准备工作
- 实验会创建一个 Google Cloud 项目和一些资源,供您使用限定的一段时间
- 实验有时间限制,并且没有暂停功能。如果您中途结束实验,则必须重新开始。
- 在屏幕左上角,点击开始实验即可开始
检查点
Identify the vulnerabilities with Security Command Center
/ 100
实验设置说明和要求
保护您的账号和进度。请务必在无痕浏览器窗口中,使用实验凭证运行此实验。
使用报告修复发现的问题
此内容尚未针对移动设备进行优化。
为获得最佳体验,请在桌面设备上访问通过电子邮件发送的链接。
重要提示:
请务必仅在桌面设备/笔记本电脑上完成此实操实验。
每个实验仅允许尝试 5 次。
温馨提示:第一次尝试时,您可能无法答对所有问题,甚至可能需要重做任务,请不必担心,这都是学习过程的一部分。
实验一旦开始,计时器就无法暂停。1 小时 30 分钟后,实验将结束,您需要重新开始。
如需了解详情,请阅读实验技术提示。
活动概览
报告对于帮助修复发现的问题至关重要,尤其是在网络安全、合规和质量保证等方面。这些报告通常会突出显示各种漏洞、问题或不符合既定标准的情况。通过分析这些报告,您可以明确改进方向,并获取有数据支撑的证据,从而制定合理的决策。详实具体的数据有助于高效确定优先级和分配资源,解决已发现的问题。
因此,针对报告中所列发现结果采取处理措施,有助于缓解和修复那些原本可能被利用的潜在风险与漏洞。这一点在网络安全领域尤为重要,因为未处理的问题可能会导致数据泄露或系统被入侵。
作为一名云安全分析师,您负责根据既定标准评估各项控制措施,确保组织的安全状况稳固、合规并符合行业最佳实践。该评估流程对于风险管理、合规及持续改进安全状况至关重要,最终助力组织有效保护敏感数据、系统及整体声誉。
在本实验中,您将使用 Security Command Center 界面识别和修复威胁与漏洞,并确认这些问题已经得到解决。
场景
您是 Cymbal Bank 新上任的初级云安全分析师,您的重要职责之一是及时有效地识别和修复各种威胁与漏洞。您的团队负责人 Chloe 向您提供了一份报告,其中重点指出了公司网络存在的安全问题。具体来说,他们近期发现组织内有一个 Cloud Storage 存储桶,其中包含敏感文档,但配置存在错误。您需要正确配置该存储桶,并验证相关问题已得到解决。
以下是完成此任务的步骤:首先,您需使用 Security Command Center 识别并验证这些安全威胁。然后,对高风险和中风险问题进行修复。最后,生成一份合规报告,验证修复措施切实有效。
设置
点击“开始实验”之前
请阅读以下说明。实验是计时的,并且您无法暂停实验。计时器在您点击开始实验后即开始计时,显示 Google Cloud 资源可供您使用多长时间。
此实操实验可让您在真实的云环境中开展活动,免受模拟或演示环境的限制。为此,我们会向您提供新的临时凭据,您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。
为完成此实验,您需要:
- 能够使用标准的互联网浏览器(建议使用 Chrome 浏览器)。
- 完成实验的时间 - 请注意,实验开始后无法暂停。
如何开始实验并登录 Google Cloud 控制台
-
点击开始实验按钮。左侧是实验详细信息面板,其中包含以下各项:
- 剩余时间
- 打开 Google Cloud 控制台按钮
- 进行该实验时必须使用的临时凭证
- 帮助您逐步完成本实验所需的其他信息(如果需要)
注意:如果该实验需要付费,系统会打开一个弹出式窗口供您选择支付方式。 -
如果您使用的是 Chrome 浏览器,点击打开 Google Cloud 控制台(或右键点击并选择在无痕式窗口中打开链接)。系统会在新的浏览器标签页中打开登录页面。
提示:您可以将这些标签页分别放在不同的窗口中,并排显示,以便轻松切换。
注意:如果您看到选择账号对话框,请点击使用其他账号。 -
如有必要,请复制下方的 Google Cloud 用户名,然后将其粘贴到登录对话框中。点击下一步。
您也可以在实验详细信息面板中找到 Google Cloud 用户名。
- 复制下面的 Google Cloud 密码,然后将其粘贴到欢迎对话框中。点击下一步。
您也可以在实验详细信息面板中找到 Google Cloud 密码。
- 依次点击后续页面,完成以下步骤:
- 接受条款及条件
- 由于这是临时账号,请勿添加账号恢复选项或双重验证
- 请勿用其注册免费试用服务
片刻之后,系统会在此标签页中打开 Google Cloud 控制台。
