arrow_back

Sécuriser des machines virtuelles avec BeyondCorp Enterprise (BCE)

Se connecter Rejoindre
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Sécuriser des machines virtuelles avec BeyondCorp Enterprise (BCE)

Lab 1 heure 30 minutes universal_currency_alt 5 crédits show_chart Intermédiaire
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP1036

Google Cloud – Ateliers adaptés au rythme de chacun

Présentation

Dans cet atelier, vous allez apprendre à utiliser BeyondCorp Enterprise (BCE) et le transfert TCP Identity-Aware Proxy (IAP) pour activer l'accès administrateur aux instances de VM qui n'ont pas d'adresse IP externe ou ne permettent pas un accès direct à Internet.

Points abordés

  • Activer le transfert TCP IAP dans votre projet Google Cloud
  • Tester la connectivité à vos instances Linux et Windows
  • Configurer les règles de pare-feu requises pour BCE
  • Accorder des autorisations pour l'utilisation du transfert TCP IAP
  • Mettre en place la tunnelisation à l'aide des connexions SSH et RDP

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

  • vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;
Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le temporaire étudiant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.
  • vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Démarrer l'atelier et se connecter à la console Google Cloud

  1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

    • Le bouton Ouvrir la console Google
    • Le temps restant
    • Les identifiants temporaires que vous devez utiliser pour cet atelier
    • Des informations complémentaires vous permettant d'effectuer l'atelier

  2. Cliquez sur Ouvrir la console Google. L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

    Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

    Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

  3. Si nécessaire, copiez le nom d'utilisateur inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue Se connecter. Cliquez sur Suivant.

  4. Copiez le mot de passe inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue de bienvenue. Cliquez sur Suivant.

    Important : Vous devez utiliser les identifiants fournis dans le panneau de gauche. Ne saisissez pas vos identifiants Google Cloud Skills Boost. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

  5. Accédez aux pages suivantes :

    • Acceptez les conditions d'utilisation.
    • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
    • Ne vous inscrivez pas aux essais offerts.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Vous pouvez afficher le menu qui contient la liste des produits et services Google Cloud en cliquant sur le menu de navigation en haut à gauche. Icône du menu de navigation

Vous devez disposer d'un client RDP préinstallé qui vous servira à connecter et tester vos instances Windows.

Tâche 1 : Activer le transfert TCP IAP dans votre projet Google Cloud

  1. Ouvrez le menu de navigation et sélectionnez API et services > Bibliothèque.

  2. Recherchez IAP et sélectionnez API Cloud Identity-Aware Proxy.

  3. Cliquez sur Activer.

API Cloud Identity-Aware Proxy

Tâche 2 : Créer des instances Linux et Windows

Créez trois instances pour cet atelier : - Deux à titre de démonstration (Linux et Windows) - Une pour tester la connectivité (Windows)

Instance Linux

  1. Ouvrez le menu de navigation, puis sélectionnez Compute Engine.

  2. Cliquez sur Créer une instance et utilisez la configuration suivante pour créer la VM. Conservez les autres valeurs par défaut.

  • Nom : linux-iap
  • Zone :

  1. Cliquez sur Options avancées et sélectionnez Mise en réseau. Sous interfaces réseau, cliquez sur le réseau par défaut pour le modifier. Ensuite, remplacez l'adresse IPV4 externe par Aucune.

  2. Cliquez sur OK.

    Remplissage des champs de l'interface réseau

  3. Ensuite, cliquez sur Créer. Cette VM sera appelée linux-iap.

Instances Windows

  1. Pour créer la VM de démonstration Windows, cliquez sur Créer une instance et utilisez la configuration suivante pour créer la VM. Conservez les autres valeurs par défaut.
  • Nom : windows-iap
  • Zone :
  • Dans la section disque de démarrage, cliquez sur Modifier.

  1. Pour l'OS, sélectionnez les options suivantes :

    • Images publiques > Système d'exploitation > Windows Server
    • Version > Windows Server 2016 Datacenter

    Sélection de la version Windows

  2. Cliquez sur Sélectionner.

  3. Cliquez sur Options avancées et sélectionnez Mise en réseau. Sous interfaces réseau, cliquez sur le réseau par défaut pour le modifier. Ensuite, remplacez l'adresse IPV4 externe par Aucune. Cliquez sur OK.

  4. Ensuite, cliquez sur Créer. Cette VM sera appelée windows-iap.

  5. Pour créer la VM de connectivité Windows, cliquez sur Créer une instance et utilisez la configuration suivante pour créer la VM. Conservez les autres valeurs par défaut.

  • Nom : windows-connectivity
  • Zone :
  • Dans la section disque de démarrage, cliquez sur Modifier.

