팀이 이 전체 검토의 오버헤드 없이 새로운 애플리케이션을 배치할 수 있도록 하기를 원함 

이럴떄 어떻게해야하나

-> 정책을 시행하기 위해 CI/CD 파이프 라인에서 인프라를 코드로 의무적으로 사용하고 정적 분석을 제공

cloud.google.com/blog/products/containers-kubernetes/guard-against-security-vulnerabilities-with-container-registry-vulnerability-scanning

 

고용주는 상여금 보상이 시간에 지남에 따라 어떻게 변해왔는지 추적하고 싶다.

개인에 대한 민감한 데이터를 노출하지않고 수행하며 보고싶다.

어떤 Cloud Data Loss Prevention API 를 사용해야하는가

-> CrytoReplaceFxFpeConfig

 

최소 클라우드 ID 비밀번호 지침

-> 12자

 

Stackdriver log를 GCP에서 사내 SIEM 시스템으로 신뢰성이게 전달 하는가

-> Dataflow 를 통해 SIEM 으로 전송될 Pub/Sub Topic으로 로그 내보내도록 로그 싱크 구성

https://cloud.google.com/solutions/exporting-stackdriver-logging-for-splunk

 

PCI DSS 요구사항을 충족하기위해 고객은 모든 아웃바운드 트래픽이 승인 되었는지 확인하고자할때,

추가 보상 제어 없이 이 요구 사항을 충족 하는 클라우드 오퍼링 2개는?

-> Compute Engine, Google Kubernetes Engine

cloud.google.com/architecture/pci-dss-compliance-in-gcp

 

온라인 채팅을 통해 지원센터에서 에이전트와 고객은 개인식별정보, 문서,사진 등을 공유할때  이 로그 일부가 데이터베이스에 저장되는것을 우려하고 있을때, 데이터 유틸리티를 유지하면서 고민을 해결하는 GCP의 솔루션은?

-> PII를 저장하기 전 DLP API의 이미지 검사 및 수정작업을 사용하여 이미지에서 PII를 수정

https://cloud.google.com/dlp/docs/redacting-sensitive-data-images

 

네트워킹 리소스를 중앙집중화하고 자원이 사설VPN을 통해 GCP에 다시 접근해야하는 환경입니다.

이러한 네트워크는 네트워크 보안팀에 의해 통제되어야할때 어떻게 설계해야하는가

-> 공유 VPC네트워크를 이용하여 호스트프로젝트와 서비스프로젝트 공유

https://cloud.google.com/docs/enterprise/best-practices-for-enterprise-organizations#centralize_network_control

 

사업부가 독립적으로 운영되며 자체 엔지니어링 그룹이 있을때 사업부마다 IAM허가가 필요하면

어떻게 설계하는게 좋을까

-> 조직 노드를 생성하고 각 사업부에 폴더를 할당

https://cloud.google.com/resource-manager/docs/listing-all-resources

 

GCP 지역에 중복메일서버를 두고있으며 고객들을 위치를 기준으로 가장 가까운 메일서버로 Route하고하면?

-> TCP 프록시 글로벌 로드 밸런싱

https://cloud.google.com/load-balancing/docs/load-balancing-overview#tcp-proxy-load-balancing

 

gcp 실행중인 과거 기록을 얻는 방법

-> 인벤토리 스냅샷을 자동화 하려면 Forseti를 이용

https://forsetisecurity.org/about/

 

GCP로 인프라를 이전할때 조직은 첫번쨰 단계에 향후 분석을 위해 현재의 데이터 백업 및 재해 복구 솔루션을 GCP로 마이그래이션을 하려한다. 조직은 확장 가능하고 비용 효율적인 솔루션을 원할때 어떤 솔루션을 추천해야하는가

-> Cloud Storage

https://cloud.google.com/solutions/dr-scenarios-planning-guide#use-cloud-storage-as-part-of-your-daily-backup-routine

 

사용자를 대신하여 사용자의 Google Drive에 액세스 해야하는 내부 App Engine 응용프로그램을 만드려고한다.

