Punkty kontrolne
Remove the overly permissive rules
/ 10
Start the bastion host instance
/ 10
Create a firewall rule that allows SSH (tcp/22) from the IAP service and add network tag on bastion
/ 20
Create a firewall rule that allows traffic on HTTP (tcp/80) to any address and add network tag on juice-shop
/ 20
Create a firewall rule that allows traffic on SSH (tcp/22) from acme-mgmt-subnet network address and add network tag on juice-shop
/ 20
SSH to bastion host via IAP and juice-shop via bastion
/ 20
Budowanie bezpiecznej sieci Google Cloud: Challenge Lab
GSP322
Wstęp
W Challenge Lab (module-wyzwaniu) otrzymasz scenariusz i zestaw zadań. Zamiast instrukcji krok po kroku użyjesz umiejętności zdobytych w poszczególnych modułach szkolenia, rozwiązując zadania samodzielnie. Automatyczny system oceniania (widoczny na tej stronie) poinformuje Cię, czy zadanie zostało wykonane poprawnie.
W Challenge Lab nie będziemy uczyć Cię nowych pojęć związanych z Google Cloud. Musisz za to poszerzyć nabyte umiejętności, takie jak zmiana domyślnych wartości oraz czytanie i analizowanie komunikatów o błędach, po to, by naprawiać popełnione przez siebie błędy.
Aby zdobyć 100% punktów, musisz ukończyć wszystkie zadania w określonym czasie.
Ten moduł przeznaczony jest dla użytkowników zapisanych na szkolenie Build a Secure Google Cloud Network, które pozwala zdobyć odznakę umiejętności. Podejmujesz się wyzwania?
Konfiguracja
Zanim klikniesz przycisk Rozpocznij moduł
Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.
W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.
Do ukończenia modułu potrzebne będą:
- dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).
- Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.
Scenariusz
Jan, który prowadzi niewielką lokalną firmę (sklep Juiceshop), zatrudnia Cię, bo potrzebuje konsultacji w sprawach bezpieczeństwa przy bijącej rekordy popularności stronie internetowej swojej firmy. Jan nie ma doświadczenia w Google Cloud, a stronę zakładał syn jego sąsiadów – wyjechał później na studia, ale najpierw upewnił się, że strona działa.
Oto bieżąca konfiguracja:
Twoje wyzwanie
Musisz utworzyć odpowiednią konfigurację zabezpieczeń dla strony Jana. Pierwszym wyzwaniem będzie ustawienie reguł zapory sieciowej i tagów maszyny wirtualnej. Musisz także sprawdzić, czy dostęp SSH do bastionu jest możliwy tylko przez IAP.
W kontekście reguł zapory sieciowej sprawdź, czy:
- bastion nie ma publicznego adresu IP,
- dostęp do bastionu możliwy jest tylko przez SSH i z włączoną funkcją IAP,
- dostęp SSH do strony
juice-shopmożliwy jest tylko przez bastion, - dostęp zewnętrzny dla strony
juice-shopmożliwy jest tylko przez HTTP.
Porady i wskazówki:
- Zwróć szczególną uwagę na tagi sieciowe i powiązane reguły zapory sieciowej VPC.
- Dokładność to klucz – ogranicz zakresy źródłowe w regułach zapory sieciowej VPC.
- Ustawienia przepuszczające zbyt szeroki zakres nie zostaną zaliczone.
Sugerowana kolejność działań
- Sprawdź reguły zapory sieciowej. Usuń ustawienia przepuszczające zbyt szeroki zakres.
- W Cloud Console przejdź do Compute Engine i znajdź bastion. Instancja powinna być zatrzymana. Uruchom instancję.
- Ruch zewnętrzny może trafiać przez SSH tylko do bastionu. Utwórz regułę zapory sieciowej, która zezwala na dostęp SSH (tcp/22) z usługi IAP. Reguła zapory sieciowej musi być włączona dla instancji bastionu używającej tagu sieciowego
.
- Serwer
juice-shopobsługuje ruch HTTP. Utwórz regułę zapory sieciowej zezwalającą na ruch HTTP (tcp/80) dla dowolnego adresu. W przypadku instancji juice-shop reguła zapory sieciowej musi zostać włączona za pomocą tagu sieciowego.
- Musisz połączyć się z
juice-shopz bastionu przez SSH. Utwórz regułę zapory sieciowej zezwalającą na ruch przez SSH (tcp/22) z adresu sieciowegoacme-mgmt-subnet. W przypadku instancjijuice-shopreguła zapory sieciowej musi zostać włączona za pomocą tagu sieciowego.
- Na stronie instancji Compute Engine kliknij przycisk SSH dla bastionu. Po nawiązaniu połączenia połącz się przez SSH z
juice-shop.
Gratulacje!
Udało Ci się ukończyć Challenge Lab i pomóc Janowi w załataniu luk bezpieczeństwa.
Kolejne kroki / Więcej informacji
Ta odznaka umiejętności jest częścią ścieżek szkoleniowych Network Engineer i Security Engineer w Google Cloud. Jeśli udało Ci się już zdobyć pozostałe odznaki umiejętności dostępne w tej ścieżce szkoleniowej, sprawdź katalog Google Cloud Skills Boost, w którym czeka na Ciebie jeszcze ponad 20 takich odznak.
Szkolenia i certyfikaty Google Cloud
…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.
Ostatnia aktualizacja instrukcji: 2 kwietnia 2024 r.
Ostatni test instrukcji: 8 listopada 2023 r.
Copyright 2024 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.
