Informações gerais

O Gemini para Google Cloud atua como um colaborador de IA sempre ativo que ajuda usuários de todos os níveis de habilidade, onde eles precisam. Neste laboratório, você vai aprender a identificar e corrigir configurações de segurança incorretas no seu ambiente do Google Cloud usando os recursos do Gemini do Security Command Center.

Observação: a Duet AI agora é o Gemini, nosso modelo de última geração. Este laboratório foi atualizado para refletir essa mudança. Ao seguir as instruções dele, as referências à Duet AI na interface do usuário ou na documentação devem ser tratadas como referentes ao Gemini. Observação: como uma tecnologia em estágio inicial, o Gemini pode gerar uma saída plausível, mas que é factualmente incorreta. Recomendamos que você valide todas as saídas antes de usá-las. Para mais informações, consulte Gemini para o Google Cloud e IA responsável.

Objetivos

Neste laboratório, você vai aprender a:

• Ativar o Gemini em um projeto do Google Cloud
• Implantar exemplos de cargas de trabalho em um ambiente no Google Cloud
• Identificar configurações de segurança incorretas com o Gemini
• Corrigir configurações de segurança incorretas com o Gemini

Cenário

À medida que você monitora sua infraestrutura para buscar maneiras de melhorar sua postura de segurança, o Gemini pode ajudar a identificar mudanças na infraestrutura ou na configuração que evitem problemas no futuro.

Neste exemplo, suponha que você é um engenheiro de segurança de uma empresa de e-commerce que implanta regularmente clusters do Kubernetes gerenciados. Você precisa de uma maneira de ver se há configurações incorretas e quer instruções rápidas para corrigir esses problemas no seu ambiente de nuvem.

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período e sem custos financeiros.

1. Faça login no Qwiklabs em uma janela anônima.

2. Confira o tempo de acesso do laboratório (por exemplo, 1:15:00) e finalize todas as atividades nesse prazo.
   Não é possível pausar o laboratório. Você pode reiniciar o desafio, mas vai precisar refazer todas as etapas.

3. Quando tudo estiver pronto, clique em Começar o laboratório.

4. Anote as credenciais (Nome de usuário e Senha). É com elas que você vai fazer login no Console do Google Cloud.

5. Clique em Abrir Console do Google.

6. Clique em Usar outra conta, depois copie e cole as credenciais deste laboratório nos locais indicados.
   Se você usar outras credenciais, vai receber mensagens de erro ou cobranças.

7. Aceite os termos e pule a página de recursos de recuperação.

Tarefa 1: ativar o Gemini

Primeiro, você ativa o Gemini no seu projeto do Google Cloud e configura as permissões necessárias para a conta de usuário do Qwiklabs do Google Cloud.

1. Clique no ícone do Cloud Shell () na parte superior direita da barra de ferramentas do console do Google Cloud.

2. Para definir as variáveis de ambiente da região e do ID do projeto, execute os seguintes comandos:

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. Para armazenar a conta de usuário do Google que está conectada em uma variável de ambiente, execute o seguinte comando:

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. Clique em Autorizar se solicitado.

5. Ative a API Cloud AI Companion para o Gemini:

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Para usar o Gemini, conceda os papéis necessários do IAM à conta de usuário do Qwiklabs do Google Cloud:

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

Ao adicionar esses papéis, o usuário pode contar com o suporte do Gemini.

Clique em Verificar meu progresso para conferir a tarefa realizada. Ativar o Gemini

Tarefa 2: criar um cluster do GKE e implantar um app da Web

Agora, você vai criar um cluster do Google Kubernetes Engine (GKE) executando alguns microsserviços.

1. Execute o seguinte comando para criar um cluster do GKE chamado test:

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

Isso deve levar alguns minutos. Após a conclusão, o resultado será parecido com este:

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. Agora, clone um repositório que contém código para um app da Web:

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. Use o kubectl para implantar um conjunto de microsserviços para o cluster do GKE:

kubectl apply -f ./release/kubernetes-manifests.yaml

4. Após alguns minutos, execute o seguinte comando para obter o endereço IP público para acessar seu app da Web em um navegador:

kubectl get service frontend-external | awk '{print $4}'

5. Copie o endereço IP da saída do comando acima e cole em uma nova guia do navegador.

Deve aparecer um app da Web parecido com este:

Clique em Verificar meu progresso para conferir a tarefa realizada. Criar um cluster do GKE e implantar um app da Web

Tarefa 3: identificar configurações de segurança incorretas com o Gemini

Agora que você tem um cluster do GKE executando um app de e-commerce, pode identificar áreas de melhoria da postura de segurança com o Gemini.

