GSP382

Descripción general

En un lab de desafío, se le proporcionarán una situación y un conjunto de tareas. En lugar de seguir instrucciones paso a paso, deberás utilizar las habilidades aprendidas en los labs del curso para decidir cómo completar las tareas por tu cuenta. Un sistema automatizado de puntuación (en esta página) mostrará comentarios y determinará si completaste tus tareas correctamente.

En un lab de desafío, no se explican conceptos nuevos de Google Cloud, sino que se espera que amplíes las habilidades que adquiriste, como cambiar los valores predeterminados y leer o investigar los mensajes de error para corregir sus propios errores.

Debe completar correctamente todas las tareas dentro del período establecido para obtener una puntuación del 100%.

Se recomienda este lab a los estudiantes que se hayan inscrito para obtener la insignia de habilidad Mitiga amenazas y vulnerabilidades con Security Command Center. ¿Aceptas el desafío?

Temas evaluados

• Crear reglas de silenciamiento para Cymbal Bank
• Analizar y solucionar los hallazgos con vulnerabilidad alta de Cymbal Bank
• Identificar las vulnerabilidades en una aplicación con las funciones de análisis de seguridad de SCC
• Exportar los hallazgos de Cymbal Bank a un bucket de Google Cloud Storage

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs cuentan con un temporizador que no se puede pausar. El temporizador, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar. Se recomienda el navegador Chrome.

Nota: Usa una ventana del navegador privada o de incógnito (opción recomendada) para ejecutar el lab. Así evitarás conflictos entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab (recuerda que, una vez que comienzas un lab, no puedes pausarlo).

Nota: Usa solo la cuenta de estudiante para este lab. Si usas otra cuenta de Google Cloud, es posible que se apliquen cargos a esa cuenta.

Situación del desafío

Cymbal Bank es un banco minorista estadounidense con más de 2,000 sucursales en los 50 estados. Ofrece servicios completos de débito y crédito basados en una plataforma sólida de pagos. Es una institución de servicios financieros heredada que se está transformando de forma digital.

Cymbal Bank se fundó en 1920 con el nombre de Troxler. El grupo Cymbal adquirió la empresa en 1975 tras haber estado invirtiendo en los cajeros automáticos de su propiedad. A medida que el banco crecía hasta convertirse en un líder nacional, puso énfasis estratégico en modernizar la experiencia del cliente tanto de forma presencial en sus sucursales como de forma digital a través de una aplicación que lanzaron en 2014. Cymbal Bank emplea a 42,000 personas en todo el país y, en 2019, registró $24,000 millones en ingresos.

En este desafío, eres un ingeniero de seguridad en la nube encargado de proteger el entorno de Google Cloud de Cymbal Bank aprovechando las funciones de Security Command Center. Ya realizaste estas tareas en labs anteriores. Ahora, es tu turno de demostrar tu dominio de Security Command Center implementando estrategias avanzadas de detección y mitigación de amenazas, optimizando los controles de acceso y garantizando el cumplimiento de las reglamentaciones y prácticas recomendadas de la industria.

Tarea 1: Configura el entorno

Primero, haz algunos ajustes de referencia en el entorno de Cymbal Bank para que puedas implementar controles de seguridad sólidos con Security Command Center.

1. Abre el menú de navegación y selecciona Seguridad > Security Command Center > Hallazgos.
2. En el selector de intervalo de tiempo, selecciona Últimos 180 días. Deberías obtener un resultado similar al siguiente:

Advertencia: Para todas las interfaces de SCC con las que interactúes en este lab de desafío, asegúrate de que el período seleccionado siempre esté establecido en 180 días. Si no lo configuras correctamente, es posible que no puedas identificar ni verificar ninguno de los requisitos de una tarea.

Tarea 2: Crea reglas de silenciamiento para Cymbal Bank

A Cymbal Bank no le interesa mostrar hallazgos con ciertos recursos en su entorno de Google Cloud.

1. Para esta tarea, crea tres reglas de silenciamiento que aborden lo siguiente:

Nombre	Resultado	Descripción
muting-flow-log-findings	Registros de flujo inhabilitados	Regla para silenciar registros de flujo de VPC
muting-audit-logging-findings	Registro de auditoría inhabilitado	Regla para silenciar registros de auditoría
muting-admin-sa-findings	Cuenta de servicio de administrador	Regla para silenciar los hallazgos de la cuenta de servicio de administrador

Advertencia: Asegúrate de que el intervalo de tiempo seleccionado siempre esté establecido en 180 días. Si no lo configuras correctamente, es posible que no puedas identificar ni verificar ninguno de los requisitos de una tarea. Nota: Puedes encontrar qué colocar en tu consulta de hallazgos explorando los detalles del hallazgo en SCC.

Haz clic en Revisar mi progreso para verificar el objetivo.

