Informações gerais

Neste laboratório, você vai investigar os Registros de fluxo de VPC. Os registros de fluxo de VPC catalogam os fluxos de rede enviados ou recebidos por instâncias de VM. Esses registros podem ser usados para monitoramento de rede, perícia forense, análise de segurança em tempo real e até para otimização de despesas.

Durante este laboratório, você vai ativar a geração de registros de fluxos de VPC e usar o Cloud Logging para acessá-los. Em seguida, você vai executar monitoramento de rede, análise forense e análise de segurança em tempo real e concluir com a desativação da geração de registros de fluxos de VPC.

Objetivos

Neste laboratório, você vai aprender a:

• Ativar os registros de fluxo de VPC para uma sub-rede.
• Acessar os registros pelo Cloud Logging.
• Filtrar registros de sub-redes, VMs, portas ou protocolos específicos.
• Realizar monitoramento de rede, análise forense e análise de segurança em tempo real.
• Desativar a geração de registros de fluxos de VPC.

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período e sem custos financeiros.

1. Faça login no Qwiklabs em uma janela anônima.

2. Confira o tempo de acesso do laboratório (por exemplo, 1:15:00) e finalize todas as atividades nesse prazo.
   Não é possível pausar o laboratório. Você pode reiniciar o desafio, mas vai precisar refazer todas as etapas.

3. Quando tudo estiver pronto, clique em Começar o laboratório.

4. Anote as credenciais (Nome de usuário e Senha). É com elas que você vai fazer login no Console do Google Cloud.

5. Clique em Abrir Console do Google.

6. Clique em Usar outra conta, depois copie e cole as credenciais deste laboratório nos locais indicados.
   Se você usar outras credenciais, vai receber mensagens de erro ou cobranças.

7. Aceite os termos e pule a página de recursos de recuperação.

Ative o Google Cloud Shell

O Google Cloud Shell é uma máquina virtual com ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud.

O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. No console do Cloud, clique no botão "Abrir o Cloud Shell" na barra de ferramentas superior direita.

   

2. Clique em Continuar.

O provisionamento e a conexão do ambiente podem demorar um pouco. Quando você estiver conectado, já estará autenticado, e o projeto estará definido com seu PROJECT_ID. Exemplo:

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

• Para listar o nome da conta ativa, use este comando:

gcloud auth list

Saída:

Credentialed accounts: - @.com (active)

Exemplo de saída:

Credentialed accounts: - google1623327_student@qwiklabs.net

• Para listar o ID do projeto, use este comando:

gcloud config list project

Saída:

[core] project =

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: a documentação completa da gcloud está disponível no guia com informações gerais sobre a gcloud CLI .

Tarefa 1: ativar a geração de registros de fluxos de VPC

Nesta tarefa, você vai ativar a geração de registros de fluxos para duas sub-redes. A geração de registros de fluxos também pode ser ativada exatamente da mesma forma que as redes personalizadas definidas pelo usuário. A geração de registros de fluxos também pode ser ativada quando você cria uma sub-rede em uma etapa.

Use a gcloud no Cloud Shell para possibilitar a geração de registros de fluxos de VPC em duas sub-redes

1. Para possibilitar a geração de registros de fluxos em duas sub-redes, execute os comandos a seguir no Cloud Shell:

gcloud compute networks subnets update default \ --region us-central1 --enable-flow-logs \ --logging-metadata=include-all gcloud compute networks subnets update default \ --region europe-west1 --enable-flow-logs \ --logging-metadata=include-all

Perceba que você permitiu a geração de registros de fluxos de VPC para as sub-redes em us-central1 e europe-west1. Nenhuma das outras sub-redes está com a geração de registros de fluxos ativada.

2. Para criar três instâncias em sub-redes diferentes (e usá-las em testes), execute os seguintes comandos:

gcloud compute instances create default-us-vm \ --machine-type e2-micro \ --zone=us-central1-a --network=default gcloud compute instances create default-eu-vm \ --machine-type e2-micro \ --zone=europe-west1-b --network=default gcloud compute instances create default-ap-vm \ --machine-type e2-micro \ --zone=asia-east1-a --network=default Observação: se você receber o erro ZONE_RESOURCE_POOL_EXHAUSTED, atualize a zona no comando da gcloud e execute o comando de novo. Por exemplo, se us-central1-a estiver falhando, tente usar us-central1-b.

