PCSE#5(security-controls)
Compute Engine VM のディスク暗号化キーがプロジェクトのデフォルトのままで、CMEK が未適用であることを継続的に検知したいです。SCC のどの機能を有効化すべきですか。
正解:C
正解の根拠
Security Health Analytics(SHA)は構成ミス(Misconfiguration)を検出するマネージドサービスで、CMEK 未適用や公開バケットなどのポスチャ違反を継続的にスキャンします。
| SHA 検出例 | 説明 |
|---|---|
| DISK_CMEK_DISABLED | ディスクが CMEK 未使用 |
| PUBLIC_BUCKET_ACL | バケットが公開状態 |
不正解の理由
- B はログから脅威イベントを検知する機能で、構成ポスチャ評価ではありません。
- C は GKE 内のランタイム脅威検出で、構成検査ではありません。
- D は Web アプリの脆弱性スキャンで構成検査用途ではありません。
参考:SHA overview
コメント