Professional Cloud Security Engineer
ログ
合格した
問題集のようなクソ問は出なかった、解釈に迷うところはほぼなくてよかった
10問ぐらい目ぐらいでだいぶ安心した
米国法特有な話もなかった気がする
当日 パターンマッチくん
bot です
イメージセキュリティ
組織ポリシーでソースプロジェクトを固定
仮想通貨マイニングされてないか調べる → Virtual Machine Threat Detection
Cloud Storage
Cloud Storage を公開させたくない → 組織ポリシー constraints/storage.publicAccessPrevention
Cloud Storage 最低n年要件 → 保持ポリシーと Bucket Lock
資産の特定 & セキュリティ監査 → Cloud Asset Inventory
VM のパッチや更新 → VM Manager、OS Config
Identity
外部ユーザをグループに追加できないようにする → Google Workspace Admin の設定
Google Cloud Directory Sync 以外で作られたユーザを組織に移す → 転送ツール
手動で作成していたものを LDAP & GCDS と統合 → LDAP をマスタにする場合 LDAP にないユーザを無効にする
MFA なくした → 一時的に無効にして再設定してもらって有効にする
ログ
リソースの作成 → アクティビティログ
リソースの読み書き → データアクセスログ
Google によるアクセス → Access Transparency のログ
ネットワーク
パケットの中身見る → Packet Mirroring
ファイヤウォールルール → IP のみ / 数字が低いほうが優先
パブリックインターネットを通らない → プライベート接続 private API ドメイン/ VPC Service Control なら restrict ドメイン
帯域重視 → Cloud Interconnect
LB
マルチリージョンで1つの IP で配信 → Cloud Load Balancing でプレミアムティアにする
SSL プロキシロードバランサのサポートポート: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222
鍵・暗号化
CSEK 対応は ComputeEngine, Cloud Storage のみ
外部で管理 → EKM
地理条件、理由残す → KJA
E2E 暗号化 → アプリケーション間は Istio でできる / データはユーザ側で暗号化する
レイテンシを気にする → EKM は選ばない
処理中・使用中も暗号化 → Confidential Computing
データ暗号化鍵(DEK) → データの暗号化と復号化
鍵暗号化キー(KEK) → 鍵(主にDEK)の暗号化、DEK の利用やライフサイクル管理時に使う、外に出さない
対称暗号化(同じ鍵を使う) → AES・DES → ❌ X.509 証明書に入れちゃだめ
非対称暗号化(公開鍵と秘密鍵ペアを使う) → RSA・DSA
DLP
再識別化する → AES-SIV (確定的暗号化), フォーマット保持暗号化
長さ保持 → フォーマット保持暗号化
時間的連続性・間隔を維持 → 日付シフト
コスト削減 → サンプリング・スキャン範囲の制限
法令系
FIPS 140-2 L3 以上 → Cloud HSM(KMS は L3 じゃない)
FedRAMP → Assured Workload
政府機関 → FedRAMP
HIPAA → 医療
クレジットカード決済、ネットワーク分離要件など → PCI DSS
最終見るページ
2024/3/28
ラスト
間違った問題見る
今見ると問題と解説が間違ってるところが分かるが、同じ問題出たら何を選ぶのがいいか謎なものもある
仮名化 ≒ トークン化
GDPR の地理的云々で KAJ 使うか?
VPC ピアリング、異なる組織でピアできる
サブネット共有やタグベースのファイヤウォールルールはない
キー管理をデータ管理とは別のプロバイダー → EKM
管理されてないユーザは転送ツールやね
VPC Service Control
egressTo と egressFrom の違い
To = Google Cloud サービスやリソースを指定
From = クライアント属性、ANY_IDENTITY は任意のユーザやSA
これ To と From の指す対象が惑わせ選択肢だな
DLP で使うキーを KMS で指定できるのか? →できる
カスタム組織ポリシー制約なんてものはない
Compute Engine グローバル アドレスなどのグローバル リソースや、ロケーションの選択をサポートしていないリソースが作成される場所には影響しません
"顧客管理の暗号化キー"だけでは、あいまいかつ明らかなサービスや手段を指していないため不適切です。
いや、Google Cloud で顧客管理の暗号化キーって言ったら KMS の CMEK 使う状態じゃないの...