Clique em Verificar meu progresso para conferir o objetivo. Ativar a geração de registros de fluxos de VPC em sub-redes e criar instâncias

Tarefa 2: gerar tráfego de rede para teste

Nesta tarefa, você vai criar tráfego de rede para testar a conectividade entre as instâncias.

1. No console do Google Cloud, no Menu de navegação, clique em Compute Engine > instâncias de VM para abrir uma lista de instâncias de VM.
2. Anote os endereços IP interno e externo de cada instância. Você ainda vai precisar deles neste laboratório.

Instância	IP interno	IP Externo
default-ap-vm	*****	*****
default-eu-vm	*****	*****
default-us-vm	*****	*****

3. Na linha da instância default-us-vm, clique em SSH.
4. Ao estabelecer conexão por SSH, execute os seguintes comandos:

sudo apt-get install -y host host www.wikipedia.org 8.8.8.8 ping -c 5 default-eu-vm.europe-west1-b ping -c 5 www.google.com curl http://www.google.com

Esses comandos fizeram o seguinte:

• Instalaram o utilitário de resolução de DNS do host.
• Realizaram uma busca DNS de www.wikipedia.org usando o servidor DNS 8.8.8.8.
• Fizeram um ping na instância default-eu-vm e em www.google.com
• Usaram curl para criar uma conexão HTTP a www.google.com

Em seguida, você vai executar os mesmos comandos que acima, mas em vez de fazer pings em default-eu-vm da default-us-vm, faça o ping em default-us-vm da default-eu-vm.

5. Volte ao console do Cloud e, na linha para a instância default-eu-vm, clique em SSH.
6. Ao estabelecer conexão por SSH, execute os seguintes comandos:

sudo apt-get install -y host host www.wikipedia.org 8.8.8.8 ping -c 5 default-us-vm.us-central1-a ping -c 5 cloud.google.com curl http://www.google.com

7. Volte para o console do Cloud e, na linha da instância default-ap-vm, clique em SSH.

8. Ao estabelecer conexão por SSH, execute os seguintes comandos:

sudo apt-get install -y host host www.bitnami.com 8.8.8.8 curl http://www.bitnami.com

Tarefa 3. mostrar os registros de fluxo no Cloud Logging

Nesta tarefa, você vai conhecer os registros de fluxo de VPC de todos os projetos no Cloud Logging.

Acesse todos os registros de fluxos

1. No console do Cloud, acesse Menu de navegação > Geração de registros > Navegador de Registros. (Se essa opção de menu não aparecer, prossiga com este laboratório na etapa 3).

2. No painel Consulta, acesse a opção Recurso e clique em Sub-rede.

3. Em Nome do registro, clique em compute.googleapis.com/vpc_flows.

Observação: se nenhum nome de registro aparecer após efetuar o procedimento acima, copie e cole o código compute.googleapis.com%2Fvpc_flows.

4. Clique em Executar consulta.

5. As entradas dos registros de fluxo de VPC aparecem no painel Resultados da consulta. Se o tipo de registro compute.googleapis.com/vpc_flows não aparecer, espere uns minutos.

Observação: depois disso, todos os registros de fluxo de VPC do seu projeto serão mostrados. Lembre-se de que o registro de fluxos só está ativado em duas sub-redes.

6. Abra uma das entradas de registro.

7. Nela, expanda jsonPayload e depois connection.

Observação: algumas entradas não têm campos jsonPayload. Pode ser que você precise abrir outras entradas antes de achar uma que tenha.

8. Consulte as informações sobre a conexão. Especificamente, note que a porta e o endereço IP da origem e do destino foram registrados.

9. Encontre um registro com src_instance em jsonPayload. Consulte as informações sobre a instância src.

A src_instance pode ser uma das suas instâncias ou um endereço IP externo se o tráfego vier de fora da sua rede VPC.

10. Consulte as informações desta ou de outras entradas de registro.

Tarefa 4: realize a filtragem avançada

Nesta tarefa, você vai realizar filtragem avançada usando o Criador de consultas. Você também vai conhecer os registros de acesso para um IP específico de origem ou de destino e para protocolos e portas específicos.