1. Retorne à guia do console do Google Cloud.

2. Atualize a página do console do Google Cloud.

3. Minimize o painel do Cloud Shell.

4. Clique no ícone do Gemini () na parte superior direita da barra de ferramentas do console do Google Cloud.

5. Clique em Iniciar a conversa.

6. Insira o seguinte comando:

What services in Google Cloud can help me identify areas to improve security for a set of microservices running in a GKE cluster?

O Gemini deve dar uma resposta parecida com esta:

Há diversos serviços no Google Cloud que podem ajudar você a identificar áreas de melhoria da segurança para um conjunto de microsserviços em execução em um cluster do GKE. São eles:

• O Security Command Center pode ajudar você a identificar e priorizar riscos de segurança em seu ambiente do Google Cloud, incluindo clusters do GKE.
• O Inventário de recursos do Cloud pode ajudar você a rastrear e gerenciar seus recursos do Google Cloud, incluindo clusters do GKE.
• O Cloud Logging pode ajudar você a coletar e analisar logs dos clusters do GKE.
• O Cloud Monitoring pode ajudar você a monitorar o desempenho e a integridade dos clusters do GKE.

Esses são apenas alguns dos diversos serviços no Google Cloud que podem ajudar você a melhorar a segurança dos seus microsserviços. Ao usar esses serviços, você ajuda a proteger seus dados contra o acesso não autorizado e pode melhorar sua postura de segurança ao longo do tempo.

Nesse cenário, você decide que o Security Command Center parece um bom ponto de partida.

7. Abra o menu de navegação e selecione Segurança > Visão geral de riscos.

Com várias visualizações discutindo vulnerabilidades, você quer pedir ajuda ao Gemini para entender de modo geral o que é classificado como vulnerabilidade no Security Command Center.

8. Insira o seguinte comando:

How does Security Command Center define a vulnerability?

A resposta do Gemini precisa ser parecida com esta:

O Security Command Center define uma vulnerabilidade como uma falha ou fraqueza em um programa de software que um invasor poderia usar para ganhar acesso ou comprometer de outra forma seu ambiente do Google Cloud.

Fonte: https://cloud.google.com/security-command-center/docs/finding-classes

9. Clique no link da documentação para diferenciar melhor as classes das descobertas.

10. Depois de ler sobre elas, feche a guia e volte ao console do Google Cloud.

11. Clique em Descobertas na barra lateral do console do Google Cloud.

12. Para ver as descobertas do seu cluster do GKE, procure a seção "Filtros rápidos" e selecione Cluster do contêiner do Google em Tipo de recurso.

Você vai encontrar uma série de descobertas de gravidade média.

13. Clique na descoberta Criptografia de secrets no cluster desativada.

Na parte de cima do painel dessa descoberta, deve haver uma seção com o nome "Resumo gerado por IA", com um resumo do Gemini, parecido com este:

A Análise de integridade da segurança no Security Command Center identificou uma descoberta de gravidade MEDIUM do tipo CLUSTER_SECRETS_ENCRYPTION_DISABLED no google.container.Cluster chamado test...

Essa descoberta indica que o cluster não está com a criptografia de secrets na camada de aplicativos ativada. Isso significa que dados sensíveis, como secrets definidos pelo usuário e secrets necessários para a operação do cluster, como chaves de conta de serviço, estão armazenados no etcd em texto simples. Esse é um risco à segurança porque permite que um invasor tenha acesso ao etcd e possa ler esses secrets.

Para corrigir essa descoberta, é preciso ativar a criptografia de secrets na camada de aplicativos para o cluster. Para isso, acesse o console do Google Kubernetes Engine (GKE) e clique na guia Segurança. Na criptografia de secrets na camada de aplicativos, clique em Editar criptografia de secrets na camada de aplicativos. Marque a caixa de seleção "Criptografia de secrets na camada de aplicativos" e escolha uma chave de criptografia do banco de dados. Clique em Salvar alterações...

Esse resumo do Gemini foi expandido da descrição breve da descoberta, fornecendo uma descrição mais detalhada do problema com o armazenamento de secrets em texto simples e instruções sobre um caminho a seguir para corrigir essa descoberta.