Google Cloud の話で "ストレージ" って書いたら文脈を参照しつつデフォルトでは Cloud Storage だと思っていいだろうに、というか問題文で厳密なサービス名じゃないけど当てさせてるやん
サイトによって言うこと違いすぎるなあ
https://gyazo.com/176fead7eca8fb313b029f6096e93501
このサイトもへんなことある
うーーん
未知の問題に対して大体 60~70% な正解率な気がする
間違った問題復習したら、まあだいたい正解になるけど、解説見ても問題集側が間違ってるだろと言いたくなるものもちょいちょいある
ぐぐると同じ問題が出てくるが、解答も解説も違うケースが頻繁にある
何を信じれば良いのか
なんか微妙だなあ
悪い材料
問題集セットやっていって正解率の伸びが悪い、70% → 54% → 66%
間違った問題やりなおしたら 80% 超えるけど記憶の問題
問題集ごとに言うことが違う
問題集が間違ってると断言できるところもよくある
解説がそういうならそうなんだろう、と鵜呑みにしてるところを間違えて覚えてる可能性あり
良い材料
公式の模擬問題はかなり簡単に感じるし無勉でも合格ライン、今やったら100点
Twitter 見るとなんか別にお前 Google Cloud に興味ないだろ的な人も結構受かっておりいけるだろ感あり
2024/3/27
なさそうなのでこれみるかな
VPC ラボみる
まあいいかなあ
Cloud Identity や MS AD 周りみる
なんじゃこりゃ
Packet Mirroring 設定して、その内容の検査をしてくれる
管理者的なものが多い
請求先アカウント作成者: 新しいクレジットカードを組織に追加できる
請求先アカウント管理者: 請求先アカウントのオーナー、一通りできる
請求先アカウントの費用管理者: 予算・費用情報・BigQuery エクスポートはできるが個別の料金はエクスポートできない、プロジェクトにリンクはできない、微妙な役割だけど試験に出がち
プロジェクト支払い管理者: プロジェクトに請求先を紐づけられるがリソースの権限はもたない
請求先アカウント ユーザー: 新しいプロジェクトに請求先アカウントをリンクできる、広く使える
問題集セットその4
33/50
えー
Cloud Storage に CMEK 強制
constraints/gcp.restrictNonCmekServices
Deny storage.googleapis.com
この手の制約は DenyAll や Allow を指定することは出来ない & 遡及しない
EKM を使う最初のステップは一意の URI を持つキーを作成 & アクセス許可
えー最初に External で鍵作るわけじゃないんだ、先に鍵の URI 決めるのか → そんなことなさそう
サポートされる外部鍵管理パートナー システムで既存の鍵を作成または使用します。この鍵には一意の URI または鍵のパスがあります。
外部の鍵管理パートナー システムで Google Cloud プロジェクトに鍵を使用するためのアクセス権を付
あってるだろ!!
絶対俺のほうが正しいし答えが間違っている
https://gyazo.com/bf0ccf824d2e26b6bbef8a051ae993fd
Google Cloud Session Control で "セッション時間" を設定することはできない、"再認証頻度" が設定できる
あ? セッション継続時間を設定するって言ってんだろが、これを "セッション時間" と言うのが間違ったことか? ボタンラベルをピッタリ聞いてんのか??
"再認証頻度" でもおかしいけどな、"再認証を要求する間隔" だろ
"セッション時間" じゃありませんベロベロバ〜〜みたいな解説書きやがって、お前も合ってねえから
https://gyazo.com/58f7ae397b70138c62530f2669942dae
まあこれ英語の訳なんだろな
日本語だと間隔は interval って感じだが
実際の英語の UI は "Reauthentication frequency" だから訳だと頻度になる
https://gyazo.com/1ceb19a2b5990875338f46cda3632305
3層 Web アプリケーションの層間のネットワーク分離
Web サーバー / App / DB
階層ごとにサービスアカウント分ける & SA ベースのファイアーウォールルール
正解してるけど、タグベースが間違っているというわけでもないような
ネットワークタグは VM インスタンスにつける & 再起動不要で反映できるのがメリット
GKE だと Node に対して働く、Pod ではない
E2E 暗号化 → アプリケーション間は Istio でできる / データはユーザ側で暗号化する
ネットワークのセキュリティーのレビューどうする → IaC でやる & 静的解析が答えのやつ
簡単に言うけどできんのか?
CI/CDパイプラインを用いて静的解析を行うことで、組織のネットワークとセキュリティのレビュープロセスを自動化することができます。このステップではコードのリクエスト処理、トランジットルート、ファイアウォールのルールについて自動的に分析し、問題や欠陥を早期に発見して修正します。
退職したエンジニアの権限を消す作業を自動化
Cloud Identityからユーザーをプロビジョニングおよびデプロビジョニングするために、ディレクトリサービスとCloud Directory Syncを構成します
これもマジ? ディレクトリサービス → Cloud Identity への一方向同期じゃないの?
ディレクトリサービスとCloud Directory Syncを構成し、Cloud IdentityのIAMパーミッションを削除します
これでダメな理由が、 Cloud Identity の IAM パーミッションの削除はユーザを特定してない、のは納得しがたいけどなあ、文脈から Cloud Identity (上にあるユーザー)の IAM パーミッション でしょうよ
マルチリージョンで1つの IP で配信 → Cloud Load Balancing でプレミアムティアにする
すでに1つ LB ある状況なら NEG でもできるんじゃない? できない??
今スタンダードティアを使っている = リージョナル LB なのが確定するのか
https://gyazo.com/7b4df579e101faac17b3ba38c098d629
FIPS 140-2 準拠
BoringCryptoモジュールを使用して、すべてのキャッシュストレージとVM間通信を暗号化します
BoringCrypto は FIPS140-2準拠 / BoringSSL は準拠でない
VPN がパブリックかどうか、問題によって扱いが違うような
パブリックインターネットを経由する、なら真
パブリックなのでセキュアじゃない、と言う話では違うのでは
共有 VPC は組織またげないのは消去法に働くね
組織のドメイン制限ポリシーに例外を作る → 組織ポリシーでやる
サービスの売却に伴いプロジェクトを'組織外に移す
継承された ID や ロールを特定する & VPC Service Control 境界設定から消す
シークレットレベルのIAM(Identity and Access Management)バインディングはSecret Managerでは対応していません。
いや、してるだろ、roles/secretmanager.secretAccessor はシークレット単位で設定できるはずだが...