Um filtro avançado de registros é uma expressão booleana que especifica um subconjunto de todas as entradas de registro no seu projeto. Ele pode ser usado para:

• Escolher entradas de registro para VMs específicas.
• Escolher entradas de registro para portas de origem ou destino específicas.
• Escolher entradas de registro para endereço IP específico de origem ou destino.
• Escolher protocolos específicos de entradas de registro.

1. Clique na caixa Consulta.

2. Remova a consulta atual e cole o código a seguir, substituindo <INSERT_PROJECT_ID> pelo ID do projeto do Google Cloud no Qwiklabs:

resource.type="gce_subnetwork" log_name="projects/<INSERT_PROJECT_ID>/logs/compute.googleapis.com%2Fvpc_flows"

3. Clique em Executar consulta.

Observação: no restante deste laboratório, mantenha essas duas linhas no início do filtro. Você vai acrescentar outras linhas depois delas. Se você acidentalmente excluir ou modificar essas duas linhas iniciais, copie-as acima e não esqueça de alterar o ID do projeto.

Acesse os registros de um endereço IP de origem ou destino específico

1. Adicione a seguinte linha ao final do filtro: Substitua Internal_IP_Of_default_us_vm pelo endereço IP interno da sua instância default_us_vm, que você já registrou:

jsonPayload.connection.src_ip="Internal_IP_Of_default_us_vm"

2. Clique em Executar consulta.

São mostradas todas as entradas de registro em que o endereço IP de origem é o endereço IP interno da instância default-us-vm. Essas são as mesmas entradas do filtro anterior, que exibia a instância de origem default-us-vm.

Acesse registros de portas e protocolos específicos

1. Exclua a última linha do filtro (a que corresponde a src_ip) e a substitua pela linha a seguir, que só vai mostrar as entradas com porta de destino 22 (SSH):

jsonPayload.connection.dest_port=22

2. Clique em Executar consulta e verifique os resultados. Vão aparecer três registros porque você aplicou o SSH nas VMs três vezes.

3. Altere a última linha do filtro para só mostrar tráfego com porta de destino 80 (HTTP):

jsonPayload.connection.dest_port=80

4. Clique em Executar consulta e verifique os resultados.

5. Crie correspondência entre várias portas substituindo a última linha e adicionando a instrução com um código OR ao final do filtro da porta:

jsonPayload.connection.dest_port=(80 OR 22)

6. Altere a última linha do filtro para só mostrar entradas que usam o protocolo UDP (protocolo nº 17):

jsonPayload.connection.protocol=17

7. Clique em Executar consulta e verifique os resultados.

Algumas entradas vão aparecer no registro. Elas correspondem às chamadas DNS que você fez com o utilitário de host.

8. Consulte uma das entradas de registro e encontre o número da porta de destino que o DNS usa.

Observação: o DNS usa a porta 53.

9. Modifique o filtro para exibir todas as entradas com protocolo 17 e porta de destino 53:

jsonPayload.connection.protocol=17 jsonPayload.connection.dest_port=53

10. Clique em Executar consulta e verifique os resultados.

Observação: no momento, os registros de fluxo só monitoram UDP (protocolo nº 17) e TCP (protocolo nº 6). Mais cedo, você gerou tráfego ICMP nas instâncias usando um ping. O ICMP é o protocolo nº 1. Se você criar um filtro para exibir o protocolo nº 1, nenhuma entrada vai aparecer. Teste isso, se quiser.

Tarefa 5: realizar monitoramento de rede e dar suporte a análises de segurança em tempo real

Nesta tarefa, você vai criar um filtro e usá-lo para saber se algum tráfego RDP está tentando acessar a VPC.

Pesquise protocolos e portas inesperados

Como você está executando instâncias de Linux na rede VPC, nenhum tráfego RDP vai aparecer. No entanto, existe uma regra de firewall nas configurações padrão que permite o tráfego RDP de qualquer lugar, e isso quer dizer que alguém na Internet pode tentar se conectar aos seus servidores usando o protocolo RDP.

