Ringkasan

Gemini untuk Google Cloud merupakan kolaborator AI yang selalu aktif dan membantu pengguna dari semua tingkat keterampilan kapan pun mereka memerlukannya. Di lab ini, Anda akan mempelajari cara mengidentifikasi dan memperbaiki kesalahan konfigurasi keamanan di lingkungan Google Cloud menggunakan fitur Gemini dari Security Command Center.

Catatan: Duet AI berganti nama menjadi Gemini, model generasi berikutnya dari kami. Lab ini telah diperbarui untuk mencerminkan perubahan ini. Semua referensi terkait Duet AI dalam antarmuka pengguna atau dokumentasi harus diperlakukan setara dengan Gemini saat mengikuti petunjuk lab. Catatan: Sebagai teknologi tahap awal, Gemini dapat menghasilkan output yang seolah masuk akal tetapi mengandung fakta yang salah. Sebaiknya validasi semua output dari Gemini sebelum Anda menggunakannya. Untuk informasi lebih lanjut, lihat Gemini untuk Google Cloud dan responsible AI.

Tujuan

Di lab ini, Anda akan mempelajari cara melakukan tugas berikut:

• Mengaktifkan Gemini di project Google Cloud
• Men-deploy contoh workload ke lingkungan di Google Cloud
• Mengidentifikasi kesalahan konfigurasi keamanan dengan Gemini
• Memperbaiki kesalahan konfigurasi keamanan dengan Gemini

Skenario

Saat Anda memantau infrastruktur untuk mencari cara meningkatkan postur keamanan Anda, Gemini dapat membantu mengidentifikasi perubahan infrastruktur atau konfigurasi yang akan mencegah masalah di masa depan.

Dalam contoh ini, anggaplah Anda adalah seorang engineer keamanan di perusahaan e-commerce tempat cluster Kubernetes yang terkelola di-deploy secara berkala. Anda memerlukan cara untuk mengetahui apakah ada kesalahan konfigurasi, dan Anda menginginkan petunjuk cepat untuk membantu memperbaiki masalah tersebut di lingkungan cloud Anda.

Penyiapan dan persyaratan

Untuk setiap lab, Anda akan memperoleh project Google Cloud baru serta serangkaian resource selama jangka waktu tertentu, tanpa biaya.

1. Login ke Qwiklabs menggunakan jendela samaran.

2. Perhatikan waktu akses lab (misalnya, 1:15:00), dan pastikan Anda dapat menyelesaikannya dalam waktu tersebut.
   Tidak ada fitur jeda. Bila perlu, Anda dapat memulai ulang lab, tetapi Anda harus memulai dari awal.

3. Jika sudah siap, klik Start lab.

4. Catat kredensial lab (Nama pengguna dan Sandi) Anda. Anda akan menggunakannya untuk login ke Google Cloud Console.

5. Klik Open Google Console.

6. Klik Use another account, lalu salin/tempel kredensial lab ini ke perintah yang muncul.
   Jika menggunakan kredensial lain, Anda akan menerima pesan error atau dikenai biaya.

7. Setujui ketentuan dan lewati halaman resource pemulihan.

Tugas 1. Mengaktifkan Gemini

Pertama-tama, aktifkan Gemini di project Google Cloud Anda dan konfigurasikan izin yang diperlukan untuk akun pengguna Qwiklabs Google Cloud Anda.

1. Klik ikon Cloud Shell () di sudut kanan atas toolbar Konsol Google Cloud.

2. Untuk menetapkan project ID dan variabel lingkungan region, jalankan perintah berikut:

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. Untuk menyimpan akun pengguna Google yang sudah login di variabel lingkungan, jalankan perintah berikut:

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. Klik Authorize, jika diminta.

5. Aktifkan Cloud AI Companion API untuk Gemini:

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Untuk menggunakan Gemini, berikan peran IAM yang diperlukan ke akun pengguna Qwiklabs Google Cloud Anda:

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

Dengan menambahkan peran ini, pengguna dapat menggunakan bantuan Gemini.

Klik Check my progress untuk memverifikasi tugas yang telah diselesaikan. Mengaktifkan Gemini

Tugas 2. Membuat cluster GKE dan men-deploy aplikasi web

Sekarang Anda akan membuat cluster Google Kubernetes Engine (GKE) yang menjalankan beberapa microservice.