자격증명에 의존하지 않으며 구글이 권장하는 관행을 따르면 어떻게해야하는가

-> 새 서비스 계정을 만들고 Gsuite 도메인에 전체 위임권한 부여

 

클러스터에서 사용할 부팅 디스크 암호화 솔루션을 선택

-> KMS를 사용하여 CMEK

* KMS : Key Management Service

* CMEK : Customer-managed Encryption key(고객관리암호화키)

* CSEK : Customer-suplied encrytion key(고객제공암호화키)

 

결재프로그램을 운용중인 프로젝트일때, PCI 감사 표준의 적용을 받는 시스템의 범위를 줄이는 경우

-> 기존 프로젝트를 별도의 gcp 프로젝트로 이동

https://cloud.google.com/solutions/pci-dss-compliance-in-gcp#setting_up_your_payment-processing_environment

 

이용자가 댓글이나 리뷰를 올릴때 코멘트나 리뷰가 게시되기전 본문에 중요한 데이터를 포함되지 않았는지 확인하려면 어떤 GCP service를 사용해야 하는가

-> Cloud Data Loss Prevention API

 

많은 엔지니어가 있을때 사용자간 서로다른 수준의 액세스 권한을 부여하고 IAM권한을 효율적으로 관리하고자한다.

이 요구사항을 충족시키기 위해 회사가 취해야할 두가지 조치

-> 각 개발 및 프로덕션에 맞는 폴더 생성

-> google 그룹을 만들어 폴더수준에서 사용권한 할당

 

PCI Compliance에 GCP를 평고해야하는경우 구글의 고유 컨트롤을 식별해야한다.

어떤문서에 검토해야하는가

-> GCP: Customer Responsibility Matrix

 

Devops 팀은 GKE에서 실행할 새로운 컨테이너를 만들때, 그들은 최대한 외부공격에 최소한으로 받길 원한다. 어떻게 해야하는가

-> 작은 이미지로 작은 컨테이너를 만드세요

https://cloud.google.com/blog/products/gcp/kubernetes-best-practices-how-and-why-to-build-small-container-images

 

GSuite를 사용하여 AppEngine에 내부사용을위한 애플리케이션을 개발했을때 직원의 비밀번호가 훼손된 경우 외부 사용자가 애플이케이션에 접근할수 없도록 하는 방법

-> 2-Factor

 

대형 금융기관이 빅데이터 분석을 GCP로 옮길때 빅쿼리에 저장된 유휴 데이터의 암호화 과정을 최대한 통제하고 싶어하면 어떻게 해야하는가

-> CMEK

 

GCP에 애플리케이션을 배치할때 적어도 두곳의 지리적위치에 데이터를 자동으로 복제할 수 있는 솔루션을 사용하여 자기 데이터를 저장하도록 요구합니다. 어떤 스토리지 솔루션이 있는가

-> Big table

https://cloud.google.com/bigtable/docs/replication-overview

 

전자상거래 웹사이트를 GCP로 구축할때 온라인으로 체크아웃 할 때 고객의 브라우저와 gcp간의 결제 정보가 암호화하도록하려면 어떻게 해야하는가

-> L7 로드밸런서에 SSL 인증서를 구성하고 암호화한다.

 

'비밀'에 대해 관리자는 '누가 무엇을 어디서 언제'를 추적을 원할때 해당 정보를 제공하는 로그 스트림을 선택 하시오

-> Admin Activity logs,  Data Access Logs

https://cloud.google.com/secret-manager/docs/audit-logging

 

데이터센터를 GCP로 마이그레이션할 때 어떤 포트를 사용하고 있는지 알 수 없고 문서가 없는경우 환경을 위험에 빠뜨리지 않고 마이그레이션을 어떻게 해야하는가

-> Lift & Shift 접근 방식을 사용하여 격리된 프로젝트로 마이그레이션.

  VPC 방화벽규칙을 사용하여 모든 내부 TCP 트래픽사용

  VPC 흐름로그를 사용하여 애플리케이션이 제대로 작동하려면 어떤 트래픽을 사용해야 하는지 확인

 

부팅디스크의 원본으로 사용할 수 있는 이미지를 제한하기를 원한다.  이 이미지들은 프로젝트에 저장될 것이다.

