始める前に
- ラボでは、Google Cloud プロジェクトとリソースを一定の時間利用します
- ラボには時間制限があり、一時停止機能はありません。ラボを終了した場合は、最初からやり直す必要があります。
- 画面左上の [ラボを開始] をクリックして開始します
チェックポイント
Remove the overly permissive rules
/ 10
Start the bastion host instance
/ 10
Create a firewall rule that allows SSH (tcp/22) from the IAP service and add network tag on bastion
/ 20
Create a firewall rule that allows traffic on HTTP (tcp/80) to any address and add network tag on juice-shop
/ 20
Create a firewall rule that allows traffic on SSH (tcp/22) from acme-mgmt-subnet network address and add network tag on juice-shop
/ 20
SSH to bastion host via IAP and juice-shop via bastion
/ 20
700 以上のラボとコースにアクセス
安全な Google Cloud ネットワークの構築: チャレンジラボ
700 以上のラボとコースにアクセス
GSP322
はじめに
チャレンジラボでは、シナリオと一連のタスクが提供されます。手順ガイドに沿って進める形式ではなく、コース内のラボで習得したスキルを駆使して、ご自身でタスクを完了していただきます。タスクが適切に完了したかどうかは、このページに表示される自動スコアリング システムで確認できます。
チャレンジラボは、Google Cloud の新しいコンセプトについて学習するためのものではありません。デフォルト値を変更する、エラー メッセージを読み調査を行ってミスを修正するなど、習得したスキルを応用する能力が求められます。
100% のスコアを達成するには、制限時間内に全タスクを完了する必要があります。
このラボは、「Build a Secure Google Cloud Network」スキルバッジに登録している受講者を対象としています。準備が整ったらチャレンジを開始しましょう。
設定
[ラボを開始] ボタンをクリックする前に
こちらの説明をお読みください。ラボには時間制限があり、一時停止することはできません。タイマーは、Google Cloud のリソースを利用できる時間を示しており、[ラボを開始] をクリックするとスタートします。
このハンズオンラボでは、シミュレーションやデモ環境ではなく実際のクラウド環境を使って、ラボのアクティビティを行います。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。
このラボを完了するためには、下記が必要です。
- 標準的なインターネット ブラウザ(Chrome を推奨)
- ラボを完了するための時間(開始後は一時停止できません)
チャレンジ シナリオ
あなたは地元で小さな会社を経営する Jeff に、アクセスが急増しているウェブサイト(juice-shop)の運営を支援するセキュリティ コンサルタントとして招かれました。Jeff には Google Cloud の使用経験がありません。また、そのウェブサイトは近くに住む知人の息子が立ち上げたものです。その知人の息子は進学のために地元を離れることになり、ウェブサイトが稼働していることを確認してから出発したそうです。
現在の設定は次のとおりです。
チャレンジ
あなたは、Jeff のサイトに適切なセキュリティ構成を作成する必要があります。最初のチャレンジでは、ファイアウォール ルールと仮想マシンタグを設定します。また、踏み台インスタンスへの SSH 接続は必ず IAP 経由で行われるようにする必要があります。
ファイアウォール ルールについては、次の点を確認してください。
- 踏み台インスタンスにパブリック IP アドレスが割り当てられていないこと。
- 踏み台インスタンスへは IAP 経由の SSH 接続のみを許可すること。
-
juice-shopへは踏み台インスタンス経由の SSH 接続のみを許可すること。 -
juice-shopの環境に対して HTTP のみを開放すること。
ヒントとアドバイス:
- ネットワーク タグと関連する VPC ファイアウォール ルールに注意してください。
- VPC ファイアウォール ルールのソース範囲については、具体的なサイズと上限サイズを設定してください。
- 過度に緩い制限は正解と見なされません。
推奨される手順:
- ファイアウォール ルールを確認します。制限が過度に緩いルールを削除します。
- Cloud Console で [Compute Engine] に移動して、踏み台インスタンスを特定します。このインスタンスは停止している必要があります。インスタンスを起動します。
- この踏み台インスタンスは、外部 SSH トラフィックを受信することが承認されている唯一のマシンです。IAP サービスからの SSH(TCP/22)を許可するファイアウォール ルールを作成します。
のネットワーク タグを利用し、踏み台インスタンスに対してファイアウォール ルールを有効にする必要があります。
-
juice-shopサーバーでは HTTP トラフィックが処理されます。HTTP(TCP/80)のトラフィックを任意のアドレスに許可するファイアウォール ルールを作成します。のネットワーク タグを利用し、juice-shop インスタンスに対してファイアウォール ルールを有効にする必要があります。
- SSH を使用して踏み台インスタンスから
juice-shopに接続する必要があります。acme-mgmt-subnetのネットワーク アドレスからの SSH(TCP/22)のトラフィックを許可するファイアウォール ルールを作成します。のネットワーク タグを利用し、 juice-shopインスタンスに対してファイアウォール ルールを有効にする必要があります。
- [Compute Engine インスタンス] ページで、踏み台インスタンスの [SSH] ボタンをクリックします。接続したら、
juice-shopに SSH 接続します。
お疲れさまでした
このチャレンジラボを完了し、Jeff のセキュリティ対策を支援することができました。
次のステップと詳細情報
このスキルバッジは、Google Cloud のネットワーク エンジニアとセキュリティ エンジニア向け学習プログラムの一部です。この学習プログラムの他のスキルバッジを獲得済みの場合は、他の 20 以上の登録可能なスキルバッジを Google Cloud Skills Boost カタログで検索してみてください。
Google Cloud トレーニングと認定資格
Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。
マニュアルの最終更新日: 2024 年 4 月 2 日
マニュアルの最終テスト日: 2023 年 11 月 8 日
Copyright 2025 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。