PCI SSC クラウドコンピューティングガイドライン: Payment Card Industry Security Standards Council (組織) の提供する DSS 準拠についてのガイドライン
Cloud Armor を使える条件
バックエンドサービスの負荷分散スキームはEXTERNALでなければなりません
ロードバランサは外部HTTP(S)ロードバランサでなければなりません
次のロードバランサのバックエンド サービスに接続できます。
グローバル外部アプリケーション ロードバランサ
従来のアプリケーション ロードバランサ
外部プロキシ ネットワーク ロードバランサ
パブリック IP へのアクセス許可せずに外部からのパッケージとか入れたい
Cloud NAT & private google access
外部 IP なくても Cloud Storage にアクセスできるくない? できないの?
restricted.googleapis.com
restricted.googleapis.com は VPC Service Control でサポートされているものだけ
private.googleapis.com は VPC Service Control 関係ない、Private 接続で使う Google API 全般
スロットルアクション、rate based ban & ban 解除ではない
roles/logging.privateLogViewer
これ知らなかった!!! owner デモ見れはする
管理者の行動ログ、データアクセスログ、及びアクセス透明性ログを表示する権限を持つIAMロール
5セット目、PDE のような前提曖昧な悪文じゃない?
そして 17/29 うーーん
2つ選択じゃないのに2つ回答がある!!!!!!!
PCI DSS要件を満たすために、顧客はすべての送信トラフィックが許可されていることを確認したいと考えています。
全然意味が取れない
すべての送信トラフィックが(PCI DSS 要件に適っていて利用を)許可されている~ なのか??
クリプトシュレッダー: 暗号化施した上で鍵を消すことで復号不能になり実質的な削除になる
EKM 使うのが正解となってるけどあんまり納得不能だな
同じ問題文で正解が違う...
既存のディレクトリを IdP にして SAML を使いつつ Identity にプロビジョニングてどういうこと? プロビジョニングされんの? 初回ログインとかで作られる意?
Cloud DLP のコスト削減 → サンプリング・スキャン範囲の制限
rowsLimit & bytesLimitPerFile
ええ、SAML で SSO したい → OpenID Connect も選ぶ、ええ別のプロトコルじゃん、Cloud Identity は両方サポートいるの分かった上でなんで OpenID Connect が答えになるのか分からない...
gcloudコマンドラインツールを使用して、サードパーティーのシングルサインオン(SSO)SAML IDプロバイダを使用して認証を行いたいとします。サードパーティーのIDプロバイダ(IdP)で認証がサポートされていることを確認するために、どのオプションが必要ですか?
gcloudコマンドラインツールを使用して、サードパーティーのシングルサインオンを使用して~ なら分かるが
IAP の問題、これもへんなサイトのほうがあってそうに思える...
要求 ID ヘッダーて何なの、Authorization ヘッダ 中の idToken なら意味は分かるが...
優先度1000未満
この未満は純粋に数字の未満なのね... 0 のほうが優先度高い=上でしょ、優先度中未満 は 低 でしょ?
これも解説によって回答が違う!!!
ファイヤウォールルールはホスト名でトラフィック指定できるのかは知っておく → できない、ipv4 or ipv6
匿名化されたデータは、元のデータの特性を保持する必要があるという要件に対してもDLPは対応可能です。暗号ハッシュされたデータは、元の文字セットと長さを保持します。
2024/3/26
良い図
https://gyazo.com/f736aebb3c289917f573310a7c6ff744
Keyczar へー → 今はTink
CSEK のラボやってみるか
Compute Engine インスタンスを久々に作ろうとすると、こんなん要らねえだろとスルーしていた詳細オプションの意味や用途や関連するリソースが分かってウケる
.boto に Encryption Key 書いて gsutil
Encryption type: Customer-supplied になってる & ファイルの中身見れない
鍵のローテーション
複数の decription key 指定できるのね、ハッシュが同じ鍵が使われると
gsutil rewrite -k で再暗号化(アップロードはしない) して Decryption Key 消してローテーションに失敗したものとうまく言ったものを見る
流れで CMEK もやる
gsutil ls -L gs://... で使った鍵情報を得る、KMS のキーのリソースIDやハッシュ
鍵 Destroy しても即使えなくなるわけじゃないんだ、1mo 残る
2024/3/25
全然な気がするが 3/28 に予約した
