要求多因素身份验证也是一个好主意，但这是深度防御原则的一个例子，而不是最不重要的特权。

A 和 D。严格的防火墙控制可能会有帮助，但除非与其他控制搭配，否则无法体现深度防御。 信任边界也很重要，可用于定义控制措施，但不是深度防御控制措施。

威胁行为者可能想做所有这些事情，但从历史上看，赚钱是最大的动机。 此外，一些威胁行为者的动机可能仅仅是闯入黑客圈子或提高声誉的挑战。

A. 根据服务交付模式的不同，网络安全和操作安全可能是云提供商的责任，也可能不是。 数据访问安全--选择谁可以访问数据--几乎总是由消费者负责。

大多数风险评估系统使用某种形式的可能性和影响评估来确定总体风险水平。 转移风险并不能决定风险的严重程度，但可能是应对风险的一种方法。 攻击者的行为是否合法也不会直接影响您的风险严重性，尽管采取非法行为可能会提高攻击者入狱的风险。

A. 虽然您可能需要 3 个以上的数据分类级别，但对于几乎所有组织来说，30 个级别已经太多了，而 300 个级别只是为了看您在回答问题前是否读过问题。

虽然 IP 地址本身是公共信息，但当 IP 地址与系统中的客户请求相关联时，在许多司法管辖区都被视为个人信息，需要加以保护。

虽然可以通过加密方式删除数据，使其无法读取，但这并不涉及在删除时对数据进行加密。 加密清除的工作原理是删除加密密钥，这样已经加密的数据就无法再被解密。

C. 硬件安全模块具有物理防篡改的优点，是某些高风险领域或合规制度的要求，但没有硬件安全模块也能进行适当的密钥管理。 与数据一起存储加密（或 "封装"）的加密密钥是完全可以接受的做法，只要密钥加密密钥（KEK）存储在其他地方即可，但与数据一起存储未受保护的加密密钥则毫无用处。

C. 应用程序或数据库中的攻击者会请求数据，磁盘控制器会解密磁盘上的数据并提供。 这是系统正常运行所必需的。

A 和 B。许多组织并没有一个负责部署云资产的团队，但如果有这样一个团队，就不会使跟踪资产变得更容易出错。 Cloud API 将允许您使用自动化来导出云资产列表，因此它们会让云资产的跟踪变得更容易，而不是更困难。

加密用于保护静态、动态和使用中的数据，但不属于资产类型。 不过，用于管理数据加密密钥的密钥管理实例可以是云资产。

错。 默认情况下，容器确实比虚拟机有更大的攻击面，在没有额外保护措施的情况下运行不受信任的代码可能不是一个好选择，但容器本质上并不不安全。

只有已知的风险，而且风险的数量和严重程度符合组织的风险承受能力，这才是一个好的目标，而不是问题。

A、B、C 和 D 都是可以应用于资产的合理标签，有助于跟踪资产和创建安全策略。

A、B、C 和 D 都是常见的访问管理生命周期活动。

A. 通过身份验证和授权才能访问应用程序，尽管有些应用程序允许所有通过身份验证的用户访问。 API 密钥不是多因素身份验证，但它是一种比简单密码更强的单因素身份验证方法，通常被无法执行多因素身份验证的自动化系统所使用。 最后一种说法也不正确，因为根据零信任原则，内部通信也需要验证和授权。

A、B 和 C 关于授权的说法都对；虽然集中式授权有其优势，而且越来越受欢迎，但分散式授权仍然非常有效。

A、B、D。虽然云 IAM 系统通常有对用户和其他实体进行身份验证和授权的方法，但不同的云服务，如秘密管理服务和加密密钥管理服务，一般用于存储秘密和加密密钥。 ...