Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
- On the top left of your screen, click Start lab to begin
检查点
Create a mute rule
/ 25
Create a network
/ 25
Update the firewall rules
/ 50
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
欢迎加入我们的社区,一起测试和分享您的知识!
Security Command Center 使用入门
欢迎加入我们的社区,一起测试和分享您的知识!
GSP1124
概览
Security Command Center (SCC) 是一个安全监控平台,可帮助用户实现以下目的:
- 发现 Google Cloud 资源中与安全性相关的错误配置。
- 报告 Google Cloud 环境中的活跃威胁。
- 修复跨 Google Cloud 资产的漏洞。
在本实验中,您将探索 Security Command Center 的界面、配置和漏洞发现结果,以初步了解该服务。
目标
在本实验中,您将学习如何执行以下任务:
- 探索 SCC 界面元素。
- 在项目级别配置 SCC 设置。
- 分析 SCC 中的漏洞发现结果并修复漏洞。
前提条件
建议您在开始本实验之前熟悉以下内容,但并不强制要求:
- 云计算概念。
- Google Cloud 控制台。
- 发现结果的严重级别分类。
设置和要求
点击“开始实验”按钮前的注意事项
请阅读以下说明。实验是计时的,并且您无法暂停实验。计时器在您点击开始实验后即开始计时,显示 Google Cloud 资源可供您使用多长时间。
此实操实验可让您在真实的云环境中开展实验活动,免受模拟或演示环境的局限。我们会为您提供新的临时凭据,让您可以在实验规定的时间内用来登录和访问 Google Cloud。
为完成此实验,您需要:
- 能够使用标准的互联网浏览器(建议使用 Chrome 浏览器)。
- 完成实验的时间 - 请注意,实验开始后无法暂停。
如何开始实验并登录 Google Cloud 控制台
-
点击开始实验按钮。如果该实验需要付费,系统会打开一个弹出式窗口供您选择付款方式。左侧是实验详细信息面板,其中包含以下各项:
- 打开 Google Cloud 控制台按钮
- 剩余时间
- 进行该实验时必须使用的临时凭据
- 帮助您逐步完成本实验所需的其他信息(如果需要)
-
点击打开 Google Cloud 控制台(如果您使用的是 Chrome 浏览器,请右键点击并选择在无痕式窗口中打开链接)。
该实验会启动资源并打开另一个标签页,显示登录页面。
提示:请将这些标签页安排在不同的窗口中,并将它们并排显示。
注意:如果您看见选择账号对话框,请点击使用其他账号。 -
如有必要,请复制下方的用户名,然后将其粘贴到登录对话框中。
{{{user_0.username | "<用户名>"}}} 您也可以在实验详细信息面板中找到用户名。
-
点击下一步。
-
复制下面的密码,然后将其粘贴到欢迎对话框中。
{{{user_0.password | "<密码>"}}} 您也可以在实验详细信息面板中找到密码。
-
点击下一步。
重要提示:您必须使用实验提供的凭据。请勿使用您的 Google Cloud 账号凭据。 注意:在本次实验中使用您自己的 Google Cloud 账号可能会产生额外费用。 -
继续在后续页面中点击以完成相应操作:
- 接受条款及条件。
- 由于该账号为临时账号,请勿添加账号恢复选项或双重验证。
- 请勿注册免费试用。
片刻之后,系统会在此标签页中打开 Google Cloud 控制台。
激活 Cloud Shell
Cloud Shell 是一种装有开发者工具的虚拟机。它提供了一个永久性的 5GB 主目录,并且在 Google Cloud 上运行。Cloud Shell 提供可用于访问您的 Google Cloud 资源的命令行工具。
- 点击 Google Cloud 控制台顶部的激活 Cloud Shell
。
如果您连接成功,即表示您已通过身份验证,且当前项目会被设为您的 PROJECT_ID 环境变量所指的项目。输出内容中有一行说明了此会话的 PROJECT_ID:
gcloud 是 Google Cloud 的命令行工具。它已预先安装在 Cloud Shell 上,且支持 Tab 自动补全功能。
- (可选)您可以通过此命令列出活跃账号名称:
-
点击授权。
-
现在,输出的内容应如下所示:
输出:
- (可选)您可以通过此命令列出项目 ID:
输出:
输出示例:
gcloud, in Google Cloud, refer to the gcloud CLI overview guide.
