GSP322

はじめに

チャレンジラボでは、シナリオと一連のタスクが提供されます。手順ガイドに沿って進める形式ではなく、コース内のラボで習得したスキルを駆使して、ご自身でタスクを完了していただきます。タスクが適切に完了したかどうかは、このページに表示される自動スコアリング システムで確認できます。

チャレンジラボは、Google Cloud の新しいコンセプトについて学習するためのものではありません。デフォルト値を変更する、エラー メッセージを読み調査を行ってミスを修正するなど、習得したスキルを応用する能力が求められます。

100% のスコアを達成するには、制限時間内に全タスクを完了する必要があります。

このラボは、「Build a Secure Google Cloud Network」スキルバッジに登録している受講者を対象としています。準備が整ったらチャレンジを開始しましょう。

設定

[ラボを開始] ボタンをクリックする前に

こちらの手順をお読みください。ラボの時間は記録されており、一時停止することはできません。[ラボを開始] をクリックするとスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

このハンズオンラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でラボのアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、下記が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モードまたはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウント間の競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。

• ラボを完了するために十分な時間を確保してください。ラボをいったん開始すると一時停止することはできません。

注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、このラボでは使用しないでください。アカウントへの追加料金が発生する可能性があります。

チャレンジ シナリオ

あなたは地元で小さな会社を経営する Jeff に、アクセスが急増しているウェブサイト（juice-shop）の運営を支援するセキュリティ コンサルタントとして招かれました。Jeff には Google Cloud の使用経験がありません。また、そのウェブサイトは近くに住む知人の息子が立ち上げたものです。その知人の息子は進学のために地元を離れることになり、ウェブサイトが稼働していることを確認してから出発したそうです。

現在の設定は次のとおりです。

チャレンジ

あなたは、Jeff のサイトに適切なセキュリティ構成を作成する必要があります。最初のチャレンジでは、ファイアウォール ルールと仮想マシンタグを設定します。また、踏み台インスタンスへの SSH 接続は必ず IAP 経由で行われるようにする必要があります。

ファイアウォール ルールについては、次の点を確認してください。

• 踏み台インスタンスにパブリック IP アドレスが割り当てられていないこと。
• 踏み台インスタンスへは IAP 経由の SSH 接続のみを許可すること。
• juice-shop へは踏み台インスタンス経由の SSH 接続のみを許可すること。
• juice-shop の環境に対して HTTP のみを開放すること。

ヒントとアドバイス:

• ネットワーク タグと関連する VPC ファイアウォール ルールに注意してください。
• VPC ファイアウォール ルールのソース範囲については、具体的なサイズと上限サイズを設定してください。
• 過度に緩い制限は正解と見なされません。

推奨される手順:

1. ファイアウォール ルールを確認します。制限が過度に緩いルールを削除します。

制限が過度に緩いルールを削除する

2. Cloud Console で [Compute Engine] に移動して、踏み台インスタンスを特定します。このインスタンスは停止している必要があります。インスタンスを起動します。

踏み台インスタンスを起動する

3. この踏み台インスタンスは、外部 SSH トラフィックを受信することが承認されている唯一のマシンです。IAP サービスからの SSH（TCP/22）を許可するファイアウォール ルールを作成します。 のネットワーク タグを利用し、踏み台インスタンスに対してファイアウォール ルールを有効にする必要があります。

IAP サービスからの SSH（TCP/22）を許可するファイアウォール ルールを作成して、踏み台インスタンスにネットワーク タグを追加する

4. juice-shop サーバーでは HTTP トラフィックが処理されます。HTTP（TCP/80）のトラフィックを任意のアドレスに許可するファイアウォール ルールを作成します。 のネットワーク タグを利用し、juice-shop インスタンスに対してファイアウォール ルールを有効にする必要があります。

HTTP（TCP/80）のトラフィックを任意のアドレスに許可するファイアウォール ルールを作成して、ネットワーク タグを juice-shop に追加する

5. SSH を使用して踏み台インスタンスから juice-shop に接続する必要があります。acme-mgmt-subnet のネットワーク アドレスからの SSH（TCP/22）のトラフィックを許可するファイアウォール ルールを作成します。 のネットワーク タグを利用し、juice-shop インスタンスに対してファイアウォール ルールを有効にする必要があります。

acme-mgmt-subnet からの SSH（TCP/22）のトラフィックを許可するファイアウォール ルールを作成する

6. [Compute Engine インスタンス] ページで、踏み台インスタンスの [SSH] ボタンをクリックします。接続したら、juice-shop に SSH 接続します。

ヒント: compute ssh 接続または IAP トンネルで問題が発生した場合は、--troubleshoot フラグを使用してください。 踏み台インスタンスに IAP 経由で SSH 接続して、踏み台インスタンス経由で juice-shop にアクセスする

お疲れさまでした

このチャレンジラボを完了し、Jeff のセキュリティ対策を支援することができました。

次のステップと詳細情報

このスキルバッジは、Google Cloud のネットワーク エンジニアとセキュリティ エンジニア向け学習プログラムの一部です。この学習プログラムの他のスキルバッジを獲得済みの場合は、他の 20 以上の登録可能なスキルバッジを Google Cloud Skills Boost カタログで検索してみてください。

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2024 年 4 月 2 日

マニュアルの最終テスト日: 2023 年 11 月 8 日

Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。