1. Modifique o filtro de registro de fluxos para exibir todo o tráfego com uma porta de destino 3389 (RDP). Não exclua as duas primeiras linhas do filtro atual, mas remova todas as outras e as substitua pelo código a seguir. Após fazer isso, clique em Executar consulta:

jsonPayload.connection.dest_port=3389

2. Se algum tráfego RDP aparecer, procure saber de onde ele está vindo. Pode ser que nenhum tráfego RDP seja exibido, mas é normal que alguns apareçam. Se nenhum tráfego aparecer, espere uns minutos e confira de novo.

Se algum tráfego RDP aparecer, o que é comum, isso demonstra que o tráfego indesejado ocorre com frequência na Internet, além de mostrar a importância de garantir que as regras de firewall e redes VPC sejam corretamente configuradas.

Ao usar a VPC padrão neste laboratório, mesmo com todas as regras de firewall definidas, você tomou ciência do que acontece quando elas não são ajustadas para excluir tráfego indesejado.

Observação: é uma prática recomendada na área de sistemas de produção usar uma VPC personalizada com regras de firewall bem específicas e excluir a VPC padrão. Observação: outro serviço que pode ajudar com questões como restrição de tráfego indesejado é o Google Cloud Armor. O Google Cloud Armor usa a infraestrutura global e os sistemas de segurança do Google para oferecer defesa em grande escala contra ataques distribuídos de negação de serviço (DDoS) a infraestruturas e aplicativos.

Crie exportações para dar suporte a análises de segurança em tempo real

Os registros de fluxo podem ser exportados para qualquer destino que o Cloud Logging aceite exportar, como Pub/Sub, BigQuery, etc. Criar uma exportação vai exportar os registros correspondentes futuros para o destino selecionado. Os registros que já existem não serão exportados.

Exportar os registros para o BigQuery permite que as ferramentas de análise do BigQuery sejam usadas nos seus registros. Exportar os registros para o Pub/Sub permite que eles sejam transmitidos para outros aplicativos, outros repositórios ou terceiros.

Ao criar uma exportação do Cloud, o filtro atual será aplicado a ela. Ou seja, apenas os eventos que corresponderem ao filtro serão exportados. Por exemplo, se você aplicar um filtro que só mostra o tráfego para a porta de destino 3389, apenas o tráfego correspondente ao filtro será exportado.

Isso pode ajudar a reduzir a quantidade de dados que é exportada (o que pode reduzir os custos) ou permitir exportações diferentes, dependendo do conteúdo dos dados. Neste laboratório, você vai limpar o filtro e exportar todos os registros, porque não há muito tráfego.

1. Limpe todo o texto no editor de consultas e clique em Executar consulta.
2. Clique em Mais ações > Criar coletor.
3. Em "Nome do coletor", digite FlowLogBQExport e clique em Próximo.
4. Em "Selecionar serviço de coletor", clique em Conjunto de dados do BigQuery.
5. Em "Destino do coletor", selecione Criar novo conjunto de dados do BigQuery.
6. Em "ID do conjunto de dados", digite flowlogs_dataset e depois clique em Criar conjunto de dados.
7. Clique em Criar coletor. A página "Coletores do Roteador de registros" será exibida.

O coletor (FlowLogBQExport) que você criou vai aparecer. Caso contrário, clique em Roteador de registros.

8. No lado direito, clique no menu Mais ações () para sua exportação e selecione Visualizar detalhes do coletor.
9. Clique em Cancelar.

Observação: todos os registros futuros serão exportados para o BigQuery. As ferramentas do BigQuery agora podem ser usadas para realizar análises nos dados de registro de fluxos. Mais adiante no laboratório, você vai realizar uma consulta simples no BigQuery. Observação: você também pode exportar entradas de registros para o Pub/Sub ou o Cloud Storage. Exportar para o Pub/Sub pode ser útil se você quiser passar por um processo ETL antes do armazenamento em um banco de dados (Operações > Pub/Sub > Dataflow > BigQuery/Cloud Bigtable). Exportar para o Cloud Storage vai agrupar as entradas e gravá-las nos objetos do Cloud Storage aproximadamente uma vez por hora.

Agora crie uma exportação para o Pub/Sub.

