概要

Gemini for Google Cloud は、あらゆるスキルレベルのユーザーを必要に応じて支援する、常時稼働の AI コラボレーターです。このラボでは、Security Command Center の Gemini 機能を使用して、Google Cloud 環境内のセキュリティに関する構成ミスを特定し、修復する方法を学習します。

注: Duet AI は、Google の次世代モデルである Gemini に名称変更されました。このラボは、この変更を反映して更新されたものです。ラボの手順を実施する際に、ユーザー インターフェースやドキュメントで Duet AI に言及されていた場合は、Gemini と同等であると見なしてください。 注: Gemini は初期段階のテクノロジーであるため、もっともらしく見える出力でも事実に反する場合があります。Gemini からのすべての出力は、使用する前に検証することをおすすめします。詳細については、Gemini for Google Cloud と責任ある AI をご覧ください。

目標

このラボでは、次のタスクの実行方法について学びます。

• Google Cloud プロジェクト内で Gemini を有効にする
• サンプルのワークロードを Google Cloud 内の環境にデプロイする
• Gemini を使用してセキュリティに関する構成ミスを特定する
• Gemini を使用してセキュリティに関する構成ミスを修復する

シナリオ

インフラストラクチャをモニタリングしてセキュリティ ポスチャーを改善する方法を検討する際、Gemini は、インフラストラクチャや構成の変更を特定するのに役立ち、今後発生し得る問題を回避することができます。

ここでは、マネージド Kubernetes クラスタを定期的にデプロイしている e コマース企業を例に挙げます。あなたは、この会社のセキュリティ エンジニアです。構成ミスがないかどうかを確認する方法を必要としており、利用しているクラウド環境でそれらの問題を修正するための迅速な手順を探しています。

設定と要件

各ラボでは、新しい Google Cloud プロジェクトとリソースセットを一定時間無料で利用できます。

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] パネルでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] パネルでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスのリストを含むメニューを表示するには、左上のナビゲーション メニューをクリックします。

タスク 1. Gemini を有効にする

まず、Google Cloud プロジェクトで Gemini を有効にし、Google Cloud Qwiklabs ユーザー アカウントに必要な権限を設定します。

1. Google Cloud コンソールのツールバーの右上にある Cloud Shell アイコン（）をクリックします。

2. 次のコマンドを実行して、プロジェクト ID とリージョンの環境変数を設定します。

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. ログインに使用した Google ユーザー アカウントを環境変数に保存するには、次のコマンドを実行します。

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. [承認] をクリックします（求められた場合）。

5. Gemini 用の Cloud AI Companion API を有効にします。

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Gemini を使用できるよう、必要な IAM ロールを Google Cloud の Qwiklabs ユーザー アカウントに付与します。

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

これらのロールを追加すると、ユーザーは Gemini の支援機能を利用できるようになります。

[進行状況を確認] をクリックして、実行したタスクを確認します。 Gemini を有効にする

タスク 2. GKE クラスタを作成してウェブアプリをデプロイする

ここで、Google Kubernetes Engine（GKE）クラスタを作成し、いくつかのマイクロサービスを実行します。

1. 次のコマンドを実行して、test という名前の GKE クラスタを作成します。

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

これには数分かかることがあります。完了すると、次のような結果が返されます。

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. ここで、ウェブアプリのコードを含むリポジトリのクローンを作成します。

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. kubectl を使用して、一連のマイクロサービスを GKE クラスタにデプロイします。

kubectl apply -f ./release/kubernetes-manifests.yaml

4. 数分後、次のコマンドを実行して、ブラウザでウェブアプリにアクセスするためのパブリック IP アドレスを取得します。

kubectl get service frontend-external | awk '{print $4}'

5. 上記のコマンド出力から IP アドレスをコピーし、新しいブラウザタブに貼り付けます。

次のようなウェブアプリが表示されます。

[進行状況を確認] をクリックして、実行したタスクを確認します。 GKE クラスタを作成してウェブアプリをデプロイする

タスク 3. Gemini を使用してセキュリティに関する構成ミスを特定する

GKE クラスタで e コマース アプリを実行できるようになったので、セキュリティ ポスチャーを改善できる分野を Gemini を使用して特定します。

1. Google Cloud コンソールのタブに戻ります。

2. Google Cloud コンソール ページを更新します。

3. Cloud Shell ペインを最小化します。

4. Google Cloud コンソールのツールバーの右上にある Gemini アイコン（）をクリックします。

5. [チャットを開始] をクリックします。

6. 次のプロンプトを入力します。

What services in Google Cloud can help me identify areas to improve security for a set of microservices running in a GKE cluster?

Gemini から、次のような回答が返されます。

There are a number of services in Google Cloud that can help you identify areas to improve security for a set of microservices running in a GKE cluster. These include:

• Security Command Center can help you identify and prioritize security risks across your Google Cloud environment, including GKE clusters.
• Cloud Asset Inventory can help you track and manage your Google Cloud resources, including GKE clusters.
• Cloud Logging can help you collect and analyze logs from your GKE clusters.
• Cloud Monitoring can help you monitor the performance and health of your GKE clusters.

These are just a few of the many services in Google Cloud that can help you improve the security of your microservices. By using these services, you can help protect your data from unauthorized access, and you can also help improve your security posture over time.