어떻게해야하나

-> Organization Policy Service 수준에서 compute.trustedimanageProjects 제약조건을 생성하고 허용 작업에서 신뢰할 수 있는 프로젝트를 화이트 리스트로 나열하기

https://cloud.google.com/compute/docs/images/restricting-image-access#trusted_images

 

일반 사용자가 Project를 생성하지 못하게 하는 방법

-> 프로젝트 작성자 역할 모두 제거한 후

  지정된 사용자 그룹만 프로젝트 작성자 역할 추가

 

모든 window vm이 최신 OS패치해서 유지하는 방법

-> 새 기본 이미지 구축하고 CI/CD 파이프 라인을 사용하여 vm을 재구축, 점진적으로 한다.

 

백엔드 데이터베이스가 프런트 애플리케이션으로만 접속되고 다른 인스턴스들은 접속할수 없도록 해야한다면

어떻게 설계해야하는가

-> 방화벽태그를 사용하여 응용프로그램에서 데이터베이스로만 액세스 할 수 있도록 수신 방화벽 규칙

 

많은 피싱 메일을 수신할때 직원 자격증명을 보호하기 위해 어떤 방법을 해야하는가

-> Multi factor

 

A가 B회사와 협력해서 CE에 애플리케이션을 구축하고 있을때 A는 애플리케이션 계층을 B는 스토리지 계층을 구축할때 통신은 어떤방법으로도 ISP를 통과해서는 안된다. 어떤 연결 옵션을 해야하는가

-> VPC Peering

 

VPC 피어링 사용에 관한 2가지 보안 특성

-> 피어링된 네트워크만 통신 가능

-> 서로다른 gcp 조직에 속한 네트워크가 통신 가능

 

취약성에대한 패치가 출시 되었을 때 GKE에서 실행중인 컨테이너를 업데이트 하는 방법은?

-> 애플리케이션 코드를 업데이트 하거나 패치를 적용하고 새 이미지를 생성한 후 다시 배포

 

CE에 3-tier 웹서버를 구축하는경우 어플리케이션의 서로다른 계층간의 인증된 네트워크 분리를 어떻게 하는가

-> 각 계층을 다른 서비스 계층(SA)로 실행하고 SA 기반 방화벽 규칙을 사용

https://cloud.google.com/solutions/best-practices-vpc-design

 

비용을 최소화하면서 이벤트로그를 2년동안 보관하기 원할때 로그를 어디로 보내야 하는가?

-> Cloud Storage Bucket

 

PCI K8S POD는 규정준수를 위해 조직내 "IN-SCOPE"에 있어야한다. 이 노드는 "IN-SCOPE" 파드만 포함할 수있다.

 -> nodeSelector를 이용하여 구성한다.

 

메시징 앱이 FIPS 140-2 를 준수하기 위해 GCP를 이용하기로 했다. 데이터 캐싱에 로컬 SSD를 사용하며 인스턴스 통신을 위한 UDP, 애플리케이션 개발 팀은 표준을 준수하기 위해 필요한 모든 변경을 수행할 용이가 있다고 하면

요구사항을 충족시키기위해 어떤 옵션을 추천하겠는가?

-> BoringCryto 모듈을 사용하여 모든 캐시 스토리지 및 VM간 통신을 암호화 하십시오.

https://boringssl.googlesource.com/boringssl/+/master/crypto/fipsmodule/FIPS.md

 

CE에서 실행중인 분석작업 부하를 가지고 있는 경우 인터넷 액세스가 제한되어야한다.

모든 트래픽거부(우선순위 1000)하는 방화벽 규칙생성, CE는 인스턴스 보안 업데이트를 받기 위해 공용 저장소에 연락해야한다면 어떻게 해야하는가

-> 우선순위 1000 미만인 repository의 CIDR 범위에 대한 트래픽을 허용하는 송신 방화벽 규칙 생성

https://cloud.google.com/vpc/docs/firewalls#rule_assignment

 

CE의 디스크의 데이터를 KMS에서 관리하는 키로 유휴 상태로 암호화 하려는 경우 클라우드ID 및 액세스 키에대한 IAM 권한은 모든키에 대해 동일해야 하므로 그룹화된 방식으로 관리해야한다.