场景
Cymbal Bank 是一家美国零售银行,拥有 2,000 多个分支机构,遍布美国的 50 个州。它提供综合性借贷服务,这些服务在一个稳健的付款平台上运营。Cymbal Bank 是一家正在经历数字化转型的传统金融服务机构。
Cymbal Bank 成立于 1920 年,原名为 Troxler。在 Troxler 大力投资了 Cymbal Group 拥有的 ATM 后,Cymbal Group 于 1975 年收购了该公司。随着该银行发展成为美国的领先银行,他们制定了以实现客户体验现代化为重心的战略,范围包括在分支机构中的线下体验,以及银行于 2014 年发布的应用中的数字体验。Cymbal Bank 在全美有 42,000 名员工。据报道,其 2019 年的收入为 240 亿美元。
Cymbal Bank 有意集成一个集中式安全监控平台,帮助监控公司银行应用中各个 Google Cloud 资源面临的威胁并修复漏洞。作为一名云安全工程师,您需要了解 Security Command Center 的先进功能,以便制作演示文稿来向首席技术官介绍该服务的优势。
任务 1. 探索 SCC 界面元素
在此任务中,您将探索 Security Command Center (SCC) 界面,了解该服务的主要功能。
- 在 Cloud 控制台的导航菜单 (
) 中,依次选择安全 > 风险概览。
- 在风险概览页面上,向下滚动,分别查看新威胁数随时间的变化情况和漏洞数(按资源类型)信息面板。
威胁和漏洞是两种不同类型的发现结果。SCC 使用这些发现结果对环境中的安全问题进行分类和报告。如需详细了解发现结果类别,请参阅发现结果类别文档。
- 威胁信息让 Google Cloud 用户可以知道其 Google Cloud 环境中当前发生的可疑活动,例如某个服务账号对自身的权限进行调查。
- 漏洞信息与资源的错误配置或漏洞相关,例如 TCP 端口打开或虚拟机上运行的库已过时。
“发现结果”是 SCC 生成的记录,可在 Security Command Center 信息中心提供关于漏洞或威胁数据的详细信息。
- 在新威胁数随时间的变化情况卡片上,点击发现结果(按资源类型)标签页。
此卡片枚举一段时间内(具体时间由信息面板右侧的“时间范围”下拉菜单决定)项目中发生且目前仍处于活跃状态的威胁。
默认情况下,“时间范围”下拉菜单会显示过去 7 天中出现的所有威胁,但您可以查看过去 180 天内发生的所有威胁。
- 从时间范围选择器中,选择过去 180 天。
- 向下滚动至漏洞数(按资源类型)卡片。
应该列出大约 80 个活跃漏洞。
这些发现结果中的大部分都是因使用默认的 VPC 网络而生成的,因为在本实验中,此网络本身的设计并不安全。例如,它包含允许从任意 IP 地址进行 SSH 和 RDP 访问的防火墙规则。
-
现在向下滚动到活跃漏洞卡片。
-
如果发现结果(按类别)标签页未默认选中,请点击该标签页。
这会显示环境中的漏洞,按漏洞的不同类别及其严重级别整理。“严重级别”是发现结果的一个属性,有助于预估问题会给 Google Cloud 环境带来的潜在风险。
严重级别无法更改,每种发现结果都具有由 SCC 预先决定的严重级别。下面列出了不同类型的严重级别及其常见示例:
- 严重 - 例如,从 GKE Pod 内部启动了反向 shell 会话。
- 高 - 例如,SSH 端口向整个互联网 (0.0.0.0/0) 开放;
- 中 - 例如,向某用户或服务账号授予了原初 IAM 角色 (Owner/Editor/Viewer)。
- 低 - 例如,未收集 VPC 流日志。
- 未指定 - 可能出现在 SCC 中,但不常见。
发现结果严重级别页面上介绍了有关 SCC 如何设置发现结果严重级别的详细标准。
- 现在点击发现结果(按资源类型)标签页。这将显示按不同类型的可用 Google Cloud 资源分类的漏洞。
- 最后,点击发现结果(按项目)标签页。如果您在文件夹或组织根节点级别使用 SCC,此标签页会很有用。
- 在安全门户中(从导航菜单 [
| SCC 部分 | 说明 |
|---|---|
| 风险概览 | 此标签页显示环境中的漏洞,按漏洞的不同类别及严重级别整理。 |
