Checkpoints
Remove the overly permissive rules
/ 10
Start the bastion host instance
/ 10
Create a firewall rule that allows SSH (tcp/22) from the IAP service and add network tag on bastion
/ 20
Create a firewall rule that allows traffic on HTTP (tcp/80) to any address and add network tag on juice-shop
/ 20
Create a firewall rule that allows traffic on SSH (tcp/22) from acme-mgmt-subnet network address and add network tag on juice-shop
/ 20
SSH to bastion host via IAP and juice-shop via bastion
/ 20
Güvenli Bir Google Cloud Ağı Oluşturma: Yarışma Laboratuvarı
GSP322
Giriş
Yarışma laboratuvarında size bir senaryo ve birtakım görevler verilir. Adım adım talimatları uygulamak yerine, görevleri kendi başınıza nasıl tamamlayacağınızı bulmak için kurstaki laboratuvarlardan öğrendiğiniz becerileri pratiğe dökersiniz. Otomatik bir puan sistemi (Bu sayfada gösterilir), görevlerinizi gerektiği şekilde tamamlayıp tamamlamadığınızla ilgili geri bildirim verir.
Bir yarışma laboratuvarı'na katıldığınızda size yeni Google Cloud kavramları öğretilmez. Varsayılan değerleri değiştirmek ve kendi hatalarınızı düzeltmek için hata mesajlarını okuyup araştırma yapmak gibi öğrendiğiniz becerileri geliştirmeniz beklenir.
%100'e ulaşmak için tüm görevleri verilen süre içinde başarıyla tamamlamanız gerekir.
Bu laboratuvar Güvenli Bir Google Cloud Ağı Oluşturma beceri rozetine kaydolan öğrenciler için önerilir. Yarışmaya hazır mısınız?
Kurulum
Laboratuvarı Başlat düğmesini tıklamadan önce
Buradaki talimatları okuyun. Laboratuvarlar süreli olduğundan duraklatılamaz. Laboratuvarı Başlat'ı tıkladığınızda başlayan zamanlayıcı, Google Cloud kaynaklarının ne süreyle kullanımınıza açık durumda kalacağını gösterir.
Bu uygulamalı laboratuvarı kullanarak, laboratuvar etkinliklerini gerçek bir bulut ortamında (Simülasyon veya demo ortamında değil.) gerçekleştirebilirsiniz. Bu olanağın sunulabilmesi için size yeni, geçici kimlik bilgileri verilir. Bu kimlik bilgilerini laboratuvar süresince Google Cloud'da oturum açmak ve Google Cloud'a erişmek için kullanırsınız.
Bu laboratuvarı tamamlamak için şunlar gerekir:
- Standart bir internet tarayıcısına erişim (Chrome Tarayıcı önerilir).
- Laboratuvarı tamamlamak için yeterli süre. (Laboratuvarlar, başlatıldıktan sonra duraklatılamaz)
Yarışma senaryosu
Küçük ölçekli bir yerel işletmenin sahibi olan Jeff, büyük bir başarı yakalamış olan web sitesi (juiceshop) konusunda yardımcı olmanız için sizi şirketinin güvenlik danışmanı olarak seçti. Jeff, Google Cloud'u kullanmaya daha yeni başladı ve web sitesini de komşusunun çocuğuna yaptırdı. Komşunun çocuğu üniversiteyi kazandığı için artık şehir dışında yaşıyor ancak şehir dışına çıkmadan önce siteyi çalışır durumda bırakmış.
Web sitesinin mevcut ayarları:
Yarışma konusu
Jeff'in sitesi için uygun güvenlik yapılandırmasını oluşturmalısınız. İlk göreviniz, uygun güvenlik duvarı kurallarını ve sanal makine etiketlerini ayarlamak. Ayrıca savunma kalesi ana makineye yalnızca IAP üzerinden SSH erişimi sağlanabileceğinden de emin olmanız gerekiyor.
Güvenlik duvarı kuralları şu şartları karşılamalıdır:
- Savunma kalesi ana makine, herkese açık IP adresine sahip olmamalıdır.
