【PCSE】WEB問題集:ネットワークセキュリティ編

WEB問題集

PCSE#1(network-security)

本社とGCPをDedicated Interconnectで接続し、複数のVPCから単一のオンプレ接続を共有したいです。最も推奨される設計はどれですか。

A. 各VPCで個別にDedicated Interconnectを契約し、専用に終端する構成を採用してオンプレ接続を VPC ごとに独立させる設計とします。
B. Shared VPCのホストプロジェクトでInterconnectを終端し、サービスプロジェクトからホストVPCを共有します。
C. VPC PeeringでInterconnect終端VPCと相互接続し、推移的にルーティングして他のVPCからもオンプレに到達させる構成にします。
D. Cloud VPNで各VPC間をフルメッシュ接続し、Interconnect終端VPCを経由してオンプレへ転送する設計を採用します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Shared VPCはホストプロジェクトのVPCを複数サービスプロジェクトで共有でき、Interconnect契約や終端を一元化できます。

方式	共有性	運用
Shared VPC	高い	一元管理
VPC Peering	非推移的	個別管理

不正解の理由

A: コスト過大で重複となります。
C: VPC Peeringは推移的ルーティング不可です。
D: VPNは帯域や管理面で劣ります。

参考：Shared VPC概要

PCSE#2(network-security)

2つのVPC間でPeeringを設定しました。片方のVPCの先にあるオンプレネットワークへ、もう一方のVPCから通信させたいです。最適な対処はどれですか。

A. VPC Peeringのエクスポート/インポートカスタムルートを有効化し、Cloud RouterでBGPを再配布します。
B. Peering先のVPCに同じCIDRのサブネットを作成して直接到達させます。
C. VPC Peeringは推移的でないため、もう1本Cloud VPNをオンプレへ張ります。
D. Hierarchical Firewall Policyを使ってPeering越しのトラフィックを許可します。

正解と解説ディスカッション 0

正解：C

正解の根拠

VPC Peeringは推移的ルーティングをサポートしないため、Peering先のオンプレへは到達できません。直接接続を確立する必要があります。

項目	VPC Peering
推移性	なし
解決策	個別接続

不正解の理由

A: カスタムルート交換でも推移性は得られません。
B: CIDR重複は不可です。
D: ファイアウォールはルーティング問題を解決しません。

参考：VPC Peering制限

PCSE#3(network-security)

BigQueryやCloud Storageへのデータ持ち出しを境界で制御したいです。どのサービスが最適ですか。

A. VPC Service Controlsのサービス境界
B. Cloud Armorのセキュリティポリシーを境界として設定し、データ持ち出し API の呼び出しを HTTP レイヤで遮断する構成にします
C. Identity-Aware Proxy をデータ持ち出し境界として配置し、ユーザー認証をもとに BigQuery と GCS の API 呼び出しを制御します
D. Cloud DLPのインスペクションジョブを境界制御として運用し、機微データの検出をもって持ち出しを未然に防止する構成とします

正解と解説ディスカッション 0

正解：A

正解の根拠

VPC Service Controls (VPC SC) はマネージドサービスへのアクセスを境界で制御し、データ持ち出しを防ぎます。

用途	サービス
データ持ち出し抑止	VPC SC
WAF/DDoS	Cloud Armor

不正解の理由

B: HTTP(S) LBの保護が目的です。
C: アプリへのID認可が目的です。
D: 機密検出が目的です。

参考：VPC SC概要

PCSE#4(network-security)

VPC Service Controlsの境界Aから境界Bへ、特定サービスのみアクセスを許可したいです。どの機能を使いますか。

A. Access Level のみを構成し境界 A と境界 B 双方の Service Perimeter に同じレベルを適用する
B. Perimeter Bridge
C. VPC Peering を境界 A と境界 B の VPC 間で構成し相互ルーティングを許可する
D. Shared VPC を共通ホストプロジェクトに配置し境界 A と境界 B の双方からアタッチする

正解と解説ディスカッション 0

正解：B

正解の根拠

Perimeter Bridgeは境界をまたいだプロジェクト間アクセスを許可する機能で、特定の境界間連携を実現します。

用途	機能
境界間連携	Perimeter Bridge
外部ID許可	Access Level

不正解の理由

A: アイデンティティ条件のみで境界結合はできません。
C: VPC PeeringはL3ピアリングです。
D: VPCの共有目的で境界制御ではありません。

参考：境界間共有

PCSE#5(network-security)

外部IPを持たないGCE VMからCloud StorageへPrivateにアクセスさせたいです。設定すべき項目を2つ選んでください。

（2つ選択）

A. 対象サブネットで Private Google Access を有効化し、外部 IP を持たない VM から Google API へ到達できるようにします
B. オンプレミスからの egress 経路用に Cloud NAT を構成し、外部 IP を持たない VM から Cloud Storage への接続をパブリック NAT ゲートウェイ経由で送出させる構成にして API 到達性を確保します
C. Cloud DNS に private.googleapis.com または restricted.googleapis.com の応答を設定し、storage.googleapis.com を VPC 内のプライベート IP へ解決させます
D. 外部 IP を各 VM に個別に付与した上で、egress ファイアウォールルールにより Cloud Storage の API レンジ宛通信のみ許可するように送信先を絞り込む構成にして接続経路を制御します

正解と解説ディスカッション 0

正解：A, C

正解の根拠

外部IPなしでGoogle APIへ到達するにはサブネットのPrivate Google Accessを有効化し、private.googleapis.com (199.36.153.8/30) などへ名前解決します。

要素	役割
PGA	サブネット単位許可
DNS	privateエンドポイント解決

不正解の理由

B: Cloud NATは外部宛のNAPTで本要件と異なります。
D: 外部IP付与は要件に反します。

参考：Private Google Access