Crear reglas de silenciamiento para Cymbal Bank

Tarea 3: Analiza y soluciona los hallazgos de alta vulnerabilidad de Cymbal Bank

Cymbal Bank quiere quitar dos hallazgos de gravedad alta en su entorno de Google Cloud. Se te asignó la tarea de usar SCC para identificar y seguir los pasos establecidos para corregir los siguientes hallazgos de gravedad alta, de modo que ya no sean vulnerables:

• Puerto SSH abierto
• Puerto RDP abierto

Asegúrate de que estas reglas no sean accesibles desde el Internet público. Puedes usar la dirección IP 35.235.240.0/20 como reemplazo de las que están expuestas al Internet público.

Haz clic en Revisar mi progreso para verificar el objetivo.

Corregir los hallazgos de vulnerabilidad alta de Cymbal Bank

Tarea 4: Identifica las vulnerabilidades de aplicaciones con las funciones de análisis de seguridad de SCC

Además de resolver los hallazgos de la infraestructura, también debes identificar todas las vulnerabilidades de las aplicaciones. En muchos casos, las vulnerabilidades de las aplicaciones pueden introducirse de manera accidental, por lo que, como ingeniero de seguridad en la nube, debes ser especialmente diligente con cualquier aplicación web nueva que se ejecute en tu entorno.

Cymbal Bank quiere ejecutar una prueba de Web Security Scanner en una aplicación de muestra implementada en este entorno para asegurarse de que funcione correctamente. Cuando iniciaste este lab, una secuencia de comandos de Terraform implementó una aplicación web bancaria de muestra que se ejecuta en una instancia de Google Compute Engine.

Para realizar un análisis de seguridad web, la IP externa de la instancia de VM de Compute Engine debe ser estática.

1. En el menú de navegación, selecciona Compute Engine > Instancias de VM > cls-vm. En la página de detalles, haz clic en Editar.

2. En la sección Interfaces de red, expande la red predeterminada.

3. Haz clic en el menú desplegable "Dirección IPv4 externa" y, luego, en Reservar dirección IP externa estática.

4. Asígnale el nombre static-ip y haz clic en Reservar.

5. Haz clic en Guardar.

6. Encuentra la dirección IP externa de la instancia.

7. Reemplaza YOUR_EXTERNAL_IP en el campo URL de abajo por esa dirección IP y abre la URL en una pestaña nueva del navegador:

http://<YOUR_EXTERNAL_IP>:8080

Debería aparecer un portal de banca corporativa de Cymbal Bank con un formulario web.

Para esta tarea, ejecuta un análisis de seguridad web en la URL de esta aplicación (con el puerto 8080).

Haz clic en Revisar mi progreso para verificar el objetivo.

Ejecutar un análisis de seguridad web

Tarea 5: Exporta los hallazgos de Cymbal Bank a Google Cloud Storage

Cymbal Bank quiere conservar la información sobre incidentes de seguridad, vulnerabilidades y parámetros de configuración incorrectos durante varios años para fines de auditoría. Como ingeniero de seguridad en la nube, tu tarea final es exportar todos los hallazgos existentes a un bucket de Google Cloud Storage con las siguientes especificaciones:

• Nombre del bucket: scc-export-bucket-
• Tipo de ubicación: Regional
• Ubicación:

La exportación debe tener las siguientes propiedades:

• Nombre del archivo: findings.jsonl
• Formato: JSONL
• Intervalo de tiempo: Todo el tiempo

Haz clic en Revisar mi progreso para verificar el objetivo.

Exportar los hallazgos de Cymbal Bank a Google Cloud Storage

¡Felicitaciones!

Cuando completaste este lab de desafío, demostraste que puedes crear reglas de silencio, analizar y corregir hallazgos con vulnerabilidad alta, identificar vulnerabilidades de aplicaciones con las funciones de análisis de seguridad de SCC y exportar hallazgos a un bucket de Google Cloud Storage.

Obtén tu próxima insignia de habilidad

Este lab de autoaprendizaje forma parte de la insignia de habilidad Mitiga amenazas y vulnerabilidades con Security Command Center. Si completas esta insignia de habilidad, obtendrás la insignia que se muestra arriba como reconocimiento de tu logro. Comparte la insignia en tu currículum y tus plataformas sociales, y anuncia tu logro con el hashtag #GoogleCloudBadge.

Esta insignia de habilidad forma parte de la ruta de aprendizaje de Ingeniero profesional de seguridad en la nube de Google Cloud. Si ya conseguiste las otras insignias de habilidad de esta ruta de aprendizaje, revisa el catálogo y encuentra otras insignias de habilidad que puedes obtener.

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Última actualización del manual: 9 de julio de 2024

Prueba más reciente del lab: 9 de julio de 2024

Copyright 2025 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.