攻略記事見る
ベストプラクティス系読む
KMS 系
~EK
GMEK: Google Cloud が管理
CMEK: ユーザが鍵を Google Cloud 上で管理
CSEK: ユーザが鍵を管理
HSM(Hardware Security Module): ハードウェア鍵
EKM(External Key Manager): 外部のキーマネージャを Google Cloud で使う
レイテンシ高くなりがち → HSM や KMS で Google Cloud 側に保存する
帯域は Dedicated Interconnect > Partner Interconnect
閉域いらない場合は Cloud VPN
3/6 ぶりに模擬試験やったら全問あってた
まあ覚えているのもある
2024/3/24
_ Cloud Load Balancing の種類見る TCP プロキシ負荷分散 or ネットワークロードバランサ
SMTP とか特定ポート出てきたら TCP プロキシ負荷分散かなあ
TCP プロキシ負荷分散はバックエンドの空き考慮する
ネットワークロードバランサは地域ベース? ← "最も近い" 要件だと合わない
うーん
Shielded VM 何
Shielded VM:Google Cloudにおける仮想マシン(VM)のセキュリティ強化版です。信頼性の証明、安全なブート、BIOSの整合性を保証します。
特定の(信頼性する)イメージリポジトリの使用を矯正する → 組織ポリシー
ネットワーク一元管理 → 共有VPC
ピアリングしていくと総当たりになっちゃうからね
Active Directory にフェデレーションサービスある & Workload Identity できる
GDPR → 組織ポリシーでリソース場所を縛る
えー2つのロケーションに地理的冗長性を持たせるストレージサービス、で BigQuery 選ばせるのか
Compute Engine の SSD も Persistent Disk もBigTable もリージョナル
パブリックインターネット経由で通信したくない → 制限付き googleapis.com
Google Cloud 内からのみアクセス可能なエンドポイント
Cloud Interconnect からルーティングできる
ユーザデータの検証やエスケープ、XSS 対策 → Web Security Scanner
_ Web Security Scanner 1回つかっておきたいな VM のパッチや更新 → VM Manager
OS Config もこの一部
Security Command Center はアップデートインストール状況を追跡できない
組織全体の活動を SIEM に送る → 組織全体のログシンクでオンプレへ送る
レガシーアプリケーションが使っているポート等が分からない → VPC フローログ
ログ
リソースの作成 → アクティビティログ
リソースの読み書き → データアクセスログ
Google によるアクセス → Access Transparency のログ
オンプレと Google Cloud 接続で帯域幅重視 → Cloud Interconnect でオンプレの Firewall
なんかちょいちょい それオンプレでやる? と思うような選択肢が正解だなあ
なんじゃこりゃ
MFA でログインページの URL も検証 → Titan セキュリティキー
既存の環境が壊れることを避ける → VPC Service Control 境界でドライランモード
ホストシステム・クラウドプロバイダからよみとれないようにする & 処理中・使用中も暗号化 → Confidential Computing
CI/CD でインフラとアプリケーション2つのサービスアカウント使い分ける話
GKE 上で複数チームの CI/CD やるときは namespace 分けようね話
GDPR でログの保存が~ → Cloud Logging の Default ログバケットを EU リージョンに向ける
SSL プロキシロードバランサのサポートポート: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222
非 HTTPS の SSL ロードバランシング → SSL プロキシロードバランサ!!!
LB
SSL プロキシロードバランサ、非 HTTPS の TSL トラフィックのバランシング
ネットワークロードバランサは TCP/UDP で低レイテンシ要求、TLS 終端は当然しない
ファイヤウォールルールの重複や分析 → ファイヤウォールインサイト
なんじゃそりゃ
外部ユーザをグループに追加できないようにする → Google Workspace Admin の設定
CSEK(顧客指定の暗号化キー)は使えるサービスが限定的、広範に使うなら External Key Manager
あああ前これ書いてたな
CSEK がユーザが鍵持ってくる、いちいち指定&揮発する、Cloud Storage & Compute Engine のみ
ユースケースでは GKE や PubSub で~ となると EKM になる
GMEK から CMEK への最暗号化 → Cloud Storage オブジェクトの書き換え
後から暗号化方法変えるための機能がある!!
これめちゃ聞かれそうじゃない??