14. Saia deste painel de informações.

15. Em seguida, clique na descoberta Por uma conta privilegiada e confira o resumo fornecido pelo Gemini, parecido com este:

A Análise de integridade da segurança no Security Command Center identificou uma descoberta de gravidade MEDIUM do tipo OVER_PRIVILEGED_ACCOUNT no google.container.Cluster chamado test...

A descoberta foi causada pelo fato de que o nó do GKE usa a conta de serviço padrão do Compute Engine, que tem amplo acesso por padrão e pode ser privilegiada para executar seu cluster do Kubernetes Engine.

Essa descoberta representa um risco porque a conta de serviço padrão do Compute Engine tem acesso a todos os recursos no projeto, incluindo o cluster do GKE. Se um invasor fosse acessar a conta de serviço, ele poderia acessar todos os recursos no projeto...

Esse resumo fornece uma documentação específica do Google sobre como corrigir a descoberta criando uma conta de serviço de privilégio mínimo para usar nos clusters do GKE.

16. Saia deste painel de informações.

17. Por fim, clique na descoberta Redes mestres autorizadas desativadas. O Gemini deve fornecer uma resposta no painel, parecida com esta:

A Análise de integridade da segurança no Security Command Center identificou uma descoberta de gravidade MEDIUM do tipo MASTER_AUTHORIZED_NETWORKS_DISABLED no google.container.Cluster chamado test...

Redes autorizadas do plano de controle melhoram a segurança do cluster de contêiner bloqueando o acesso de endereços IP especificados ao plano de controle do cluster.

Para corrigir essa descoberta, acesse o cluster do Kubernetes e clique em Editar. O botão de edição pode ser desativado se a configuração do cluster tiver mudado recentemente. Se você não puder editar as configurações do cluster, espere alguns minutos e tente de novo. Na lista suspensa "Redes autorizadas do plano de controle", selecione Ativada. Clique em Adicionar rede autorizada. Especifique as redes autorizadas que você quer usar. Clique em Salvar....

18. Saia deste painel de informações.

Agora que você já entendeu algumas das configurações de segurança incorretas no seu ambiente, você vai aproveitar as recomendações do Gemini para corrigi-las.

Tarefa 4: Corrigir uma configuração de segurança incorreta

Agora que você teve a chance de revisar várias áreas para começar a melhorar a segurança do seu cluster do GKE, pode corrigir a descoberta "Redes mestres autorizadas desativadas" usando as instruções fornecidas pelo resumo do Gemini no Security Command Center.

1. Abra o menu de navegação e selecione Kubernetes Engine > Clusters.

2. Clique no nome do cluster que você criou antes ("test").

3. Role para baixo até a seção Rede.

4. Clique no ícone de lápis ao lado de Redes autorizadas do plano de controle.

5. Marque a caixa ao lado de Ativar redes autorizadas do plano de controle.

6. Marque a caixa abaixo de Permitir acesso usando endereços IP públicos do Google Cloud.

7. Clique em Salvar.

8. Clique em Clusters na barra lateral.

O cluster vai sendo atualizado, conforme mostra o ícone de roda na seção "Status".

9. Durante as atualizações da política de rede para o plano de controle, abra o Gemini pela barra de ferramentas do console do Google Cloud.

10. Insira o seguinte comando:

How do control plane authorized networks work in GKE?

A resposta do Gemini precisa ser parecida com esta:

As redes autorizadas do plano de controle precisam que você restrinja o acesso ao plano de controle do cluster do GKE. Por padrão, o plano de controle pode ser acessado por qualquer endereço. No entanto, você pode adicionar uma ou mais redes autorizadas para restringir o acesso a apenas essas redes.

Para adicionar uma rede autorizada, acesse a página do Google Kubernetes Engine no console do Google Cloud. Clique no nome do cluster que você quer modificar. Em "Rede", no campo "Redes autorizadas do plano de controle", clique em "Editar redes autorizadas do plano de controle"...

A aplicação da política atualizada do plano de controle pode levar alguns minutos.

11. Quando aparecer uma marca de seleção verde na coluna Status, ao lado do seu cluster, você terá terminado de atualizar sua configuração de cluster.

Clique em Verificar meu progresso para conferir a tarefa realizada. Corrija uma configuração de segurança incorreta

Finalize o laboratório

Após terminar seu laboratório, clique em End Lab. O Qwiklabs removerá os recursos usados e limpará a conta para você.

Você poderá avaliar sua experiência neste laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Submit.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Support.

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.