准备工作
- 实验会创建一个 Google Cloud 项目和一些资源,供您使用限定的一段时间
- 实验有时间限制,并且没有暂停功能。如果您中途结束实验,则必须重新开始。
- 在屏幕左上角,点击开始实验即可开始
检查点
Create a mute rule
/ 25
Create a network
/ 25
Update the firewall rules
/ 50
访问 700 多个实验和课程
Security Command Center 使用入门
访问 700 多个实验和课程
GSP1124
概览
Security Command Center (SCC) 是一个安全监控平台,可帮助用户实现以下目的:
- 发现 Google Cloud 资源的安全相关错误配置。
- 报告 Google Cloud 环境中的活跃威胁。
- 修复 Google Cloud 资产中的漏洞。
在本实验中,您将探索 Security Command Center 的界面、配置和漏洞发现结果,以初步了解该服务。
目标
在本实验中,您将学习如何执行以下任务:
- 探索 SCC 界面元素。
- 在项目层级配置 SCC 设置。
- 分析 SCC 中的漏洞发现结果并修复漏洞。
前提条件
建议您在开始本实验之前熟悉以下内容,但并不强制要求:
- 云计算概念。
- Google Cloud 控制台。
- 发现结果的严重级别分类。
设置和要求
点击“开始实验”按钮前的注意事项
请阅读以下说明。实验是计时的,并且您无法暂停实验。计时器在您点击开始实验后即开始计时,显示 Google Cloud 资源可供您使用多长时间。
此实操实验可让您在真实的云环境中开展实验活动,免受模拟或演示环境的局限。为此,我们会向您提供新的临时凭据,您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。
为完成此实验,您需要:
- 能够使用标准的互联网浏览器(建议使用 Chrome 浏览器)。
- 完成实验的时间 - 请注意,实验开始后无法暂停。
如何开始实验并登录 Google Cloud 控制台
-
点击开始实验按钮。如果该实验需要付费,系统会打开一个对话框供您选择支付方式。左侧是“实验详细信息”窗格,其中包含以下各项:
- “打开 Google Cloud 控制台”按钮
- 剩余时间
- 进行该实验时必须使用的临时凭据
- 帮助您逐步完成本实验所需的其他信息(如果需要)
-
点击打开 Google Cloud 控制台(如果您使用的是 Chrome 浏览器,请右键点击并选择在无痕式窗口中打开链接)。
该实验会启动资源并打开另一个标签页,显示“登录”页面。
提示:将这些标签页安排在不同的窗口中,并排显示。
注意:如果您看见选择账号对话框,请点击使用其他账号。 -
如有必要,请复制下方的用户名,然后将其粘贴到登录对话框中。
{{{user_0.username | "<用户名>"}}} 您也可以在“实验详细信息”窗格中找到“用户名”。
-
点击下一步。
-
复制下面的密码,然后将其粘贴到欢迎对话框中。
{{{user_0.password | "<密码>"}}} 您也可以在“实验详细信息”窗格中找到“密码”。
-
点击下一步。
重要提示:您必须使用实验提供的凭据。请勿使用您的 Google Cloud 账号凭据。 注意:在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。 -
继续在后续页面中点击以完成相应操作:
- 接受条款及条件。
- 由于这是临时账号,请勿添加账号恢复选项或双重验证。
- 请勿注册免费试用。
片刻之后,系统会在此标签页中打开 Google Cloud 控制台。
激活 Cloud Shell
Cloud Shell 是一种装有开发者工具的虚拟机。它提供了一个永久性的 5GB 主目录,并且在 Google Cloud 上运行。Cloud Shell 提供可用于访问您的 Google Cloud 资源的命令行工具。
-
点击 Google Cloud 控制台顶部的激活 Cloud Shell
。
-
在弹出的窗口中执行以下操作:
- 继续完成 Cloud Shell 信息窗口中的设置。
- 授权 Cloud Shell 使用您的凭据进行 Google Cloud API 调用。