2024/3/23
Cloud Armor の lab やる
ポリシーの作成で enable previe only あるね
ランサムウェア対策
Gmail や Google Drive はスキャンしたりフィルタしているよ話
バックアップとって別々の場所に置いとけよ話
DLP で機密データを秘匿化することで流出経路を減らせるよ
archive やん
AED-SIV = 再識別化できる、長さは一定になる
フォーマット保持暗号化, FPE-FFX = 再識別化できる、長さや文字種は元データ
セキュリティを自動化することで、脅威やアセットの増大を上回る速度でスケーリングできる。
これはめっちゃいい話だね
問題セットその3
33/50
うーん
2024/3/22
トピック絞って Skills Boost みる
Cloud Armor
2022 年の DDoS の話
Point of Presence
2024/3/21
まだこんなに自信無い感あるのやばいな
トピック
法令・標準
Cloud Identity
どういう機能があるか、移行系のユースケース問題
Google Cloud Directory Sync
これもユースケース
SAML
構成方法しらべる
VPC ネットワーク構成系
機能や構成のポイントまとめて問題ユースケース見る
VPC Service Control
これは Learning Path やってラボあったらやるのがよい
DLP
これもラボあればやる
単に使ってみるだけだから微妙そう
x 鍵管理、CMEK / CSEK / EKM、HMS、KAJ これも用語や用途まとめたらいいはず
Cloud Storage
そんなに外さない
Security Command Center
下に機能がいろいろあるのでまとめなおす
x Security Command Center Cloud Asset Inventory
これも使えば分かるかな? 一覧する以上のなにか
組織ポリシー
一覧見ればよい
2024/3/20
問題セットその2、31/50 えーいまいちだな
Cloud Storage 最低n年要件 → 保持ポリシーと Bucket Lock
Bucket Lock ってどういじれなくなるのか見たい
資産の特定 & セキュリティ監査 → Cloud Asset Inventory
クレジットカード業界が決定したソフトウェアのセキュリティ基準です。しかし、これが準拠しているだけではPCI監査の範囲を縮小するわけではありません。
クレジットカード情報の安全性を確保するための国際的な規格です。取引量に応じたレベルがあり、各レベルには特定の要求事項が定められています。
機微情報のセキュリティ → DLP or 他のシステムとの分離
VPC ピアリングの機能
非推移的なピアリング
ピアリングされたネットワーク間での通信は直接的な関係を持つネットワーク間のみ許可
A ⇔ B / B ⇔ C のピアがあるときに A ⇔ C は許可されない(非推移)
異なる Google Cloud の組織間のピアリングができる
ない
各ネットワークは独立した管理領域、他の設定を制御することはできない
サブネット共有はない、独立した IP アドレス範囲で通信ルートが確保されるだけ
x CMEK、CSEK と External Key Manager の関係 基本は転送ツールを使うでいい、条件がいろいろついて変わる
Google Cloud Directory Sync 以外で作られたユーザを組織に移す → 転送ツール
手動で作成していたものを LDAP & GCDS と統合 → LDAP をマスタにする場合 LDAP にないユーザを無効にするオプション使う
Cloud Run breakglass って何!!
Binary Authorization の例外を定義して従わずデプロイする脱出ハッチ的なもの
コンテナイメージのセキュリティ確保
Binary Authorization
署名がついてるイメージのみデプロイできる仕様、細かいこと知らん
主にGoogle Cloud のコンテナランタイムでサポート(GKE, Cloud Run)
constraints/compute.trustedImageProjects
特定のプロジェクトがホストするコンテナイメージを信頼する
これって VM Image の話じゃなくてコンテナイメージにも効くんだ、ほんとに?
うわ!! 存在しないポリシー名を選択肢に出してきた!! ひどくね?
constraints/run.allowedBinaryAuthorizationPolicies
1回見ておいたほうが良い...
TCP/UDP ネットワークロードバランサはクライアント IP を維持する / TCP プロキシはバックエンドに転送するとき新しい TCP セッションを開始する
これ1回読んだほうが良いな...
TCP/UDP ロードバランサ = 外部パススルー ネットワーク ロードバランサ
_ VPC Service Control の使い方みる egressTo で serviceName を指定したり、egressFrom で identityType を設定したり
特定のプロジェクト間だけで Cloud Storage を参照可能にするとか
セキュリティチームがファイアウォールルールなどネットワークリソースを管理する場合
ファイアウォールのルールを管理する共有VPCを設定し、サービスプロジェクトを通じて開発者とネットワークを共有します
GKE の Taint と tolelance
taint はノードに指定するマーカーで、テイントが設定されたノードには指定した toleance を持つ Pod しかスケジュールされない
課金周りの IAM
Billing Account User は課金アカウントに関する一通りのアクションを実行可能 & プロジェクトに紐づける権限
リンクや解除までできる = 結構権限強い
Billing Account Viewer は課金アカウントの詳細や課金データを閲覧する権限
Billing Account Costs Manager は課金情報を管理する権限、予算の作成、アラート
まとまってる!
アクセス透明性ログ
Google Cloudのアクセス透明性ログは、Googleのエンジニアやサポートスタッフがユーザーの専用環境にアクセスした際の詳細なログ情報を提供する機能です。これには、対象のリソース、アクセスの理由、アクセスした人の役職とデータへのアクセス時刻などが含まれます。
キーローテーションのベストプラクティス
gcloud iam service-accounts keys rotate
これ何
存在しないコマンド!!!
この問題存在しないコマンドがいくつも選択肢に並ぶ
仮想通貨マイニングされてないか調べる → Virtual Machine Threat Detection
Security Command Center の一部
ほか
Container Threat Detection → コンテナ
既にデプロイされたコンテナの検知、デプロイ前の検証するわけではない
Rapid Valunerability Detection → 廃止やん
Web Security Scanner
いろいろあるなあ
MFA なくした → 一時的に無効にして再設定してもらって有効にする
バックアップコード生成しても無くしたやつ使われるかもしれないからダメ
暗号化キーへのアクセス待ち時間を最小限に抑える要件 → External Key Manager はだめ
BigQuery のアクセス制御
列レベルのポリシータグ
行レベルのアクセスポリシーでフィルタ式(式が真の行だけみれる)
絵面おもしろい
https://cloud.google.com/static/bigquery/images/row_level_security_use_case_regions.png?hl=ja
VPC Service Control に境界ブリッジなんて概念はない!!