このシナリオでは、Security Command Center を使用します。

7. ナビゲーション メニューを開き、[セキュリティ] > [リスクの概要] を選択します。

脆弱性について説明しているビジュアリゼーションが複数あるため、Security Command Center で何が脆弱性として分類されているかをすぐに理解できるよう Gemini に尋ねます。

8. 次のプロンプトを入力します。

How does Security Command Center define a vulnerability?

Gemini から、次のような回答が返されます。

Security Command Center defines a vulnerability as a flaw or weakness in software programs that an attacker could use to gain access to or otherwise compromise your Google Cloud environment.

Source: https://cloud.google.com/security-command-center/docs/finding-classes

9. ドキュメントのリンクをクリックすると、検出結果クラスの詳細を確認できます。

10. 確認後、タブを閉じて Google Cloud コンソールに戻ります。

11. Google Cloud コンソールのサイドバーにある [検出結果] をクリックします。

12. GKE クラスタの検出結果を確認するには、[クイック フィルタ] セクションの [リソースの種類] にある [Google container cluster] を選択します。

重大度が中の検出結果が表示されます。

13. クラスタ シークレットの暗号化が無効になっている検出結果をクリックします。

この検出結果パネルの上部には [説明] というセクションがあり、ここに次のような要約が表示されます。

アプリケーション レイヤで Secret を暗号化すると、機密データ（ユーザー定義の Secret など）や、クラスタのオペレーションに必要な Secret（サービス アカウント キーなど）に対するセキュリティを強化できます。これらの情報はすべて etcd に保存されます。

14. この情報パネルを閉じます。

15. 次に、[過剰な権限を持つアカウント] の検出結果をクリックします。[説明] セクションに次のような要約が表示されます。

この GKE ノードは、Compute Engine のデフォルトのサービスノードを使用します。これは、デフォルトで幅広いアクセス権を持ち、Kubernetes Engine クラスタを実行するのには過度な権限を持つ場合があります。

16. この情報パネルを閉じます。

17. 最後に、マスター承認済みネットワークが無効になっている検出結果をクリックします。次のような説明が表示されます。

コントロール プレーン承認済みネットワークでは、指定された IP アドレスからクラスタのコントロール プレーンへのアクセスをブロックすることによって、コンテナ クラスタのセキュリティが向上します。

18. この情報パネルを閉じます。

これで、利用している環境のセキュリティに関する構成ミスについて理解できました。次は、Gemini の推奨事項を活用して、これらを修正します。

タスク 4. セキュリティに関する構成ミスを修復する

GKE クラスタのセキュリティを改善できる分野について確認できたので、Security Command Center の Gemini による要約で提供された手順を使用して、「マスター承認済みネットワークが無効」になっている検出結果を修復します。

1. ナビゲーション メニューを開き、[Kubernetes Engine] > [クラスタ] を選択します。

2. 先ほど作成したクラスタの名前（test）をクリックします。

3. [コントロール プレーン ネットワーキング] セクションまで下にスクロールします。

4. 鉛筆アイコンをクリックして [コントロール プレーン ネットワーキング] を編集します。

5. [承認済みネットワークを有効にする] の横にあるチェックボックスをオンにします。

6. [承認済みネットワークに Google Cloud の外部 IP アドレスを追加する] の下にあるチェックボックスをオンにします。

7. [変更を保存] をクリックします。

8. サイドバーから [クラスタ] をクリックします。

[ステータス] セクションに回転するホイール（緑色の半円）のアイコンが表示され、クラスタが更新されていることが示されます。

9. コントロール プレーンのネットワーク ポリシーの更新が行われている間に、Google Cloud コンソールのツールバーから Gemini を開きます。

10. 次のプロンプトを入力します。

How do control plane authorized networks work in GKE?

Gemini から、次のような回答が返されます。

Control plane authorized networks allow you to restrict access to the control plane of your GKE cluster. By default, the control plane is accessible from any address. However, you can add one or more authorized networks to restrict access to only those networks.

To add an authorized network, go to the Google Kubernetes Engine page in the Google Cloud console. Click the name of the cluster you want to modify. Under Networking, in the Control plane authorized networks field, click edit Edit control plane authorized networks...

更新したコントロール プレーン ポリシーが適用されるまで、数分かかる場合があります。

11. クラスタ構成が正常に更新されると、クラスタの横に表示される [ステータス] 列に緑色のチェックマークが表示されます。

[進行状況を確認] をクリックして、実行したタスクを確認します。 セキュリティに関する構成ミスを修復する

ラボを終了する

ラボでの学習が完了したら、[ラボを終了] をクリックします。ラボで使用したリソースが Qwiklabs から削除され、アカウントの情報も消去されます。

ラボの評価を求めるダイアログが表示されたら、星の数を選択してコメントを入力し、[送信] をクリックします。

星の数は、それぞれ次の評価を表します。

• 星 1 つ = 非常に不満
• 星 2 つ = 不満
• 星 3 つ = どちらともいえない
• 星 4 つ = 満足
• 星 5 つ = 非常に満足

フィードバックを送信しない場合は、ダイアログ ボックスを閉じてください。

フィードバック、ご提案、修正が必要な箇所については、[サポート] タブからお知らせください。

Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは、Google LLC の商標です。その他すべての社名および製品名は、それぞれ該当する企業の商標である可能性があります。