如果您连接成功,即表示您已通过身份验证,且项目 ID 会被设为您的 Project_ID
gcloud 是 Google Cloud 的命令行工具。它已预先安装在 Cloud Shell 上,且支持 Tab 自动补全功能。
- (可选)您可以通过此命令列出活跃账号名称:
- 点击授权。
输出:
- (可选)您可以通过此命令列出项目 ID:
输出:
gcloud 的完整文档,请参阅 gcloud CLI 概览指南。
场景
Cymbal Bank 是一家美国零售银行,拥有 2,000 多个分支机构,遍布美国的 50 个州。它提供综合性借贷服务,这些服务在一个稳健的支付平台上运营。Cymbal Bank 是一家正在经历数字化转型的传统金融服务机构。
Cymbal Bank 成立于 1920 年,原名为 Troxler。在 Troxler 大力投资了 Cymbal Group 专有的 ATM 后,Cymbal Group 于 1975 年收购了该公司。随着该银行发展成为美国的领先银行,他们制定了以实现客户体验现代化为重心的战略,变革范围包括分支机构提供的线下服务,以及银行于 2014 年发布的应用所提供的数字服务。Cymbal Bank 在全美有 42,000 名员工。据报道,其 2019 年的收入为 240 亿美元。
Cymbal Bank 有意集成一个集中式安全监控平台,帮助监控其企业银行应用中的 Google Cloud 资源面临的威胁并修复漏洞。作为一名云安全工程师,您需要了解 Security Command Center 的先进功能,以便制作演示文稿来向首席技术官介绍该服务的优势。
任务 1. 探索 SCC 界面元素
在此任务中,您将探索 Security Command Center (SCC) 界面,了解该服务的主要功能。
- 在 Cloud 控制台的导航菜单 (
) 中,依次选择安全 > 风险概览。
- 在风险概览页面上,向下滚动,分别查看新威胁数随时间的变化情况和漏洞数(按资源类型)信息面板。
威胁和漏洞是两种不同类型的发现结果。SCC 使用这些发现结果对环境中的安全问题进行分类和报告。如需详细了解发现结果类别,请参阅发现结果类别文档。
- 威胁信息让 Google Cloud 用户可以知道其 Google Cloud 环境中当前发生的可疑活动,例如某个服务账号对自身的权限进行调查。
- 漏洞信息与资源的错误配置或漏洞相关,例如打开的 TCP 端口或者虚拟机上运行的库已经过时。
发现结果是 SCC 生成的记录,可在 Security Command Center 信息中心提供关于漏洞或威胁数据的详细信息。
- 在新威胁数随时间的变化情况卡片上,点击发现结果(按资源类型)标签页。
此卡片枚举一段时间内(具体时间由信息面板右侧的“时间范围”下拉菜单决定)项目中曾经发生且目前仍然处于活跃状态的威胁。
默认情况下,时间范围下拉菜单显示过去 7 天中出现的所有威胁,但您可以查看过去 180 天内发生的所有威胁。
- 从时间范围选择器中,选择过去 180 天。
- 向下滚动至漏洞数(按资源类型)卡片。
此处应该会列出大约 80 个活跃漏洞。
这些发现结果中的大部分都是因为本实验使用了默认的 VPC 网络而生成的,此网络没有从设计上保证安全。例如,它包含允许从任意 IP 地址进行 SSH 和 RDP 访问的防火墙规则。
-
现在向下滚动到活跃漏洞卡片。
-
如果发现结果(按类别)标签页未默认选中,请点击该标签页。
此卡片会显示环境中的漏洞,按漏洞的不同类别及其严重级别整理。严重级别是发现结果的属性之一,帮助评估某个问题给 Google Cloud 环境带来的潜在风险。
严重级别无法更改,每种发现结果都具有由 SCC 预先确定的严重级别。下面列出了不同类型的严重级别及其常见示例:
- 严重 - 例如,从 GKE Pod 内部启动了反向 shell 会话。
- 高 - 例如,某个 SSH 端口向整个互联网 (0.0.0.0/0) 开放。
- 中 - 例如,向某个用户或服务账号授予了原初 IAM 角色 (Owner/Editor/Viewer)。
- 低 - 例如,未收集 VPC 流日志。
- 未指定 - 可能出现在 SCC 中,但不常见。
发现结果严重级别页面上介绍了有关 SCC 如何确定发现结果严重级别的详细标准。
- 现在点击发现结果(按资源类型)标签页。此标签页显示按不同类型的可用 Google Cloud 资源分类的漏洞。