10. Na página Roteador de registros, clique em Criar coletor.
11. Em "Nome do coletor", digite FlowLogPubSubExport e clique em Próximo.
12. Defina "Selecionar serviço de coletor" como um tópico do Cloud Pub/Sub.
13. Em "Tópico do Cloud Pub/Sub", clique em Criar um tópico.
14. Em "ID do tópico", digite FlowLogsTopic e depois clique em Criar.
15. Clique em Criar coletor.

A página "Coletores do Roteador de registros" será exibida. O coletor (FlowLogsTopic) que você criou vai aparecer. Caso contrário, clique em Roteador de registros.

16. No lado direito, clique no menu Mais ações para sua exportação e selecione Visualizar detalhes do coletor.

Isso vai mostrar o filtro que estava ativo quando a exportação foi criada.

17. Clique em Cancelar.

Agora é possível se inscrever no tópico novo do Pub/Sub e receber notificações quando novos registros estiverem disponíveis. Dessa forma, os registros podem ser transmitidos e integrados a uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM).

As ferramentas de SIEM são usadas para insights operacionais em tempo real e para criar relatórios de auditoria usando recursos de visualização potentes.

Tarefa 6: analisar registros de fluxo no BigQuery

Nesta tarefa, você vai analisar registros de fluxo no BigQuery.

Observação: quando você exporta registros para um conjunto de dados do BigQuery, o Cloud Logging cria tabelas datadas para manter as entradas. As entradas de registros são colocadas em tabelas com nomes baseados nas entradas.

1. No Console do Cloud, acesse o Menu de navegação e clique em BigQuery.
2. No painel de navegação, acesse a opção Explorador e expanda o nome do projeto para mostrar o conjunto de dados flowlogs_dataset.
3. Expanda o conjunto de dados para mostrar a tabela com seus registros de fluxo exportados.
4. Clique no nome da tabela que começa com compute_googleapis_com_vpc_flows_ e revise os esquemas e detalhes das tabelas que estão sendo usadas.

Observação: se você não encontrar essa tabela no conjunto de dados, abra o menu de navegação e clique em "Informações gerais do Cloud" ou em qualquer outro serviço. Depois, abra o menu de navegação, selecione BigQuery e tente encontrar a tabela de novo. Pode levar um ou dois minutos para ela aparecer no conjunto de dados.

5. Clique em Consulta > Em uma nova guia.
6. Exclua o texto da janela Nova consulta e cole a consulta a seguir:

#standardSQL SELECT jsonPayload.connection.dest_ip, resource FROM `flowlogs_dataset.compute_googleapis_com_vpc_flows*` WHERE jsonPayload.connection.dest_port = 22 LIMIT 1000

7. Clique em Executar.

Essa consulta retorna informações sobre o tráfego conectado à porta 22.

Depois de alguns segundos, os resultados vão aparecer. Uma ou duas entradas serão exibidas devido à atividade que você gerou neste laboratório. Lembre-se de que o BigQuery só está mostrando a atividade posterior à criação da exportação.

Observação: se nenhum resultado aparecer, talvez você tenha que gerar tráfego para as instâncias. Para fazer isso, acesse o Menu de navegação > Compute Engine e clique em SSH para cada instância. Depois execute a consulta outra vez.

Clique em Verificar meu progresso para conferir o objetivo. Crie exportações e analise os registros de fluxo no BigQuery

Tarefa 7: desativar a geração de registros de fluxos

Nesta tarefa, você vai desativar a geração de registros de fluxos de VPC. Ela pode ser desativada com a opção --no-enable-flow-logs.

1. Execute o comando a seguir no terminal do Cloud Shell para tentar a desativação em uma das suas sub-redes:

gcloud compute networks subnets update default \ --region europe-west1 --no-enable-flow-logs

2. Para verificar se ela foi desativada, acesse a VPC no console do Cloud. No Menu de navegação, clique em Rede VPC > Redes VPC. Se for solicitado, clique em SAIR.

Tarefa 8: revisão

Neste laboratório, você ativou a geração de registros de fluxos de VPC para uma sub-rede. Você acessou os registros pelo Cloud Logging. Você também filtrou registros para sub-redes, VMs, portas e protocolos específicos. Depois, você realizou monitoramento de rede, análise forense e análise de segurança em tempo real. Por fim, você desativou a geração de registros de fluxos de VPC.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2020 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.