1. Jalankan perintah berikut untuk membuat cluster GKE bernama test:

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

Tindakan ini memerlukan waktu beberapa menit. Setelah selesai, Anda mungkin akan melihat hasil yang mirip dengan contoh berikut:

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. Sekarang, buat clone repositori yang berisi kode untuk aplikasi web:

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. Gunakan kubectl untuk men-deploy serangkaian microservice ke cluster GKE:

kubectl apply -f ./release/kubernetes-manifests.yaml

4. Setelah beberapa menit, jalankan perintah berikut untuk mendapatkan alamat IP publik guna mengakses aplikasi web Anda di browser:

kubectl get service frontend-external | awk '{print $4}'

5. Salin alamat IP dari output perintah di atas dan tempel ke tab browser baru.

Anda akan melihat aplikasi web yang mirip dengan contoh berikut:

Klik Check my progress untuk memverifikasi tugas yang telah diselesaikan. Membuat cluster GKE dan men-deploy aplikasi web

Tugas 3. Mengidentifikasi kesalahan konfigurasi keamanan dengan Gemini

Setelah cluster GKE yang ada menjalankan aplikasi e-commerce, Anda akan mengidentifikasi area yang postur keamanannya dapat Anda tingkatkan dengan Gemini.

1. Kembali ke tab Anda dengan Konsol Google Cloud.

2. Muat ulang halaman Konsol Google Cloud.

3. Perkecil panel Cloud Shell.

4. Klik ikon Gemini () di sudut kanan atas toolbar Konsol Google Cloud.

5. Klik Start Chatting.

6. Masukkan perintah berikut:

What services in Google Cloud can help me identify areas to improve security for a set of microservices running in a GKE cluster?

Respons Gemini yang ditampilkan akan mirip dengan contoh berikut:

There are a number of services in Google Cloud that can help you identify areas to improve security for a set of microservices running in a GKE cluster. These include:

• Security Command Center can help you identify and prioritize security risks across your Google Cloud environment, including GKE clusters.
• Cloud Asset Inventory can help you track and manage your Google Cloud resources, including GKE clusters.
• Cloud Logging can help you collect and analyze logs from your GKE clusters.
• Cloud Monitoring can help you monitor the performance and health of your GKE clusters.

These are just a few of the many services in Google Cloud that can help you improve the security of your microservices. By using these services, you can help protect your data from unauthorized access, and you can also help improve your security posture over time.

Dalam skenario ini, Anda memutuskan bahwa Security Command Center sepertinya merupakan tempat yang tepat untuk memulai.

7. Buka Navigation menu, lalu pilih Security > Risk Overview.

Dengan berbagai visualisasi yang membahas kerentanan, Anda dapat meminta Gemini untuk membantu Anda agar cepat memahami apa yang diklasifikasikan sebagai kerentanan di Security Command Center.

8. Masukkan perintah berikut:

How does Security Command Center define a vulnerability?

Respons Gemini akan mirip dengan contoh berikut:

Security Command Center defines a vulnerability as a flaw or weakness in software programs that an attacker could use to gain access to or otherwise compromise your Google Cloud environment.

Source: https://cloud.google.com/security-command-center/docs/finding-classes

9. Klik link dokumentasi untuk membedakan kelas yang ditemukan dengan lebih baik.

10. Setelah membacanya, tutup tab dan kembali ke Konsol Google Cloud.

11. Klik Findings dari sidebar Konsol Google Cloud.

12. Untuk melihat temuan cluster GKE, temukan bagian "Quick Filters", lalu pilih Google container cluster di Resource Type.

Anda akan melihat sejumlah temuan dengan tingkat keparahan Medium.

13. Klik temuan Cluster secrets encryption disabled.

Di bagian atas panel temuan ini, Anda akan melihat bagian berjudul "AI-Generated Summary" dengan ringkasan dari Gemini, yang mirip dengan contoh berikut:

Security Health Analytics in Security Command Center has identified a MEDIUM severity finding of type CLUSTER_SECRETS_ENCRYPTION_DISABLED in the google.container.Cluster named test...

This finding indicates that the cluster does not have application-layer secrets encryption enabled. This means that sensitive data, such as user-defined secrets and secrets required for the operation of the cluster, such as service account keys, are stored in etcd in plain text. This is a security risk, as an attacker who gains access to etcd could read these secrets.

To fix this finding, you need to enable application-layer secrets encryption for the cluster. You can do this by going to the Google Kubernetes Engine (GKE) console and clicking on the Security tab. Under Application-layer secrets encryption, click on Edit Application-layer Secrets Encryption. Select the Enable Application-layer Secrets Encryption checkbox and choose a database encryption key. Click Save Changes...

Ringkasan dari Gemini ini memperluas deskripsi singkat temuan tersebut, yang memberikan penjelasan lebih mendetail tentang masalah penyimpanan secret dalam teks biasa, beserta petunjuk tentang satu jalur yang dapat Anda ambil untuk memperbaiki temuan ini.