- 最后,点击发现结果(按项目)标签页。此标签页是为了在文件夹或组织根节点层级使用 SCC 而设计的。
- 在安全门户中(从导航菜单 [
| SCC 部分 | 说明 |
|---|---|
| 风险概览 | 此标签页显示环境中的漏洞,按漏洞的不同类别及严重级别整理。 |
| 威胁 | 利用此标签页,您可以一目了然地查看 SCC 中分类为威胁的发现结果。部分示例包括:成功的暴力破解:SSH 攻击;计算资源上正在运行加密货币挖矿软件(即执行:加密货币挖矿 YARA 规则);以及从 GKE 容器内部启动的反向 shell 会话。 |
| 漏洞 | 利用此标签页,您可以快速浏览当前范围内(项目内部、文件夹内部或组织内部)可能存在的所有软件错误配置或缺陷。这样,您可以更加精细地掌握漏洞情况,从而深入分析每个漏洞。部分漏洞示例包括:面向整个互联网的开放的 MySQL 端口;使用了原初角色(例如 Owner/Editor/Viewer 角色被分配给了某个用户或服务账号);以及易受 XSS 攻击的网页或 Web 应用。 |
| 法规遵从 | 此标签页显示您的项目对最重要的合规性标准(例如 CIS、PCI DSS、NIST 800-53 等)的遵从情况。 |
| 资产 | 此标签页包含来自 Cloud Asset Inventory 的资产信息;Cloud Asset Inventory 会持续监控云环境中的资产。 |
| 发现结果 | 此标签页让您能够浏览 SCC 数据库中提供的所有发现结果。 |
| 来源 | 此标签页详细说明了分析 Google Cloud 资源配置并监控当前活动的软件模块,这些模块通过读取日志文件和检查当前运行的进程来进行分析和监控。 |
| 安全状况管理 | 此标签页让您可以使用 SCC 中的安全状况服务。如需了解详情,请参阅管理安全状况指南。 |
任务 2. 在项目层级配置 SCC 设置
在此任务中,您将了解如何在项目层级配置 SCC 设置。
-
点击风险概览页面右上角的设置。
-
确保您位于服务标签页。
在此标签页中,您可以设置 SCC 的集成服务(也称为“来源”,是“SCC 的大脑”,您在上一项任务中了解过)的参数。在本实验中,术语“服务”与“来源”可互换使用。
服务会检测威胁和漏洞并向 SCC 提供相应信息。大多数服务仅在高级版 SCC 中可用,本实验预配了该版本。
以下是您可以配置的内置服务:
- Security Health Analytics (SHA) - 查找并报告资源的错误配置(停用的日志、额外的 IAM 权限、向外公开的服务)。我们的实验项目目前启用了该服务,它在项目中检测到了 76 个漏洞。
- Web Security Scanner (WSS) - 扫描通过外部 IP 地址公开的公共 Web 应用,并检查是否存在 OWASP 十大风险中列出的漏洞。
- Container Threat Detection (CTD) - 检测 Container Optimized OS 中最常见的容器运行时攻击。
- Event Threat Detection (ETD) - 提供基于日志的威胁分析服务,可持续监控 Google Cloud 和 Google Workspace 日志以扫描并查找潜在威胁。
- Virtual Machine Threat Detection - 在 Hypervisor 级别分析虚拟机实例的内存,还能够检测虚拟机内存中发生的可疑活动。比如非预期的内核模块或运行中的加密货币挖矿软件。
-
点击 Security Health Analytics 的管理设置链接。
-
点击模块标签页。
模块是预定义或自定义的检测逻辑单元。如您所见,SCC 提供了许多不同类型的模块,可帮助您检测资源的不同错误配置。您可以根据自己的安全状况和希望监控的资源,方便地在 SCC 中启用和停用不同类型的模块。
-
在“过滤条件”字段中,输入
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED,然后按 Enter 键。 -
从状态菜单中选择启用。
启用后,Security Health Analytics 会检查 VPC 子网的 enableFlowLogs 属性是否缺失或设置为“false”。
