arrow_back

Build a Secure Google Cloud Network:挑戰研究室

登录 加入
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

Build a Secure Google Cloud Network:挑戰研究室

实验 1 小时 universal_currency_alt 5 积分 show_chart 中级
info 此实验可能会提供 AI 工具来支持您学习。
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

GSP322

Google Cloud 自修研究室標誌

引言

在挑戰研究室中,您會在特定情境下完成一系列任務。挑戰研究室不會提供逐步說明,您將運用從課程研究室學到的技巧,自行找出方法完成任務!自動評分系統 (如本頁所示) 將根據您是否正確完成任務來提供意見回饋。

在您完成任務的期間,挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧,例如變更預設值或詳讀並研究錯誤訊息,解決遇到的問題。

若想滿分達標,就必須在時限內成功完成所有任務!

這個研究室適合已參加 Build a Secure Google Cloud Network 技能徽章課程的學員。準備好迎接挑戰了嗎?

設定

點選「Start Lab」按鈕前的須知事項

請詳閱以下操作說明。研究室活動會計時,而且中途無法暫停。點選「Start Lab」 後就會開始計時,讓您瞭解有多少時間可以使用 Google Cloud 資源。

您將在真正的雲端環境中完成實作研究室活動,而不是在模擬或示範環境。為達此目的,我們會提供新的暫時憑證,讓您用來在研究室活動期間登入及存取 Google Cloud。

如要完成這個研究室活動,請先確認:

  • 您可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
注意:請使用無痕模式或私密瀏覽視窗執行此研究室。這可以防止個人帳戶和學生帳戶之間的衝突,避免個人帳戶產生額外費用。
  • 是時候完成研究室活動了!別忘了,活動一開始將無法暫停。
注意:如果您擁有個人 Google Cloud 帳戶或專案,請勿用於本研究室,以免產生額外費用。

挑戰情境

您是 Jeff 聘請的資安顧問,他在當地有一間小公司,想請您幫他架設非常完善的網站 (juiceshop)。Jeff 剛接觸 Google Cloud,並讓鄰居的兒子建立了網站雛形。對方上大學後無法繼續作業,但離開前已確保網站能正常運作。

以下為目前的設定:

目前的 Google Cloud 環境

您的挑戰

您需要為 Jeff 的網站建立合適的安全性設定。第一項挑戰是設定防火牆規則和虛擬機器標記。您也需要確保只能透過 IAP 使用 SSH 連至防禦主機。

關於防火牆規則,請確認:

  • 防禦主機沒有公開的 IP 位址。
  • 您只能透過 IAP 使用 SSH 連至防禦主機。
  • 您只能透過使用 SSH 從防禦主機連至 juice-shop
  • 外界僅能透過 HTTP 向 juice-shop 提出請求。

提示與秘訣:

  • 密切注意網路標記和關聯的虛擬私有雲防火牆規則。
  • 指定並限制虛擬私有雲防火牆規則來源範圍的大小。
  • 過於寬鬆的權限不會標為正確。

要設定的 Google Cloud 環境

建議的行動順序

  1. 檢查防火牆規則。移除過於寬鬆的規則。
移除過於寬鬆的規則
  1. 前往 Cloud 控制台中的 Compute Engine 找出防禦主機。應停止執行個體,然後重新執行個體。
啟動防禦主機執行個體
  1. 防禦主機經過授權,可接收外部 SSH 流量。建立防火牆規則,允許來自 IAP 服務的 SSH (tcp/22) 流量。必須啟用防火牆規則,讓防禦主機執行個體使用 網路標記。
建立防火牆規則,允許來自 IAP 服務的 SSH (tcp/22) 流量,並在防禦主機上新增網路標記
  1. juice-shop 伺服器透過 HTTP 提供流量。建立防火牆規則,允許傳送到任何位址的 HTTP (tcp/80) 流量。必須啟用防火牆規則,讓 juice-shop 執行個體使用 網路標記。
建立防火牆規則,允許傳送至任何位址的 HTTP (tcp/80) 流量,並在 juice-shop 上新增網路標記
  1. 您需要使用 SSH 從防禦主機連至 juice-shop。建立防火牆規則,允許來自 acme-mgmt-subnet 網路位址的 SSH (tcp/22) 流量。必須啟用防火牆規則,讓 juice-shop 執行個體使用 網路標記。
建立防火牆規則,允許來自 acme-mgmt-subnet 的 SSH (tcp/22) 流量
  1. 在「Compute Engine 執行個體」頁面,點選防禦主機的 SSH 按鈕,系統就會使用 SSH 連至 juice-shop
提示:如果電腦 SSH 連線或 IAP 通道有問題,請使用 --troubleshoot 旗標。 透過 IAP 使用 SSH 連至防禦主機,並從防禦主機連至 juice-shop

恭喜!

您已完成挑戰研究室並幫助 Jeff 提升安全性。

「Build a Secure Google Cloud Network」技能徽章

後續步驟/瞭解詳情

這個技能徽章課程是 Google Cloud 的網路工程師資安工程師學習路徑的一部分。如果您已完成路徑中其他技能徽章課程,歡迎瀏覽 Google Cloud Skills Boost 目錄,找出其他可參加的課程,共有超過 20 堂可供學習。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期:2024 年 4 月 2 日

研究室上次測試日期:2023 年 11 月 8 日

Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。

此内容目前不可用

一旦可用,我们会通过电子邮件告知您

太好了!

一旦可用,我们会通过电子邮件告知您