GSP322

Introduzione

In un Challenge Lab ti vengono presentati uno scenario e un insieme di attività. Anziché seguire le istruzioni passo passo, utilizzerai le competenze apprese dai lab durante il corso per capire come completare le attività autonomamente. Tramite un sistema di valutazione automatico (visibile in questa pagina), riceverai un feedback che ti consentirà di capire se hai completato le attività in modo corretto.

Quando partecipi a un Challenge Lab non ricevi alcuna formazione sui concetti di Google Cloud. Dovrai estendere le competenze che hai appreso, ad esempio modificare i valori predefiniti e leggere ed esaminare i messaggi di errore per correggere i tuoi errori.

Per ottenere un punteggio del 100% devi completare tutte le attività correttamente nel tempo stabilito.

Questo lab è consigliato per gli studenti che si sono iscritti al corso con badge delle competenze Build a Secure Google Cloud Network. Accetti la sfida?

Configurazione

Prima di fare clic sul pulsante Avvia lab

Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Avvia lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.

Con questo lab pratico avrai la possibilità di completare le attività in prima persona, in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.

Per completare il lab, avrai bisogno di:

• Accesso a un browser internet standard (Chrome è il browser consigliato).

• È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.

Scenario della sfida

Mario, proprietario di una piccola azienda locale, ha bisogno di aiuto per il suo sito web di grande successo (juiceshop) e, a questo scopo, ha ingaggiato te come consulente per la sicurezza. Mario non ha esperienza con Google Cloud e ha chiesto al figlio di un amico di effettuare la configurazione iniziale del sito. Il figlio del suo amico ha dovuto trasferirsi in un'altra città per andare all'università, ma prima di partire si è accertato che il sito funzionasse correttamente.

Di seguito è riportata la configurazione attuale:

La sfida

Devi creare la configurazione di sicurezza adeguata per il sito di Mario. La prima sfida è rappresentata dalla configurazione di regole firewall e tag delle macchine virtuali. Devi inoltre assicurare che SSH sia disponibile per il bastion soltanto attraverso IAP.

Per quanto riguarda le regole firewall devi assicurarti che:

• Il bastion host non abbia un indirizzo IP pubblico.
• Sia possibile stabilire la connessione SSH solamente al bastion e soltanto tramite IAP.
• Sia possibile stabilire la connessione SSH a juice-shop soltanto tramite il bastion.
• juice-shop sia accessibile dall'esterno soltanto tramite HTTP.

Suggerimenti utili:

• Presta attenzione ai tag di rete e alle regole del firewall VPC loro associate.
• Definisci in dettaglio le dimensioni degli intervalli di origine nelle regole del firewall VPC.
• Nella valutazione, autorizzazioni eccessivamente permissive non verranno considerate corrette.

Ordine delle azioni consigliato.

1. Verifica le regole del firewall e rimuovi quelle eccessivamente permissive.

2. In Cloud Console, vai a Compute Engine e identifica il bastion host. L'istanza non dovrebbe essere in esecuzione. Avvia l'istanza.

3. Il bastion host è l'unica macchina autorizzata a ricevere traffico esterno su SSH. Crea una regola firewall che consenta il traffico su SSH (tcp/22) dal servizio IAP. La regola firewall deve essere abilitata per l'istanza bastion host utilizzando un tag di rete .

4. Il server juice-shop gestisce il traffico su HTTP. Crea una regola firewall che consenta il traffico su HTTP (tcp/80) verso qualsiasi indirizzo. La regola firewall deve essere abilitata per l'istanza juice-shop utilizzando un tag di rete .

5. Devi stabilire una connessione a juice-shop dal bastion utilizzando SSH. Crea una regola firewall che consenta il traffico su SSH (tcp/22) dall'indirizzo di rete acme-mgmt-subnet. La regola firewall deve essere abilitata per l'istanza juice-shop utilizzando un tag di rete .

6. Nella pagina delle istanze in Compute Engine, fai clic sul pulsante SSH in corrispondenza del bastion host. Una volta stabilita la connessione, utilizza SSH per aprire una connessione a juice-shop.

Complimenti!

Hai completato il Challenge Lab e aiutato Mario a rafforzare la sicurezza del suo sito.

Prossimi passi/Scopri di più

Il badge delle competenze fa parte dei percorsi di apprendimento Network Engineer e Security Engineer di Google Cloud. Se hai già completato gli altri corsi con badge delle competenze nel tuo percorso di apprendimento, nel catalogo di Google Cloud Skills Boost troverai più di 20 altri badge delle competenze a cui iscriverti.

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 2 aprile 2024

Ultimo test del lab: 8 novembre 2023

Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.