  1. Pour l'OS, définissez les valeurs suivantes dans l'onglet Images personnalisées :

    • Projet source pour les images : Qwiklabs Resources
    • Image : iap-desktop-v001

  2. Cliquez sur Sélectionner.

  3. Pour les niveaux d'accès, sélectionnez Autoriser l'accès complet à l'ensemble des API Cloud.

    Ne désactivez pas l'adresse IP externe pour cette instance.

  4. Ensuite, cliquez sur Créer. Cette VM sera appelée windows-connectivity.

Vérifier que les trois instances ont bien été créées.

Tâche 3 : Tester la connectivité à vos instances Linux et Windows

  1. Maintenant que les instances sont créées, vous allez tester l'accès à linux-iap et windows-iap afin de confirmer qu'il est impossible d'y accéder sans adresse IP externe.

  2. Pour l'instance linux-iap, cliquez sur le bouton SSH pour accéder à la machine et vérifiez que vous recevez un message semblable à celui-ci :

    Échec de la connexion Linux

  3. Pour l'instance windows-iap, cliquez sur le bouton RDP et vérifiez que vous recevez un message semblable à celui-ci :

    Échec de la connexion Windows

Lors des prochaines étapes de configuration et d'utilisation d'IAP, vous pourrez vous connecter aux instances sans adresse IP externe.

Tâche 4 : Configurer les règles de pare-feu requises pour BCE

  1. Ouvrez le menu de navigation, sélectionnez Réseau VPC > Pare-feu, puis cliquez sur Créer une règle de pare-feu.

  2. Configurez les paramètres suivants :

Champ Paramètre
Nom allow-ingress-from-iap
Sens du trafic Entrée
Cible Toutes les instances du réseau
Filtre source Plages IPv4
Plages IPv4 sources 35.235.240.0/20
Protocoles et ports Sélectionnez TCP et saisissez 22 et 3389 pour autoriser respectivement SSH et RDP.
  1. Cliquez sur CRÉER pour créer la règle de pare-feu.
Vérifier que les règles de pare-feu ont bien été créées.

Tâche 5 : Accorder des autorisations pour l'utilisation du transfert TCP IAP

Suivez ces étapes pour configurer le rôle iap.tunnelResourceAccessor pour chaque VM.

  1. Ouvrez le menu de navigation, sélectionnez Sécurité > Identity-Aware Proxy et accédez à l'onglet Ressources SSH et TCP (vous pouvez ignorer l'écran de consentement OAuth dans la section HTTPS).
  2. Sélectionnez les instances de VM linux-iap et windows-iap.
  3. Cliquez sur Ajouter un compte principal, puis saisissez le compte de service associé à votre VM de connectivité Windows. Il doit se présenter sous la forme -compute@developer.gserviceaccount.com.
  4. Définissez le rôle en sélectionnant Cloud IAP > Utilisateur de tunnels sécurisés par IAP.
  5. Cliquez sur ENREGISTRER.
  6. En haut à droite de la page, cliquez sur l'icône "S" pour ouvrir votre profil et copier l'adresse e-mail du compte étudiant.
  7. Cliquez à nouveau sur Ajouter un compte principal pour ajouter votre compte étudiant.
  8. Saisissez le compte étudiant. Vous pouvez copier cette valeur depuis le volet "Détails concernant l'atelier".
  9. Définissez le rôle en sélectionnant Cloud IAP > Utilisateur de tunnels sécurisés par IAP.
  10. Cliquez sur ENREGISTRER.
Le rôle d'utilisateur de tunnels sécurisés par IAP permet à l'instance windows-connectivity de se connecter aux ressources à l'aide d'IAP. Le compte étudiant vous servira à vérifier que cette étape s'est déroulée correctement.

Ajouter des comptes principaux

Vérifier que les rôles IAM ont bien été définis pour le compte de service.

Tâche 5 : Utiliser IAP Desktop pour se connecter aux instances Windows et Linux

Il est possible d'utiliser IAP Desktop pour se connecter aux instances par le biais de l'interface utilisateur graphique d'une instance équipée d'un bureau Windows. Pour en savoir plus sur IAP Desktop, consultez la page du dépôt GitHub où est hébergé l'outil téléchargeable.

Suivez ces étapes pour vous connecter aux instances de cet atelier à l'aide d'IAP Desktop :

  1. Établissez la connexion RDP à l'instance windows-connectivity en téléchargeant le fichier RDP. Accédez à la page Compute Engine > Instances de VM. Sur la page de destination Compute Engine, cliquez sur la flèche vers le bas à côté de l'instance windows-connectivity et téléchargez le fichier.

  2. Ouvrez le fichier RDP pour connecter l'instance via Remote Desktop Protocol. Utilisez les identifiants ci-dessous pour vous connecter à l'instance lorsque vous y êtes invité :

  • Nom d'utilisateur : student
  • Mot de passe : Learn123!

  1. Une fois connecté à l'instance windows-connectivity, recherchez l'application IAP Desktop et ouvrez-la sur le bureau de l'instance.