이렇게 하려면 어떻게 해야하는가?

-> KeyRing에서 모든 영구 디스크와 모든키에대해 단일 Keyring을 생성하고 키링수준에서의 IAM권한을 관리

https://cloud.netapp.com/blog/gcp-cvo-blg-how-to-use-google-cloud-encryption-with-a-persistent-disk

 

분석가와 관리자는 로그를 클라우드스토리지 버킷에 백업하고 있을때 분석가는 PII를 포함하지 않는 로그에만 액

세스 할 수 있어야한다. PII가 포함된 로그파일은 관리자만 액세스 할수 있는  다른 버킷에 저장해야한다. 어떻게하겠는가

-> 공유버킷에 파일을 업로드 할때마다 PUB/SUB, Cloud Fuction 을 사용하요 DLP 검색을 실행하여 PII가 감지되면 관리자만 액세스할 수 있는 Cloud Stroage 버킷으로 이동

codelabs.developers.google.com/codelabs/cloud-storage-dlp-functions#0

 

google계정이 자동으로 프로비저닝 해제되는지 확인하는 방법

-> Cloud Identity에서 사용자를 프로비저닝하고 Directory Service와 Cloud Directory Sync를 구성하여 해제하도록 함

cloud.google.com/identity/solutions/automate-user-provisioning#cloud_identity_automated_provisioning

 

 

클라우드 서비스의 정보보안 국제규격은?

-> ISO 27017

 

프로젝트의 CE instance를 나열할수 있는 새 서비스 계정을 생성할때 Google의 권장사례는?

-> compute.instance.list custome 생성하고 이 역학을 service account에 지정

 

인프라를 gcp로 이전할 때 첫번째로 하고자 하는것은 데이터 백업 및 DR솔루션을 GCP로 마이그레이션 하는 것이다.

-> 스케줄링작업과 Cloud Interconnect를 통한 gsutil을 사용하는 클라우드 스토리지

https://cloud.google.com/solutions/dr-scenarios-for-data#production_environment_is_on-premises

 

GCP에서 호스팅하는 CRM 웹 인터페이스를 편리하게 모바일에 엑세스 하고싶어 한다.

회사네트워크에 있는 사람만이 접속할수 있도록하고 2단계인증을 지원하면서 고객은 인터넷을 통해 이용하기를 원했을 경우 어떻게 구현해야하는가 

-> Cloud IAP

https://cloud.google.com/iap/docs/concepts-overview

 

클라우드스토리지에 중요한 데이터가 저장되어있을때 사내에서 생성된 키를 암호화 프로세스에 사용하려는 경우 어떻게 하는 것이 좋은가

-> 고객이 제공한 암호화 키를 사용하여 DEK를 관리하기

https://cloud.google.com/security/encryption-at-rest/customer-supplied-encryption-keys

 

BigQuery에 Log를 기록하는 앱 엔진 어플리케이션을 구축하고, 프로젝트에서 실행중인 워크로드가 없을 경우

BigQuery에 기록된 모든데이터가 AppEngine Default Service 계정을 사용하여 수행되었는지 검증하려면

어떻게 해야하는가?

-> StackDriver Logging을 사용하며, QigQuery Jobs 에 넣기

인증필드에서 App Engine 의 Service Account 따라 이베밀 주소 클릭

매칭된 엔트리 클릭

결과값 비어있느지 확인 

 

조직 수준에서 관리자 권한을 가진 사용자를 제한 하려는 경우 어떤 두가지 역할을 제한해야 하는가

-> Organization Administrator

-> Super Admin

 

보안팀은 실행중인 특정 Production Workload 에  대한 책임이 어디에있는지 우려하고 있을때,

App Engine 을 사용할때 기술 스택의 주요 책임 영역중 어디에 초점을 맞춰야 하는가

-> XSS 및 SQLi 공격을 막아야한다.