现在您已经熟悉了 Security Command Center 的不同服务以及如何配置这些服务,接下来可以了解如何使用 SCC 找出并修复漏洞。
任务 3. 分析 SCC 中的漏洞发现结果并修复漏洞
在此任务中,您将学习如何管理漏洞发现结果并缓解漏洞。
将发现结果标记为“非活跃”以更改其状态
- 从导航菜单 (
- 在左侧菜单中,点击发现结果标签页。
- 将右上角的时间范围选择器设置为所有时间。
- 在屏幕左上角,找到查询预览窗口,其中包含用于对所有可用发现结果进行排序的过滤条件。
默认情况下,发现结果标签页会显示状态为活跃的未忽略的发现结果。
每个发现结果都有“state”和“mute”两个属性,用于通过 SCC 中的各种过滤条件来定义发现结果的可见性。
- 如果安全分析员不希望在 SCC 界面中看到不相关的干扰性发现结果,可以为发现结果设置 mute 值,或让系统自动设置此值。
- state 属性指示发现结果是需要关注并且尚未解决,还是已被修复或解决且不再活跃。
建议使用 mute 属性来管理发现结果生命周期和隐藏发现结果。更改 state 属性的操作通常由软件来源处理。
- 在快速过滤条件卡片上,选中默认网络类别对应的复选框。
-
请注意,查询预览中的查询字符串发生了变动(现在附加了
AND category="DEFAULT_NETWORK")。 -
在发现结果的查询结果部分,选中默认网络对应的复选框,然后依次选择更多操作 > 更改活跃状态。
-
将此发现结果的状态设置为非活跃。
现在此发现结果已被设为非活跃并从屏幕中隐藏,因为默认情况下,系统只会列出活跃且未被忽略的发现结果。
应用查询来对发现结果的查询结果进行过滤
- 您可以重置发现结果标签页视图。为此,请选择 SCC 标题下的风险概览,然后选择发现结果。
-
点击修改查询按钮。
-
将查询编辑器中的查询字符串更改为
category="DEFAULT_NETWORK"。 -
修改好后,点击应用按钮。
更改可能需要一两分钟才能生效。更改生效后,系统只会列出一条针对默认网络的发现结果。
在左侧快速过滤条件下的菜单中,可以看到显示非活跃发现结果复选框已选中。SCC 让您可以灵活地搜索活跃或者非活跃发现结果。现在,您可以还原此发现结果的状态。
-
在发现结果的查询结果部分,选中默认网络对应的复选框,然后依次选择更多操作 > 更改活跃状态。
-
将此发现结果的状态设置为活跃。
用户可以手动将发现结果设置为活跃或非活跃,但永远无法将其删除。仅当扫描程序在 13 个月的时间内未刷新某条发现结果时,系统才会自动将其删除。
如果安全扫描程序检查该发现结果时未检测到先前触发此发现结果的错误配置,会将其标记为非活跃。如果该漏洞仍存在于系统中,则此发现结果会保持活跃状态。
-
点击“快速过滤条件”旁边的全部清除按钮,重置“发现结果”标签页。
-
在查询预览窗口中,点击修改查询。
-
现在,复制并粘贴以下查询:
- 修改好后,点击应用按钮。
现在,系统会显示与子网相关的所有发现结果。在本实验中,默认的 VPC 网络是使用 --subnet-mode=auto 参数创建的,因此其所有子网均未启用专用 Google 访问通道或写入 VPC 流日志。
按类别过滤发现结果并将其忽略
如果在测试环境中工作,您有时可能需要隐藏某些发现结果。在本例中,您不希望看到此网络中有关专用 Google 访问通道的 SCC 发现结果,因此想要忽略这些发现结果。
-
在快速过滤条件窗口中,选择类别专用 Google 访问通道已停用。
-
在发现结果的查询结果窗格中,选中最上面的类别复选框,这样所有“专用 Google 访问通道已停用”发现结果都会被选中。
-
选择忽略选项按钮。
-
在下拉菜单中,选择应用忽略覆盖。此操作会忽略现有发现结果。
-
在左侧菜单中选择风险概览,然后选择发现结果,以重置发现结果视图。
请注意,专用 Google 访问通道已停用发现结果现在已被忽略,不会再显示。忽略是过滤 SCC 结果的一种有效方法,可让您精细地控制感兴趣的资源和发现结果。
创建忽略规则以隐藏某些发现结果
默认网络的另一个错误配置是其子网的 VPC 流日志也被停用了。由于是在测试环境中工作,您无需启用 VPC 流日志。
在本部分中,您需要忽略与此类别相关的所有现有发现结果和未来的发现结果。
- 在发现结果的查询结果窗口中,依次选择忽略选项 > 管理忽略规则。
- 点击创建忽略规则按钮。
