Checkpoint
Remove the overly permissive rules
/ 10
Start the bastion host instance
/ 10
Create a firewall rule that allows SSH (tcp/22) from the IAP service and add network tag on bastion
/ 20
Create a firewall rule that allows traffic on HTTP (tcp/80) to any address and add network tag on juice-shop
/ 20
Create a firewall rule that allows traffic on SSH (tcp/22) from acme-mgmt-subnet network address and add network tag on juice-shop
/ 20
SSH to bastion host via IAP and juice-shop via bastion
/ 20
Build a Secure Google Cloud Network: Challenge Lab
GSP322
Pengantar
Dalam challenge lab, Anda diberi sebuah skenario dan serangkaian tugas. Tidak ada petunjuk langkah demi langkah. Anda akan menggunakan keahlian yang dipelajari dari lab dalam kursus untuk mencari cara menyelesaikan sendiri tugas-tugas tersebut. Sistem pemberian skor otomatis (ditampilkan pada halaman ini) akan memberikan masukan tentang apakah Anda telah menyelesaikan tugas dengan benar atau tidak.
Saat mengikuti challenge lab, Anda tidak akan diajari konsep-konsep baru Google Cloud. Anda diharapkan dapat memperluas keahlian yang dipelajari, seperti mengubah nilai default dan membaca serta mengkaji pesan error untuk memperbaiki kesalahan Anda sendiri.
Untuk meraih skor 100%, Anda harus berhasil menyelesaikan semua tugas dalam jangka waktu tertentu.
Lab ini disarankan bagi siswa yang sudah mendaftar dalam kursus badge keahlian Build a Secure Google Cloud Network. Apakah Anda siap menghadapi tantangan ini?
Penyiapan
Sebelum mengklik tombol Mulai Lab
Baca petunjuk ini. Lab memiliki timer dan Anda tidak dapat menjedanya. Timer, yang dimulai saat Anda mengklik Start Lab, akan menampilkan durasi ketersediaan resource Google Cloud untuk Anda.
Lab praktik ini dapat Anda gunakan untuk melakukan sendiri aktivitas lab di lingkungan cloud sungguhan, bukan di lingkungan demo atau simulasi. Untuk mengakses lab ini, Anda akan diberi kredensial baru yang bersifat sementara dan dapat digunakan untuk login serta mengakses Google Cloud selama durasi lab.
Untuk menyelesaikan lab ini, Anda memerlukan:
- Akses ke browser internet standar (disarankan browser Chrome).
- Waktu untuk menyelesaikan lab. Ingat, setelah dimulai, lab tidak dapat dijeda.
Skenario tantangan
Anda adalah seorang konsultan keamanan yang dimintai tolong oleh Jeff, pemilik sebuah perusahaan lokal kecil, untuk membantunya menjalankan situs webnya yang sangat berhasil (juiceshop). Jeff baru mengenal Google Cloud sehingga perlu dibantu oleh anak tetangganya untuk menyiapkan situs awalnya. Sebelum merantau untuk berkuliah, anak tetangganya ini sempat memastikan bahwa situs Jeff berjalan dengan baik.
Berikut adalah penyiapan saat ini:
Tantangan Anda
Anda harus membuat konfigurasi keamanan yang sesuai untuk situs Jeff. Tantangan pertama Anda adalah menyiapkan aturan firewall dan tag virtual machine. Anda juga harus memastikan bahwa SSH hanya tersedia untuk bastion via IAP.
Untuk aturan firewall, pastikan bahwa:
- Bastion host tidak memiliki alamat IP publik.
- Anda hanya dapat melakukan SSH ke bastion dan hanya via IAP.
- Anda hanya dapat melakukan SSH ke
juice-shopvia bastion. - Hanya HTTP yang terbuka ke publik untuk
juice-shop.
Tips dan Trik:
- Perhatikan tag jaringan dan aturan firewall VPC yang terkait.
- Bertindaklah spesifik dan batasi ukuran rentang sumber aturan firewall VPC.
- Izin yang terlalu permisif tidak akan dinilai benar.
Urutan tindakan yang disarankan.
- Periksa aturan firewall. Hapus aturan yang terlalu permisif.
- Buka Compute Engine di Konsol Cloud dan identifikasikan bastion host. Instance seharusnya sedang tidak aktif. Mulai instance.
- Bastion host adalah satu-satunya mesin yang diizinkan untuk menerima traffic SSH eksternal. Buat aturan firewall yang mengizinkan SSH (tcp/22) dari layanan IAP. Aturan firewall harus diaktifkan untuk instance bastion host menggunakan tag jaringan
.
- Server
juice-shopmelayani traffic HTTP. Buat aturan firewall yang mengizinkan traffic pada HTTP (tcp/80) ke alamat mana pun. Aturan firewall harus diaktifkan untuk instance juice-shop menggunakan tag jaringan.
- Anda harus menghubungkan ke
juice-shopdari bastion menggunakan SSH. Buat aturan firewall yang mengizinkan traffic pada SSH (tcp/22) dari alamat jaringanacme-mgmt-subnet. Aturan firewall harus diaktifkan untuk instancejuice-shopmenggunakan tag jaringan.
- Di halaman instance Compute Engine, klik tombol SSH untuk bastion host. Setelah terhubung, lakukan SSH ke
juice-shop.
Selamat!
Anda telah menyelesaikan Challenge Lab dan membantu Jeff memperketat keamanannya.
Langkah berikutnya/Pelajari lebih lanjut
Badge keahlian ini merupakan bagian dari jalur pembelajaran Network Engineer dan Security Engineer Google Cloud. Jika Anda sudah menyelesaikan badge keahlian lain di jalur pembelajaran ini, telusuri katalog Google Cloud Skills Boost untuk menemukan lebih dari 20 badge keahlian lainnya yang dapat Anda ikuti.
Sertifikasi dan pelatihan Google Cloud
...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.
Manual Terakhir Diperbarui pada 2 April 2024
Lab Terakhir Diuji pada 08 November 2023
Hak cipta 2024 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.