カスタム組織ポリシー制約なんてものはない!!
CryptoReplaceFfxFpeConfig て何!?!?
可逆、形式保存型=FFX or FPE、っ元の値と一対一で対応する値に変換する
Cloud Storage を公開させたくない → 組織ポリシー constraints/storage.publicAccessPrevention
ジャンル別正解
https://gyazo.com/7944a1b8bbf8b283d8e6fff3b89388b9
リソース階層
組織 > フォルダ > プロジェクト > リソース
VPC はグローバル、リージョンごとにサブネットおける & サブネットはリージョンスコープで複数ゾーンまたげる
2024/3/16
kindle の問題集やる
27/50 えーそんなダメか
x Security Command Center ができること見る x 組織ポリシー storage.publicAccessPrevention みる 他にも出そうなやつないか
x IAP で TCP 転送できるやつ、Public IP なくても VPC 内に行ける Cloud VPN のはサイト間接続はできるがユーザのアクセス制御は別
_ Active Directory 使っているときの SAML の構成方法 SAML と OpenID Connect は別の認証フレームワークなので SAML の 話に OIDC 出たら変だねとなる
_ compute.restrictXpnProjectLienRemoval Lien = 削除防止の保護、共有 VPC のホストプロジェクトの削除を制限する
Compute Shared VPC Admin は管理権限あるけど特定のサブネットにインスタンス追加できるわけではない、Compute Network User
x KMS で暗号化されるメッセージの数を制限するほうが良い話、プラクティスなど調べる キーバージョンで暗号化されるメッセージの数を制限します、という選択は、特定の鍵が多くの情報を暗号化するのを防ぐことで、鍵が漏洩した際に開示される情報の量を制限するために有用です。これは、もし鍵が悪意ある者によって解読された場合や、鍵が落ち度により公開されてしまった場合でも、影響を受ける情報の量を制約します。
"潜在的に~" はまだ発覚してない状態なのでキー無効したりするのはおかしい
includeChildren ログシンクで組織内のプロジェクトの関連ログをまとめてエクスポートできる
もとに戻せるかどうかの要件、フォーマット保持暗号化など
DEK と KEK
データ暗号化鍵(DEK) → データの暗号化と復号化
鍵暗号化キー(KEK) → 鍵(主にDEK)の暗号化、DEK の利用やライフサイクル管理時に使う
ISO なんとかを選ばせる問題キツすぎる
code:quote
ISO 27017:クラウドサービスの提供と利用に特化した、情報セキュリティ管理のための国際標準です。
ISO 27001:情報セキュリティ管理システム(ISMS)のための国際標準です。全般的な情報セキュリティを対象としています。
ISO 27002:情報セキュリティ管理のためのベストプラクティスとコントロールを提供する標準です。主に組織の情報セキュリティポリシーの設定と実行に利用されます。
ISO 27018:パーソナルデータを保護するための、クラウドコンピューティングサービスに特化した国際標準です。
連続に定義されている場合、前者のほうが一般で、補ったり詳細が続く、として選ぶ
27001(全般的) ← 27002(ベストプラクティスとコントロール)
しらねえ
Cloud HSM:Google CloudのCloud HSM(HSM)サービスです。FIPS 140-2レベル3の認証を持っており、強力な暗号化キーの管理と操作を提供します。
FIPS 140-2:米国政府が承認した暗号モジュールセキュリティ標準です。レベル3は、物理的なタンパリングに対する保護を強化したレベルです。
KAJ
キーにアクセスするたびに理由が文書化される
興味ゼロすぎるけど、鍵のアクセス権を絞って管理する世界で、鍵使う際にリクエスト理由を持たせて承認・拒否するフローは理解できる
事前に定義された属性、例えば国籍や地理的ロケーションなどに基づいて制限できる
暗号化に使用するキーマテリアルを完全に管理下に置く必要があり、キーマテリアルにアクセスする正当な根拠が必要です。
鍵を完全に管理化 → オンプレミスで作る
根拠が必要 → KAJ
キーワード bot になって解く
Transfer Tool for Unmanaged Users(TTUU)を使用して、競合するアカウントを持つユーザーを見つけ、個人のGoogleアカウントを移行するよう依頼します
へえ、個人の Google アカウントで仕事してるやつを Workspace に移行する仕組みがあるのか
BeyondCorp Enterpriseでは、企業証明書などのデバイス情報を元にしたアクセスポリシーを作成することができる
ポリシーや IAM の選択肢で、そんな機能はない・それじゃできない的な選択肢はあるけど、ポリシー名やロール名が架空のやつは出てこないのかな? 名前がある前提で推測で当てれている気はするが、架空が出てきたら詰む
SLSA (読み:さるさ)
PGP 署名だけだとサプライチェーンの透明性や保護はできない
エンベロープ暗号化
データをDEKで暗号化し、そのDEK自体をKEKで暗号化することで、2つのキーによりデータのセキュリティを高めるというものです。ただし、安全なストレージの観点から、暗号化されたDEKと暗号化されたデータ本体のみを保存し、原始的なKEKは保存してはならないという点に注意が必要です。
手順の問題、DEK はローカルで作る
Forseti Security:Google Cloud環境におけるセキュリティポリシーの管理や規則違反の検出などを行うオープンソースのツールセットです。特にインベントリサービスを提供し、一定の間隔でリソースのスナップショットを取る機能があります。
信頼できるトラフィックと信頼できないトラフィックは VPC ネットワークを分けるのがよい、"サブネットワーク" は他の選択肢によるけどダメ
Cloud Interconnect:Google Cloudと自社インフラストラクチャ間の専用の物理的接続
2024/3/12
SSO の設定の話
対称暗号化(同じ鍵を使う) → AES・DES → ❌ X.509 証明書に入れちゃだめ
非対称暗号化(公開鍵と秘密鍵ペアを使う) → RSA・DSA
(constraints/...) の enforced を (true/false) に を聞くパターン
gcloud resource-manager org-policies enable-enforce は 組織ID & 真偽値 をとる
gcloud resource-manager org-policies allow はリスト型制約をとる
親と結合するのはリスト型の制約に結合するために使う
こんなのオプションや UI から読み取れば良くて覚える必要ないだろ
なにが違う!?!?!