| 威胁 | 利用此标签页,您可以一目了然地查看 SCC 中分类为威胁的发现结果。部分示例包括:成功实施了暴力破解:SSH 攻击;计算资源上正在运行加密货币挖矿软件(即执行:加密货币挖矿 YARA 规则);以及从 GKE 容器内部启动了反向 shell 会话。 |
| 漏洞 | 利用此标签页,您可以快速浏览当前范围内(项目内部、文件夹内部或组织内部)可能存在的所有软件错误配置或缺陷。这样,您可以更加精细地掌握漏洞情况,从而深入分析每个漏洞。部分漏洞示例包括:开放的 MySQL 端口对整个互联网开放;使用了原初角色(例如 Owner/Editor/Viewer 角色被分配给了某个用户或服务账号);以及网页或 Web 应用易受到 XSS 攻击。 |
| 法规遵从 | 此标签页显示有关您的项目对最重要的合规性标准(例如 CIS、PCI DSS、NIST 800-53 等)的遵从情况。 |
| 资产 | 此标签页包含来自 Cloud Asset Inventory 的资产信息;Cloud Asset Inventory 会持续监控云环境中的资产。 |
| 发现结果 | 利用此标签页可浏览 SCC 数据库中提供的所有发现结果。 |
| 来源 | 此标签页详细说明了软件模块,这些软件模块会读取日志文件并检查当前运行的进程,以分析 Google Cloud 资源的配置并监控当前的活动。 |
| 安全状况管理 | 在此标签页中,您可以使用 SCC 中的安全状况服务。如需了解详情,请参阅管理安全状况指南。 |
任务 2. 在项目级别配置 SCC 设置
在此任务中,您将了解如何在项目级别配置 SCC 设置。
-
点击风险概览页面右上角的设置。
-
确保您正位于服务标签页。
在此标签页中,您可以设置 SCC 的集成服务(也称为“来源”,是“SCC 的大脑”,您在上一项任务中了解过)的参数。在本实验中,术语“服务”与“来源”可互换使用。
服务会检测威胁和漏洞并向 SCC 提供相应信息。大多数服务仅在高级版 SCC 中可用,本实验预配了该版本。
以下是您可以配置的内置服务:
- Security Health Analytics (SHA) - 查找并报告资源的错误配置(停用了日志、额外的 IAM 权限、向大众公开的服务)。我们的项目目前已启用了此服务,它在项目中检测到了 76 个漏洞。
- Web Security Scanner (WSS) - 扫描通过外部 IP 地址公开的公共 Web 应用,并检查是否存在 OWASP 十大风险中列出的漏洞。
- Container Threat Detection (CTD) - 能够检测 Container Optimized OS 中最常见的容器运行时攻击。
- Event Threat Detection (ETD) - 提供基于日志的威胁分析服务,可持续监控 Google Cloud 和 Google Workspace 日志以扫描是否存在潜在威胁。
- Virtual Machine Threat Detection - 在 Hypervisor 级别分析虚拟机实例的内存,还能够检测虚拟机内存中发生的可疑活动。比如非预期的内核模块或运行中的加密货币挖矿软件。
-
点击 Security Health Analytics 的管理设置链接。
-
点击模块标签页。
“模块”是预定义或自定义的检测逻辑单元。如您所见,SCC 提供了许多种不同类型的模块,可帮助您检测资源的不同错误配置。您可以根据自己的安全状况和有意监控的资源,轻松地在 SCC 中启用和停用不同类型的模块。
-
在“过滤条件”字段中,输入
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED,然后按 Enter 键。 -
从状态下拉菜单中选择启用。
启用后,Security Health Analytics 会检查 VPC 子网的 enableFlowLogs 属性是否缺失或被设置为“false”。
现在您已熟悉了 Security Command Center 的不同服务以及如何配置这些服务,接下来可以了解如何使用 SCC 找出并修复漏洞。
任务 3. 分析 SCC 中的漏洞发现结果并修复漏洞
在此任务中,您将学习如何管理漏洞发现结果并缓解漏洞。
将发现结果标记为“非活跃”以更改其状态
- 从导航菜单 (
- 在左侧菜单中,点击发现结果标签页。