14. Keluar dari panel informasi ini.

15. Berikutnya, klik temuan Over privileged account dan lihat ringkasan yang diberikan oleh Gemini, yang mirip dengan contoh berikut:

Security Health Analytics in Security Command Center has identified a MEDIUM severity finding of type OVER_PRIVILEGED_ACCOUNT in the google.container.Cluster named test...

The finding is caused by the fact that the GKE node uses the Compute Engine default service account, which has broad access by default and may be over privileged for running your Kubernetes Engine cluster.

This finding poses a risk because the Compute Engine default service account has access to all of the resources in the project, including the GKE cluster. If an attacker were to gain access to the service account, they would be able to access all of the resources in the project...

Ringkasan ini memberikan dokumentasi spesifik dari Google tentang cara memperbaiki temuan tersebut dengan membuat Akun Layanan yang memiliki hak istimewa terendah untuk digunakan pada cluster GKE Anda.

16. Keluar dari panel informasi ini.

17. Terakhir, klik temuan Master authorized networks disabled. Gemini akan memberikan respons di panel, yang mirip dengan contoh berikut:

Security Health Analytics in Security Command Center has identified a MEDIUM severity finding of type MASTER_AUTHORIZED_NETWORKS_DISABLED in the google.container.Cluster named test...

Control plane authorized networks improve security for your container cluster by blocking specified IP addresses from accessing your cluster's control plane.

To fix this finding, go to the Kubernetes cluster and click Edit. The edit button might be disabled if the cluster configuration recently changed. If you aren't able to edit the cluster settings, wait a few minutes and try again. On the Control plane authorized networks drop-down list, select Enabled. Click Add authorized network. Specify the authorized networks you want to use. Click Save....

18. Keluar dari panel informasi ini.

Setelah memahami beberapa kesalahan konfigurasi keamanan lingkungan Anda, manfaatkan rekomendasi dari Gemini untuk memperbaikinya.

Tugas 4. Memperbaiki kesalahan konfigurasi keamanan

Setelah dapat meninjau beberapa area untuk mulai meningkatkan keamanan cluster GKE, Anda dapat memperbaiki temuan "Master authorized networks disabled" menggunakan petunjuk yang diberikan dalam ringkasan Gemini di Security Command Center.

1. Buka Navigation menu, lalu pilih Kubernetes Engine > Clusters.

2. Klik nama cluster yang Anda buat sebelumnya ("test").

3. Scroll ke bawah ke bagian Networking.

4. Klik ikon pensil di samping Control plane authorized networks.

5. Centang kotak di samping Enable control plane authorized networks.

6. Centang kotak di bawah Allow access through Google Cloud public IP addresses.

7. Klik Save changes.

8. Klik Clusters di sidebar.

Anda akan melihat cluster yang sedang diperbarui, yang ditunjukkan dengan ikon roda berputar di bagian Status.

9. Saat dilakukan pembaruan kebijakan jaringan untuk bidang kontrol, buka Gemini dari toolbar Konsol Google Cloud.

10. Masukkan perintah berikut:

How do control plane authorized networks work in GKE?

Respons Gemini akan mirip dengan contoh berikut:

Control plane authorized networks allow you to restrict access to the control plane of your GKE cluster. By default, the control plane is accessible from any address. However, you can add one or more authorized networks to restrict access to only those networks.

To add an authorized network, go to the Google Kubernetes Engine page in the Google Cloud console. Click the name of the cluster you want to modify. Under Networking, in the Control plane authorized networks field, click edit Edit control plane authorized networks...

Menerapkan kebijakan bidang kontrol yang diperbarui mungkin memerlukan waktu beberapa menit sampai berlaku.

11. Jika Anda melihat tanda centang hijau di kolom Status di samping cluster, berarti Anda berhasil memperbarui konfigurasi cluster.

Klik Check my progress untuk memverifikasi tugas yang telah diselesaikan. Memperbaiki kesalahan konfigurasi keamanan

Mengakhiri lab Anda

Setelah Anda menyelesaikan lab, klik Akhiri Lab. Qwiklabs menghapus resource yang telah Anda gunakan dan menghapus akun.

Anda akan diberi kesempatan untuk menilai pengalaman menggunakan lab. Pilih jumlah bintang yang sesuai, ketik komentar, lalu klik Submit.

Makna jumlah bintang:

• 1 bintang = Sangat tidak puas
• 2 bintang = Tidak puas
• 3 bintang = Netral
• 4 bintang = Puas
• 5 bintang = Sangat puas

Anda dapat menutup kotak dialog jika tidak ingin memberikan masukan.

Untuk masukan, saran, atau koreksi, gunakan tab Dukungan.

Hak cipta 2024 Google LLC. Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.