https://gyazo.com/ec8baeaf9defbd77e78a8317e19073a1
--の後のスペース
これ gcloud iam が giam になってる選択肢が正解なの...
YAML で作ったことあるけどコマンド名 typo しているから間違いの選択肢かな、まあ JSON でもいけるんちゃうと選んで失敗、ひどくないか、gcloud でカスタムロール作るときは YAML
Cloud Identity の動的グループしらない、メタデータフィールドでなんかできる
Cymbal Bank のユースケース例の話
Google Cloud Directory Sync で LDAP や Active Directory → Cloud Identity に同期する cron job を設定する
そのまま AD 使いつつ Cloud Identity も使う
AD の LDAP は暗号化されていないので同期の際は通信チャネルを暗号化しようねという話
AD を SAML2 プロバイダにして Google Cloud をサービスプロバイダとして使う
なるべく Workload Identity 使う、サービスアカウントキーの発行禁止する、鍵をローテーションする
部門・チーム・商品ごとにフォルダを作る & 開発環境、QA、本番 ごとにプロジェクトを作る
できるだけ下の階層にバインドする、個人よりグループやフォルダにロールをバインドする
_ IAM Conditions でどういうことができるか見る ここまでが 「クラウドソリューション環境内アクセスの構成」 なのね
Duolingo などのマイクロラーニングアプリの Leaderboard をやりたいのだろうけどスベってると思う、誰もプロフィール公開しないし意味もないし
https://gyazo.com/7a8a3961194cb9625b38ef634cb285b4
かわいそうだからフォロワーシップ発揮してプロフィール出した
2024/3/11
ドメインが5つある、どれ苦手か調べる話
クラウドソリューション環境内アクセスの構成
ネットワークセキュリティの構成
データ保護の確保
クラウドソリューション環境内のオペレーションの管理
コンプライアンスの確保
問題は額面どおりに受け取ってください 詳しい情報が省略されている場合 それは正解の選択にほとんど影響しない情報です 通常、すべて、決して、まったくなどの修飾語や 最適、少なくとも、除くなどのキーワードに 注意してください
はい
2024/3/7
A Tour of Google Cloud Hands-on Labs - 45 minutes
Preparing for Your Professional Cloud Security Engineer Journey - 8 hours
Google Cloud Fundamentals: Core Infrastructure - 5 hours
Networking in Google Cloud: Defining and Implementing Networks - 9 hours
Networking in Google Cloud: Hybrid Connectivity and Network Management - 7 hours
Managing Security in Google Cloud - 8 hours 30 minutes
Security Best Practices in Google Cloud - 11 hours 15 minutes
Mitigating Security Vulnerabilities on Google Cloud - 5 hours
Logging and Monitoring in Google Cloud - 8 hours
Build and Secure Networks in Google Cloud - 6 hours 45 minutes
Ensure Access & Identity in Google Cloud - 8 hours 15 minutes
Google Kubernetes Engine Best Practices: Security - 4 hours 45 minutes
Securing your Network with Cloud Armor - 5 hours 45 minutes
Mitigate Threats and Vulnerabilities with Security Command Center - 5 hours 30 minutes
合計 93.5 時間!!!