- 将右上角的时间范围选择器设置为所有时间。
- 在屏幕左上角,找到查询预览窗口,其中包含用于对所有可用发现结果进行排序的过滤条件。
默认情况下,发现结果标签页会显示状态为活跃的未忽略的发现结果。
每个发现结果都有“state”和“mute”两个属性,用于通过 SCC 中的各种过滤条件定义发现结果的可见性。
- 如果安全分析员不希望在 SCC 界面中看到不相关的干扰性发现结果,可以为发现结果设置 mute 值,或让系统自动设置此值。
- state 属性指示发现结果是需要关注并且尚未解决,还是已被修复或解决且不再活跃。
建议使用 mute 属性来管理发现结果生命周期和隐藏发现结果。更改 state 属性的操作通常由软件来源处理。
- 在快速过滤条件卡片上,选中默认网络类别对应的复选框。
-
请注意,查询预览中的查询字符串已更改(现在附加了
AND category="DEFAULT_NETWORK")。 -
在发现结果的查询结果部分,选中默认网络对应的复选框,然后依次选择更多操作 (
) > 更改活跃状态。
-
将此发现结果的状态设置为非活跃。
现在此发现结果已被设为非活跃并从屏幕中隐藏,因为默认情况下系统只会列出活跃且未被忽略的发现结果。
通过应用查询过滤发现结果的查询结果
- 您可以重置发现结果标签页视图。为此,请选择 SCC 标题下的风险概览,然后选择发现结果。
-
点击修改查询按钮。
-
将查询编辑器中的查询字符串更改为
category="DEFAULT_NETWORK"。 -
修改好后,点击应用按钮。
更改可能需要一两分钟才能生效。更改生效后,系统只会列出一条针对默认网络的发现结果。
在快速过滤条件下查看左侧的菜单,可以看到显示非活跃发现结果复选框已选中。SCC 让您可以灵活地搜索活跃或者非活跃发现结果。现在,您可以反转此发现结果的状态。
-
在发现结果的查询结果部分,选中默认网络对应的复选框,然后依次选择更多操作 (
-
将此发现结果的状态设置为活跃。
用户可以手动将发现结果设置为活跃或非活跃,但永远无法将其删除。仅当扫描程序在 13 个月的时间内未刷新某条发现结果时,系统才会自动将其删除。
如果安全扫描程序检查该发现结果时未检测到先前触发此发现结果的错误配置,会将其标记为非活跃。如果该漏洞仍存在于系统中,则此发现结果会保持活跃状态。
-
点击“快速过滤条件”旁边的全部清除按钮,重置“发现结果”标签页。
-
在查询预览窗口中,点击修改查询。
-
现在,复制并粘贴以下查询:
- 修改好后,点击应用按钮。
现在,系统会显示与子网相关的所有发现结果。在本实验中,默认的 VPC 网络是使用 --subnet-mode=auto 参数创建的,因此其所有子网均未启用专用 Google 访问通道,并且所有子网都不写入 VPC 流日志。
按类别过滤发现结果并将其忽略
如果在测试环境中工作,您有时可能需要隐藏某些发现结果。在本例中,您不希望看到此网络中有关专用 Google 访问通道的 SCC 发现结果,因此想要忽略这些发现结果。
-
在快速过滤条件窗口中,选择类别专用 Google 访问通道已停用。
-
在发现结果的查询结果窗格中,选中最上面的类别复选框,这样所有“专用 Google 访问通道已停用”发现结果都会被选中。
-
选择更多操作 (
-
在下拉菜单中,选择应用忽略替换项。此操作会忽略现有发现结果。
-
在左侧菜单中选择风险概览,然后选择发现结果,以重置发现结果视图。
请注意,专用 Google 访问通道已停用发现结果现在已被忽略,不会再显示。忽略是过滤 SCC 结果的一种有效方法,可让您精细地控制感兴趣的资源和发现结果。
创建忽略规则以隐藏某些发现结果
默认网络的另一个错误配置是该网络中的子网的 VPC 流日志也被停用了。由于是在测试环境中工作,您无需启用 VPC 流日志。
在这一部分,您将忽略与此类别相关的所有现有发现结果和未来发现结果。
- 在发现结果的查询结果窗口中,依次选择更多操作 (
- 点击创建忽略规则按钮。
这属于一次性操作,报告 PGA 已停用的新发现结果仍会出现在 SCC 中。 不过,如果您创建忽略规则,则可以有效地忽略所有的现有发现结果和新发现结果。
-
在新窗口中,输入一个 ID 为
muting-pga-findings的忽略规则。 -
对于忽略规则描述,请输入
Mute rule for VPC Flow Logs(针对 VPC 流日志的忽略规则)。 -