* XXS : 사이트 간 스크립팅은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점

* SQLi : SQL 삽입은 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법 (SQL Injection)

 

CE가 Cloud Storage에 저장된 데이터에 엑세스하는 GCP에서 분석 워크로드를 실행하고 있을때,

팀서는 이 작업량이 인터넷에 액세스하거나 할수없도록 하려고합니다

이러한 요구사항을 충족하기위해 어떤 두가지 전략을 사용해야 하는가

-> Compute Engine Subnet 에서 single google access  구성

-> Compute Engine Cluster 에서 Public IP Address 할당하지않기

 

VM에서 일괄처리 시스템을만들고 출력파일을 클라우드스토리지 버킷에 저장하고자할때 VM이 공용인터넷에 접속할수 없도록 되어있으면 어떻게해야 가능한가?

-> VPC에서 개인 Google Access 를 사용하도록 설정

 

DLP API 를 많이 사용함으로써 비용 절감을 위해 사용량을 최적화 해야한다.

DLP 대상 데이터가 Cloud Storage and BigQuerey에 저장될때 어떤 비용절감옵션을 추천해야하는가

-> rowsLimit 과 bytesLimitPerFile을 샘플데이터에 사용하고 CloudStroageRegexFileSet을 이용하여 Scan을 제한한다.

https://cloud.google.com/dlp/docs/inspecting-storage#limiting-gcs

 

Cloud IAM의 LDAP Directory에서 이메일주소가 있는 모든 Securiy Group을 동기화하려는 경우 어떻게 해야 하는가

-> 단방향 동기화를 용이하게 사용하기위해 "사용자 이메을주소)가 있는 LDAP 검색규칙을 사용하여 보안그룹을 동기화하도록 Google Cloud Directory Sync 를 구성

 

서비스 계정에의해 생성된 새 리소스를 감사해야하면 어떻게 해야하는가?

-> Query Admin Activity Logs

https://cloud.google.com/iam/docs/audit-logging

 

프런드엔드는 서브넷 A의 MIG에 배포되어있고

데이터계층은 동일한 VPC의 서브넷B에 있는 Mysql Compute Engine VM에 저장되는 애플리케이션이 있다.

서브넷 A와 B는 여러개의 VM이 있고 프론트엔드가 오직 3306포트인 Mysql Instance에 있는 데이터에 액세스할 수 있도록 허용하는 경우 어떻게 해야하는가

-> 프런트엔드의 서비스계정에서 포트3306에있는 Mysql VM을 통신할수 있도록 수신 방화벽 규칙 구성

 

Cloud Storage Bucket에 3000개의 개체가 있는데 각 개체에 대한 액세스를 개별적으로 관리하지 않기를 원한다.

또한 오브젝트 업로더도 항상 완전히 제어하는것을 원하지 않는다. 그러나 Cloud Audit Logs를 통해 Bucket에 대한 Access를 관리 하려는 경우 어떻게 해야하는가

-> Cloud Storage Bucket에 대한 Uniform Bucket Level Access 를 설정하고 IAM을 사용하여 사용자에 대한 액세스를 관리

https://cloud.google.com/storage/docs/uniform-bucket-level-access

 

Text Secret 을 SCM 시스템에 저장하는 대안이 필요할때 GCP로 해결할 수있는 방법은?

-> CMEK로 암호를 암호화한 후 클라우드 스토리지에 저장

https://cloud.google.com/iap/docs/concepts-overview#when_to_use_iap

 

 

Web 사이트를 AppEngine으로 GCP로 마이그레이션 했을때 일부사이트는 진행중이며 고객과 회사직원만 볼 수있도록 하다면 어떻게 해야하는가

-> IAP를 고객및 직원사용자 계정을 포함하는 Google Group Access를 허용한다.

 

사용자 관리 서비스 계정 키를 사용하여 애플리케이션이 배포될떄 Google의 권장사례는?