  2. Dans l'application, cliquez sur le bouton "Se connecter avec Google" pour vous connecter. Utilisez le nom d'utilisateur et le mot de passe fournis dans la console d'atelier pour vous authentifier dans IAP Desktop. Veillez à bien sélectionner l'option "Afficher, modifier, configurer et supprimer les données Google Cloud".

oauth_permissions.png

  1. Vous devrez ajouter le projet que vous souhaitez connecter aux instances Compute Engine dans IAP Desktop après votre authentification. Sélectionnez le projet d'atelier associé à votre instance d'atelier.

add_project.png

Double-cliquez sur l'instance windows-iap dans l'application IAP Desktop pour vous connecter à l'instance.

  1. Vous serez peut-être invité à fournir des identifiants à l'instance lors de la toute première connexion via IAP Desktop. Sélectionnez "Générer de nouveaux identifiants" la première fois que vous vous connectez à l'instance.

credentials.png

  1. Une fois les identifiants créés, vous accéderez au bureau de l'instance windows-iap où vous pourrez voir l'expérience de l'utilisateur final.

windows_iap.png

Tâche 6 : Mettre en place la tunnelisation à l'aide des connexions SSH et RDP

  1. Vous allez tester la connectivité à l'instance RDP à l'aide d'un client RDP. Vous devez vous connecter à l'instance localement via un tunnel IAP.

  2. Accédez à la page Compute Engine > Instances de VM.

  3. Pour l'instance windows-connectivity, cliquez sur la flèche vers le bas et sélectionnez Définir un mot de passe Windows. Copiez le mot de passe et enregistrez-le.

Ensuite, cliquez sur la flèche vers le bas à côté de "Connexion", puis sur "Télécharger le fichier RDP". Ouvrez le fichier RDP dans votre client et saisissez votre mot de passe.

  1. Une fois connecté à l'instance windows-connectivity, ouvrez le SDK Google Cloud Shell :
Icône Google Cloud SDK Shell sur le bureau

Dans la ligne de commande, saisissez la commande suivante et essayez de vous connecter à l'instance linux-iap :

gcloud compute ssh linux-iap

Appuyez sur Y lorsque vous êtes invité à continuer et à sélectionner la zone.

Veillez à sélectionner la bonne zone pour l'instance lorsque vous y êtes invité.

Ensuite, acceptez l'alerte de sécurité PuTTY.

Vous devriez recevoir un message indiquant qu'aucune adresse IP externe n'a été trouvée et que la tunnelisation IAP sera utilisée.

Sortie illustrant qu'aucune adresse IP externe n'a été trouvée

Mettez à jour les paramètres PuTTY afin d'autoriser les connexions par tunnel localement. Cliquez en haut à gauche de la fenêtre PuTTY > Modifier les paramètres.

Paramètres PuTTY

Autorisez les connexions provenant d'autres hôtes sur les ports locaux en cochant la case "Local ports accept connections from other hosts" (Accepter les connexions à partir d'autres hôtes sur les ports locaux). Paramètres des tunnels

  1. Quittez la session PuTTY et cliquez sur Apply (Appliquer). Créez un tunnel chiffré vers le port RDP de l'instance de VM en utilisant la commande suivante :
gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

Lorsque vous voyez le message "Listening on port [XXX]", copiez le numéro de port du tunnel.

  1. Revenez à la console Google Cloud et accédez à la page Compute Engine > Instances de VM.

Définissez le mot de passe pour l'instance windows-iap et copiez-le.

Revenez à la session RDP.

Laissez gcloud s'exécuter et ouvrez l'application Microsoft Windows Remote Desktop Connection.

Saisissez le point de terminaison du tunnel, qui correspond au numéro de port du tunnel de l'étape précédente, comme ceci :

  • localhost:point de terminaison

    6

Cliquez sur Connect (Se connecter).

Saisissez ensuite les identifiants que vous avez copiés précédemment. Vous devriez désormais être connecté à votre instance.

Cliquez sur Yes (Oui) si vous y êtes invité.

Page de l'instance RDP Windows 10

Vous avez réussi à accéder à l'instance même sans adresse IP externe en utilisant IAP. Vérifier que la VM est accessible via le compte de service avec IAP actif. Félicitations ! Vous avez réussi à vous connecter aux deux instances à l'aide d'IAP.

Félicitations

Vous avez appris à utiliser BeyondCorp Enterprise (BCE) et le transfert TCP Identity-Aware Proxy (IAP) en déployant deux VM sans adresse IP externe, windows-iap et linux-iap, mais aussi à configurer un tunnel IAP vous permettant d'accéder aux deux instances à l'aide d'une troisième VM, windows-connectivity.

Étapes suivantes et informations supplémentaires

  • Pour en savoir plus sur BeyondCorp Enterprise (BCE) et le modèle de sécurité zéro confiance, consultez ce site de documentation cloud.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 16 avril 2024

Dernier test de l'atelier : 5 décembre 2023

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.