さすがに月内に全部見る余裕はないので、動画の字幕ファイルだけ集める、翻訳して読む、知らんとこや気になるところだけ見る作戦
Cloud Skill Boost のページ、Angular の要素っぽいやつの属性に JSON が丸ごと入っており非常にクロールしやすい & 認証無くても取れる
動画あるページは認証要る、動画は Youtube でホストされており、大変たすかる
各動画のページの ql-youtube-video[transcript] と ql-youtube-video[videoid] を保存しておくと楽そう
2024/3/6
❌ ネイティブ認証の既存のユーザーディレクトリを使いたい場合
既存のユーザーディレクトリを ID プロバイダとして Cloud Identity を SAML2. 0サービスプロバイダに設定
"ユーザーディレクトリ" が正確には何なのか謎、サービス提供側の認証情報と想像だが
サービスアカウントをターゲットにしてファイアウォールルール作るやつ合ってたけど実体知らない
インバウンドとアウトバウンド縛るやつ、デフォルトでアウトバウンドはいけるので推測で当てれた
❌ 複数のプロジェクトでサブネットを共有して Compute Engine インスタンスを作成したい
迷った 共有 VPC が正解、ピアリングは双方向にトラフィック流せるだけでサブネットは別か
❌ ログデータを匿名化しつつ社内のメールアドレスの場合は匿名化しない
これ正規表現か〜、機能があるだろうとカスタム infoType にしたわ
Cloud Storage のデフォルト暗号化が AES-256 なのは覚えゲーだが、ハッシュアルゴリズム除くと 3DES と二択なのでいける、_ 選択可能なものや一覧を一度見ておくとよいか Cloud Storage のファイルを5年間削除できないようにするのはバケットロックする一時保留と迷ったが合ってた、ロック自体を変更できないのかは気になるが他のほうがゆるそうだなと
_ Cloud Storage のユースケース色々見ておく 全て Google 管理のベースイメージにする、消去法だけどこれでよいのか、パッチを "適用" するがポイント
❌ Web Security Scanner でマウスオーバーメニューのページが抜けている
Web Security Scanner が何か知らないが、自動でリンクをたどってチェックしてくれるのだろう、追加の開始 URL を指定するらしい、メニュー自体にアクセスしてるわけじゃないやんと思うがよい、"除外されているURL" は、除外機能の話なんやね、メニュー上にあった前回のチェックに含まれていない URL と思った
❌ オンプレミスの鍵管理システムを使いたい → CSEK(顧客指定の暗号鍵)
CMEK(顧客管理の暗号鍵) じゃないのか〜、まあ名前からの類推に失敗しただけだから読めば良い
CSEK のほうがユーザが鍵を持ち込む側、CMEK が KMS 使う方
GKE で決済環境を実装している話、選択肢どれもふわふわしているので具体的なやつ選んで当てただけ
_ PCI DSS のセクション 5 および 11 の要件です、て何!! そしてリンク切れである ❌ eコマースサイトのコンプライアンス標準
これぞ覚えゲー、選択肢どれもしらんし、米国法にまつわる略語覚えさせられるの徒労すぎるな...
FedRAMP High: 米国政府規模のプログラムであり、クラウド関連のプロダクトとサービスのセキュリティ評価、認可、継続的モニタリング
HIPAA: 個人の医療情報を保護することを目的として、 特定の団体や個人に対し定めたプライバシーとセキュリティ要件の米国の連邦法
SOX: 米国の公開会社の会計および財務レポート
PCI DSS: PCI Security Standards Council で採択されたネットワークセキュリティおよびベストプラクティス、決済カード情報を保護する最小限のセキュリティ基準
しかし意外と問題集ないっぽい、英語のやつ拾ってきて翻訳して使うか...
領域
IAM やサービスアカウント周りは多分余裕
Cloud Storage も普段見ないユースケースや機能一覧を舐めれば良いと思う
ネットワークも深い話は無いだろうから取れる気がする
ただ特殊なユースケースや状況に合わせた選択肢は理解できる程度にやる
匿名化や PII のハンドリングは興味あるのでまあスキルブーストしてたらよさそう
知らないツールは知らないのでスキルブーストする
法令は諦めて覚える... 名前 & 業界の対応だけで良かろう
2024/3/5
バウチャーもらえるので4月頭に受ける
Professional Cloud Archtect 無いけど無勉でも模擬問題集合格ラインだったはず
リンク集
公式
受験者のまとめ
---.icon
CMEK が KMS で管理する、色々対応している
CSEK がユーザが鍵持ってくる、いちいち指定&揮発する、Cloud Storage & Compute Engine のみ
Cloud Storage のユースケース
オブジェクトを暗号化してからCloud Storageにアップロードするという選択は、Google Cloud ConsoleでCSEKを使用するオプションが利用できなりません。
用語集
Active Directory: Microsoftのディレクトリサービスで、オブジェクト(ユーザーやグループなど)を組織化し、管理します。ネットワーク上でのアクセス制御やユーザー認証を実現します。
ドメインコントローラー: Windowsネットワークにおけるセキュリティやユーザーアクセスの設定を管理するサーバーです。一般的には、オンプレミス環境で使用されます。
SIEMシステム: セキュリティ情報とイベント管理を行うシステムです。セキュリティ関連のログとイベントを集約し、解析して警告を出すなどの機能を持ちます。
静止時暗号化: データが保存されている状態(つまり、データが動いていない状態)でデータを暗号化することです。ハードドライブやリムーバブルメディアなどが対象です。
覚えゲー
覚えたくないいい
FIPS 140-2 L3 以上 → Cloud HSM(KMS は L3 じゃない)
FedRAMP → Assured Workload
政府機関 → FedRAMP
クレジットカード決済、ネットワーク分離要件など → PCI DSS