- Savunma kalesi ana makineye yalnızca SSH kullanarak ve yalnızca IAP aracılığıyla erişebilmeniz gerekir.
-
juice-shop
ile SSH bağlantısı kurmak için savunma kalesi olan ana makineyi kullanmanız gerekir. -
juice-shop
için genel erişime açık olan tek protokol HTTP olmalıdır.
İpuçları ve püf noktaları:
- Ağ etiketlerine ve onlarla ilişkilendirilmiş VPC güvenlik duvarı kurallarına çok dikkat edin.
- Net olun ve VPC güvenlik duvarı kuralı kaynak aralıklarının boyutunu sınırlandırın.
- Aşırı serbest izinler doğru kabul edilmez.
Önerilen işlem sırası.
- Güvenlik duvarı kurallarını kontrol edin. Aşırı serbest izin kurallarını kaldırın.
- Cloud Console'da Compute Engine'e gidip savunma kalesi ana makineyi bulun. Örneğin durdurulmuş olması gerekir. Örneği başlatın.
- Savunma kalesi ana makine, dışarıdan gelen SSH trafiğini alma yetkisine sahip tek makinedir. IAP hizmetinden gelen SSH (tcp/22) bağlantılarına izin veren bir güvenlik duvarı kuralı oluşturun. Güvenlik duvarı kuralının,
ağ etiketi kullanılarak savunma kalesi ana makine örneği için etkinleştirilmesi gerekir.
-
juice-shop
sunucusu, HTTP trafiği sunar. Herhangi bir adres için HTTP (tcp/80) trafiğine izin veren bir güvenlik duvarı kuralı oluşturun. Güvenlik duvarı kuralının,ağ etiketi kullanılarak juice-shop örneği için etkinleştirilmesi gerekir.
- SSH kullanarak savunma kalesi ana makineden
juice-shop
sunucusuna bağlanmanız gerekiyor.acme-mgmt-subnet
ağ adresinden gelen SSH (tcp/22) trafiğine izin veren bir güvenlik duvarı kuralı oluşturun. Güvenlik duvarı kuralının,ağ etiketi kullanılarak juice-shop
örneği için etkinleştirilmesi gerekir.
- Compute Engine örnekleri sayfasında savunma kalesi ana makine için SSH düğmesini tıklayın. Bağlantı kurulduktan sonra SSH ile
juice-shop
sunucusuna bağlanın.
Tebrikler!
Yarışma laboratuvarını tamamladınız ve Jeff'in güvenlik düzeyini artırmasına yardımcı oldunuz.
Sonraki adımlar / Daha fazla bilgi
Bu beceri rozeti, Google Cloud Ağ Mühendisi ve Güvenlik Mühendisi öğrenme rotalarının bir parçasıdır. Öğrenme rotanızdaki diğer beceri rozetlerini zaten tamamladıysanız Google Cloud Öğrenim Merkezi kataloğunda, kaydolabileceğiniz 20'den fazla beceri rozetini bulabilirsiniz.
Google Cloud eğitimi ve sertifikası
...Google Cloud teknolojilerinden en iyi şekilde yararlanmanıza yardımcı olur. Derslerimizde teknik becerilere odaklanırken en iyi uygulamalara da yer veriyoruz. Gerekli yetkinlik seviyesine hızlıca ulaşmanız ve öğrenim maceranızı sürdürebilmeniz için sizlere yardımcı olmayı amaçlıyoruz. Temel kavramlardan ileri seviyeye kadar farklı eğitim programlarımız mevcut. Ayrıca, yoğun gündeminize uyması için talep üzerine sağlanan, canlı ve sanal eğitim alternatiflerimiz de var. Sertifikasyonlar ise Google Cloud teknolojilerindeki becerilerinizi ve uzmanlığınızı doğrulamanıza ve kanıtlamanıza yardımcı oluyor.
Kılavuzun Son Güncellenme Tarihi: 2 Nisan 2024
Kılavuzun Son Test Edilme Tarihi: 8 Kasım 2023
Telif Hakkı 2024 Google LLC Tüm hakları saklıdır. Google ve Google logosu, Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları ilişkili oldukları şirketlerin ticari markaları olabilir.