GSP322

引言

在挑戰研究室中，您會在特定情境下完成一系列任務。挑戰研究室不會提供逐步說明，您將運用從課程研究室學到的技巧，自行找出方法完成任務！自動評分系統 (如本頁所示) 將根據您是否正確完成任務來提供意見回饋。

在您完成任務的期間，挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧，例如變更預設值或詳讀並研究錯誤訊息，解決遇到的問題。

若想滿分達標，就必須在時限內成功完成所有任務！

這個研究室適合已參加 Build a Secure Google Cloud Network 技能徽章課程的學員。準備好迎接挑戰了嗎？

設定

點選「Start Lab」按鈕前的須知事項

請詳閱以下操作說明。研究室活動會計時，而且中途無法暫停。點選「Start Lab」 後就會開始計時，讓您瞭解有多少時間可以使用 Google Cloud 資源。

您將在真正的雲端環境中完成實作研究室活動，而不是在模擬或示範環境。為達此目的，我們會提供新的暫時憑證，讓您用來在研究室活動期間登入及存取 Google Cloud。

如要完成這個研究室活動，請先確認：

• 您可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

• 是時候完成研究室活動了！別忘了，活動一開始將無法暫停。

挑戰情境

您是 Jeff 聘請的資安顧問，他在當地有一間小公司，想請您幫他架設非常完善的網站 (juiceshop)。Jeff 剛接觸 Google Cloud，並讓鄰居的兒子建立了網站雛形。對方上大學後無法繼續作業，但離開前已確保網站能正常運作。

以下為目前的設定：

您的挑戰

您需要為 Jeff 的網站建立合適的安全性設定。第一項挑戰是設定防火牆規則和虛擬機器標記。您也需要確保只能透過 IAP 使用 SSH 連至防禦主機。

關於防火牆規則，請確認：

• 防禦主機沒有公開的 IP 位址。
• 您只能透過 IAP 使用 SSH 連至防禦主機。
• 您只能透過使用 SSH 從防禦主機連至 juice-shop。
• 外界僅能透過 HTTP 向 juice-shop 提出請求。

提示與秘訣：

• 密切注意網路標記和關聯的虛擬私有雲防火牆規則。
• 指定並限制虛擬私有雲防火牆規則來源範圍的大小。
• 過於寬鬆的權限不會標為正確。

建議的行動順序

1. 檢查防火牆規則。移除過於寬鬆的規則。

2. 前往 Cloud 控制台中的 Compute Engine 找出防禦主機。應停止執行個體，然後重新執行個體。

3. 防禦主機經過授權，可接收外部 SSH 流量。建立防火牆規則，允許來自 IAP 服務的 SSH (tcp/22) 流量。必須啟用防火牆規則，讓防禦主機執行個體使用 網路標記。

4. juice-shop 伺服器透過 HTTP 提供流量。建立防火牆規則，允許傳送到任何位址的 HTTP (tcp/80) 流量。必須啟用防火牆規則，讓 juice-shop 執行個體使用 網路標記。

5. 您需要使用 SSH 從防禦主機連至 juice-shop。建立防火牆規則，允許來自 acme-mgmt-subnet 網路位址的 SSH (tcp/22) 流量。必須啟用防火牆規則，讓 juice-shop 執行個體使用 網路標記。

6. 在「Compute Engine 執行個體」頁面，點選防禦主機的 SSH 按鈕，系統就會使用 SSH 連至 juice-shop。

恭喜！

您已完成挑戰研究室並幫助 Jeff 提升安全性。

後續步驟/瞭解詳情

這個技能徽章課程是 Google Cloud 的網路工程師和資安工程師學習路徑的一部分。如果您已完成路徑中其他技能徽章課程，歡迎瀏覽 Google Cloud Skills Boost 目錄，找出其他可參加的課程，共有超過 20 堂可供學習。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 4 月 2 日

研究室上次測試日期：2023 年 11 月 8 日

Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。