任何新的“PGA 已停用”发现结果仍会出现在 SCC 中。
-
在新窗口中,输入一个 ID 为
muting-pga-findings的忽略规则。 -
对于忽略规则描述,请输入
Mute rule for VPC Flow Logs(针对 VPC 流日志的忽略规则)。 -
在发现结果查询过滤条件输入字段中,输入以下过滤条件:
- 点击保存按钮。
您会看到一条通知,说明创建了一条忽略规则。
点击检查我的进度,验证已完成此目标:
-
现在,请从左侧菜单中选择发现结果,刷新 SCC 主信息中心。
确保您不再收到任何专用 Google 访问通道已停用或流日志已停用发现结果。
创建其他 VPC 网络以测试发现结果忽略规则
在这一部分中,您将再创建一个具有自动配置的子网的网络,以测试最近对发现结果规则所做的修改。
- 打开一个新 Cloud Shell 会话 (
确保您收到的输出类似于以下内容。
输出:
点击检查我的进度,验证已完成此目标:
-
验证以上信息后,关闭此 Cloud Shell 窗口。
-
刷新 SCC 发现结果窗口,查看是否有新的专用 Google 访问通道已停用发现结果。您会注意到,您创建的忽略规则移除了 VPC 流日志发现结果。
虽然您针对 VPC 流日志创建了忽略规则,SCC 仍支持使用查询编辑器来查看它们。
-
点击修改查询按钮,然后粘贴以下内容以覆盖现有的查询过滤条件文本:
-
点击应用。
在发现结果的查询结果窗口中,资源显示名称列中列出了“default”和“SCC-lab-net”这两个网络。
每页行数参数设置为 100。另请查看时间范围参数的值是否设置为所有时间。
-
在查询预览窗口中,点击修改查询。
-
复制并粘贴以下查询以覆盖现有查询文本:
-
修改好后,点击应用按钮。
这会显示您之前忽略的发现结果。
调查严重级别为“高”的两个发现结果,并进行相应修复。
在这一部分中,您将调查严重级别为“高”的两个发现结果,并探索如何进行修复。
- 在快速过滤条件部分,向下滚动到严重级别类型,然后从严重级别选项列表中选择高。
您将会看到两个发现结果:开放的 RDP 端口和开放的 SSH 端口。生成这两个结果的原因在于“default”网络包含的两条防火墙规则,它们允许向此网络中的所有实例传输 SSH 和 RDP 网络流量。
- 在发现结果的查询结果窗口中,点击开放的 RDP 端口发现结果。
系统会显示一个新窗口,其中包含关于问题本身的详细说明、受影响的资源列表以及可帮助您修复问题的“后续步骤”。
-
在后续步骤部分中,点击相应链接前往防火墙规则页面,此页面将在新的标签页中打开。
-
点击修改。
-
删除来源 IP 范围
0.0.0.0/0。 -
添加
35.235.240.0/20作为来源 IP 范围并按 Enter 键。
切勿更改任何其他参数!
-
点击保存。
-
保存之后,关闭您修改此防火墙规则的浏览器标签页。
-
刷新 SCC 发现结果浏览器标签页。
您现在应该只看到一条严重级别为高的发现结果,即开放的 SSH 端口。
更新防火墙规则以修复发现结果
-
点击开放的 SSH 端口发现结果。
-
向下滚动到后续步骤部分,然后点击相应链接前往防火墙规则页面,此页面将在新的标签页中打开。
-
点击修改。
-
删除来源 IP 范围
0.0.0.0/0。 -
添加
35.235.240.0/20作为来源 IP 范围并按 Enter 键。切勿更改任何其他参数!
-
点击保存。
-
保存之后,关闭您修改此防火墙规则的浏览器标签页。
点击检查我的进度,验证已完成此目标:
-
关闭有打开的发现结果说明的窗口,然后刷新浏览器窗口。
您应该看不到严重级别为高的发现结果。
恭喜!
通过本实验,您学习了如何探索 Security Command Center 界面元素、在项目层级配置 SCC 设置,以及分析和修复 SCC 漏洞。您还使用了 SCC 来找出并修复 Google Cloud 环境中的严重安全漏洞。
后续步骤/了解详情
Google Cloud 培训和认证
…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。
上次更新手册的时间:2025 年 7 月 22 日
上次测试实验的时间:2025 年 7 月 22 日
版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。