任务 1. 使用 Security Command Center (SCC) 识别漏洞
在此任务中,您将使用 Security Command Center (SCC) 检查项目的合规状态,并识别出需要修复的高风险和中风险漏洞。
- 在 Google Cloud 控制台中,从导航菜单 (
) 中,依次选择安全 > 概览。Security Command Center 概览页面随即打开。
- 在 Security Command Center 菜单中,点击漏洞。“漏洞”页面随即打开。
页面上列出了多个活跃漏洞。您可以使用过滤条件,通过模块 ID 搜索指定的发现结果。重点关注以下为您的存储桶列出的活跃发现结果:
-
公共存储桶 ACL (PUBLIC_BUCKET_ACL):此条目显示,该存储桶存在一条允许公开访问的访问控制列表 (ACL) 条目,意味着互联网上的任何人都可以读取该存储桶内的文件。这是一个高风险安全漏洞,需要优先修复。
-
“仅限存储桶政策”已停用 (BUCKET_POLICY_ONLY_DISABLED):此条目表明,该存储桶未启用统一存储桶级权限。利用统一存储桶级访问权限,您既可控制谁能访问 Cloud Storage 存储桶和对象,又能轻松授予 Cloud Storage 资源访问权限。这是一个中风险漏洞,同样必须修复。
-
存储桶日志记录已停用 (BUCKET_LOGGING_DISABLED):此条目表明,存在一个未启用日志记录功能的存储桶。这是一个低风险漏洞,在此场景下,无需修复。
接下来,生成一份合规报告,确认漏洞问题。
- 在 Security Command Center 菜单中,点击合规。“合规”页面随即打开。
- 在 Google Cloud 合规标准部分中,点击 CIS Google Cloud Platform Foundation 2.0 板块中的查看详细信息。CIS Google Cloud Platform Foundation 2.0 报告随即打开。
- 点击发现结果列,对发现的问题进行排序,使活跃发现结果显示在列表顶部。
任务 2. 修复安全漏洞
在本任务中,您需要修复上一任务中识别出的安全漏洞。然后,检查报告中 Cloud Storage 存储桶的安全状态,确认问题已得到修复。
- 在 Google Cloud 控制台中,从导航菜单 (
- 在过滤条件部分中,点击项目 (
) 存储桶的名称链接。“存储桶详情”页面随即打开。 - 点击权限标签页。权限部分列出了该存储桶的所有权限配置。
首先,移除对 Cloud Storage 存储桶的公开访问权限。
- 在权限部分中,点击按角色查看标签页。
- 展开 Storage Object Viewer 角色,勾选 allUsers 对应的复选框。
- 点击移除访问权限。
- 系统会弹出一个弹窗,提示您确认访问权限的移除操作。确保选中从此资源的 Storage Object Viewer 角色中移除 allUsers,然后点击移除。
接下来,将访问权限控制机制切换为统一权限。它将对存储桶及其中的对象施行一套统一的权限。
- 在访问权限控制板块中,点击切换到统一权限。
- 在修改访问权限控制对话框中,选择统一权限。
- 点击保存。
最后,生成一份合规报告,确认漏洞问题已得到修复。
- 在 Google Cloud 控制台中,从导航菜单 (
- 在 CIS Google Cloud Platform Foundation 2.0 板块中,点击查看详细信息,再次查看报告。
Cloud Storage 存储桶不应允许匿名或者公开访问和应启用“仅限存储桶政策”这两条规则的活跃发现结果数量,现在应为 0。这表明该 Cloud Storage 存储桶的公共存储桶 ACL 和“仅限存储桶政策”已停用这两类漏洞已得到修复。
点击检查我的进度,验证您已正确完成本任务。
总结
太棒了!
在本实验中,通过使用 Security Command Center,您已获得识别威胁并划分其优先级的实操经验。您还针对项目中识别出的漏洞进行了修复,并生成了一份报告,确认漏洞已得到修复。
通过修复漏洞并确保 Cloud Storage 存储桶合规,您已协助所在组织防范了数据泄露、未授权访问和数据丢失等风险。
结束实验
在结束实验之前,请确保您已完成所有任务。准备就绪后,点击结束实验,然后点击提交。
结束实验后,您将无法再访问实验环境,也无法再访问您在其中完成的工作成果。
版权所有 2026 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名称和产品名称可能是其各自相关公司的商标。