-> 새키를 만들고 응용프로그램에 사용하며 Service Account 에서 이전키를 삭제합니다.

https://cloud.google.com/iam/docs/understanding-service-accounts#managing_service_account_keys

 

PII를  GCP에 저장할 웹사이트를 운영하며 데이터 개인 정보 보호 규정을 준수하기 위해 데이턴느 특정시간동안 만 저장할 수 있으며 이 기간이 지나면 완전히 삭제해야하며, 아직 기간에 도달하지않을떄는 삭제하면 안된다.

해당 프로세스를 자동화하려면 어떻게 해야하는가

-> Cloud Storage Bucket 에 저장하고 Bucket의 LiveTime설정

https://cloud.google.com/storage/docs/lifecycle

 

빅쿼리에 저장된 유휴데이터의 암호화 과정을  최대한 컨트롤 하려면 어떻게 해얗나ㅡㄴ가

-> CMEK

 

GSuite는 SaaS제품으로 네트워크 보안은 구글 클라우드의 책임이다

 

Dataproc 에 사용하는 영구 DISK에 대한 대칭암화키를 생성, 회전 및 삭제하려 한다. 키는 클라우드에 저장하려하는데 어떻게 해야하는가

-> Cloud Key Management Service를 사용하며 KEK를 사용한다.

https://cloud.google.com/dataproc/docs/concepts/configuring-clusters/customer-managed-encryption

 

클라우드 스토리지에서 데이터 암호화를 위해 자체 암호화 키를 관리해야 하며, CSEK 를 사용하기로 결정하면 어떻게 해야하는가

-> gsutil 명령줄 도구를 사용하여 개체를 Cloud Storage에 업로드하고 암호화 키의 위치를 지정

 

인프라를 GCP로 마이그레이션 하는 동안 많은 사용자가 gcp 콘솔에 엑세스를 해야하고 Identity Management 팀은 이미 사용자를 관리할 수 있는 잘 확 립된 방법을 가지고 있으며 기존 SSO 암호와함께 기존 AD 또는 LDAP 서버를 계속 사용하고자 하면 어떻게 해야하는가

-> Google Cloud Directory Sync 를 사용하여 google 도메인의 데이터를 기존 AD 또는 LDAP 서버와 동기화 하십시오.

 

프런트엔드 애플리케이션만 공용IP를 하려면 어떻게 해야하는가

-> 프런트엔드 인스턴스에만 공용IP 허용 정책설정

 

GKE로 Web을 운영하며 BigQuery로 고객 거래를 분석하고자할때 신용카드번호가 BigQuery에저장되지 않도록 하려면 어떻게 해야하는가

-> DLP API이용

 

IaaS에 대한 공유보안책임모델에서 고객이 책임을 공유하는 스택의 두계층은?

-> 네트워크 보안, 엑세스정책

 

Web App 이 GCP 여러지역에서 호스팅되며 url 요청에따라 각 백엔드로 향할떄

이 응용프로그램이 인터넷에 직접 노출되는 것을 피하고 악의적인 ip주소 의 특 정 목록에서 거부하려는경우

이러한 요구사항을 충족하기 위해 팀에서는 어떤 솔루션을 구현해야하는가

-> Cloud Armor

 

지역이 다른 두 인스턴스를 하나의 외부 IP로 설정하는 방법

-> Premium Tier의 네트워크를 사용한 LB구성

 

A폴더 아래에 여러 프로젝트를 생성하여 워크로드를 진행할때, 보안경계를 설정하여 악의적인 내부자 또는 손상된 코드에 의한 데이터 유출을 방지하려고한다. 하지만 프로젝트간 통신은 제한하면 안될시 어떻게해야하는가

-> Access Context Manager의 Access Level을 생성하여 데이터 유출을 방지하고 프로젝트간 통신은 Shared VPC 를 이용한다.

 

A프로젝트의 Cloud Storage Bucket을 B프로젝트에서만 읽을수 있도록하고 사용자에게 올바른 자격증명이 있더라도 bucket의 데이터를 네트워크 외부의 버킷에서 엑세스하거나 복사할수 없도록 어떻게 해야하는가

-> VPC Service Control을 사용하고 Project A,B 경계를 생성하며, Cloud Storage Service를 포함한다.

https://cloud.google.com/vpc-service-controls/docs/overview#isolate