在发现结果查询过滤条件输入字段中,输入以下过滤条件:
- 点击保存按钮。
您应该会收到一条通知,说明已创建一条忽略规则。
点击检查我的进度,验证是否完成此目标。
-
现在,请从左侧菜单中选择发现结果,刷新 SCC 主信息中心。
确保您没有再收到任何专用 Google 访问通道已停用或流日志已停用发现结果。
创建其他 VPC 网络以测试发现结果忽略规则
在这一部分中,您将再创建一个具有自动配置的子网的网络,以测试最近对发现结果规则所做的修改。
- 打开一个新 Cloud Shell 会话 (
确保您收到的输出类似于以下内容。
输出:
点击检查我的进度,验证是否完成此目标。
-
验证以上信息后,关闭此 Cloud Shell 窗口。
-
刷新 SCC 发现结果窗口,可以看到有新的专用 Google 访问通道已停用发现结果,但是,没有与 VPC 流日志相关的发现结果(这是因为前面创建了忽略规则)。
虽然您针对 VPC 流日志创建了忽略规则,SCC 仍支持使用查询编辑器来查看它们。
-
点击修改查询按钮,然后粘贴以下内容以覆盖现有的查询过滤条件文本:
-
点击应用。
查看发现结果的查询结果窗口,您会发现,资源显示名称列中列出了“defaults”和“SCC-lab-net”这两个网络。
每页行数参数设置为 100。另请查看时间范围参数的值是否设置为所有时间。
-
在查询预览窗口中,点击修改查询。
-
现在,复制并粘贴以下查询以覆盖之前的查询文本:
-
修改好后,点击应用按钮。
这样会显示您之前忽略的发现结果。
调查严重级别为“高”的两个发现结果,并进行相应修复。
在这一部分中,您将调查严重级别为“高”的两个发现结果,并了解如何进行修复。
- 在快速过滤条件部分,向下滚动到严重级别类型,然后从严重级别选项列表中选择高。
您应该会看到两个发现结果:开放的 RDP 端口和开放的 SSH 端口。生成这两个结果的原因在于“default”网络包含的两条防火墙规则,它们允许从整个互联网向此网络中的所有实例传输 SSH 和 RDP 流量。
- 在发现结果的查询结果窗口中,点击开放的 RDP 端口发现结果。
系统会显示一个新窗口,其中包含关于问题本身的详细说明、受影响的资源列表以及可帮助您修复问题的“后续步骤”。
-
在后续步骤部分中,点击相应链接前往防火墙规则页面,此页面将在新的标签页中打开。
-
点击 default-allow-rdp 防火墙规则。
-
点击修改。
-
删除来源 IP 范围
0.0.0.0/0。 -
添加
35.235.240.0/20作为来源 IP 范围并按 Enter 键。
切勿更改任何其他参数!
-
点击保存。
-
保存之后,关闭您修改此防火墙规则的浏览器标签页。
-
刷新 SCC 发现结果浏览器标签页。
您现在应该只看到一条严重级别为高的发现结果,即开放的 SSH 端口。
更新防火墙规则,使发现结果不再显示
-
点击开放的 SSH 端口发现结果。
-
向下滚动到后续步骤部分,然后点击相应链接前往防火墙规则页面,此页面将在新的标签页中打开。
-
点击 default-allow-ssh 防火墙规则。
-
点击修改。
-
删除来源 IP 范围
0.0.0.0/0。 -
添加
35.235.240.0/20作为来源 IP 范围并按 Enter 键。切勿更改任何其他参数!
-
点击保存。
-
保存之后,关闭您修改此防火墙规则的浏览器标签页。
点击检查我的进度,验证是否完成此目标。
-
现在关闭有打开的发现结果说明的窗口,然后刷新浏览器窗口。
您应该看不到严重级别为高的发现结果。
恭喜!
通过本实验,您学习了如何探索 Security Command Center 界面元素、在项目级别配置 SCC 设置,以及分析和修复 SCC 漏洞。您还使用了 SCC 来找出并修复 Google Cloud 环境中的严重安全漏洞。
后续步骤/了解详情
Google Cloud 培训和认证
…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。
本手册的最后更新时间:2024 年 11 月 26 日
上次测试实验的时间:2024 年 4 月 29 日
版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。
