重要提醒：

請務必使用桌機/筆電完成這個實作實驗室。

每個實驗室都只有 5 次嘗試機會。

提醒：第一次嘗試時，不一定能全部答對，甚至可能需要重做，這是正常的過程。

實驗室活動開始後，計時器無法暫停。實驗室會在 1 小時 30 分鐘後結束，如果您沒做完，就必須重新開始。

您可查看實驗室技術提示瞭解詳情。

活動總覽

報表是修復發現項目的重要工具，尤其是在網路安全、法規遵循和品質保證方面。這些報表通常會指出安全漏洞、問題或不符合既定標準的情況。分析這些報表，可以找出需要改進的地方，並根據資料做出明智決策。有了具體資料，則能有效排定優先順序及分配資源，解決已發現的問題。

因此，根據報表結果採取行動，有助於降低潛在風險和安全漏洞，避免遭人利用。這在網路安全領域尤其重要，因為未解決的問題可能導致資料侵害或系統入侵。

您身為雲端資安分析師，必須根據既定標準評估控管機制，確保組織的資安態勢有效、符合法規，並與業界最佳做法一致。這項評估程序有助於風險管理、法規遵循和持續提升安全性，最終能協助組織保護機密資料、系統和整體信譽。

在本實驗室中，您將使用 Security Command Center 介面找出並修復威脅和安全漏洞，然後確認問題已解決。

情境

您是 Cymbal Bank 新上任的初級雲端資安分析師，其中一項重要職責是及時有效找出威脅及安全漏洞，並予以防範。您的團隊主管 Chloe 給您看了一份報表，指出公司網路存在安全疑慮。具體而言，他們最近發現組織有一個 Cloud Storage bucket 含有機密文件，但設定不正確。您要正確設定 bucket，並確認問題已解決。

這項工作分為以下步驟：首先，您要使用 Security Command Center 找出並驗證安全威脅。接著，您將修復高風險和中風險問題。最後，您將執行法規遵循報表，確認修復作業已完成。

設定

點選「Start Lab」之前

請詳閱下列操作說明。實驗室活動會計時，中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您會在實際雲端環境完成實驗室活動，而非模擬或示範環境。因此，我們會提供新的臨時憑證，讓您在實驗室活動期間登入及存取 Google Cloud。

如要順利完成這個實驗室活動，請先確認：

• 可以使用標準的網路瀏覽器 (Chrome 瀏覽器為佳)。

注意：請使用無痕模式或私密瀏覽視窗執行此實驗室，防止個人帳戶和學生帳戶之間的衝突，避免個人帳戶產生額外費用。

• 該來完成實驗室活動了！別忘了，活動開始後就無法暫停。

注意：如有個人 Google Cloud 帳戶或專案，請勿用於本實驗室，以免產生額外費用。

如何啟動實驗室環境及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。左側的「Lab Details」面板會顯示下列項目：

   • 剩餘時間
   • 「Open Google Cloud console」按鈕
   • 這個實驗室中應使用的暫時憑證
   • 完成這個實驗室所需的其他資訊 (如有)
   注意：如果實驗室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也可以按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。「登入」頁面會在新的瀏覽器分頁開啟。

   提示：為方便切換，可以將分頁安排在不同的視窗並排顯示。

   注意：如果顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有需要，請複製下方的 Google Cloud 使用者名稱，然後貼到「登入」對話方塊。點選「下一步」。

{{{user_0.username | "Google Cloud username"}}}

您也可以在「Lab Details」面板找到 Google Cloud 使用者名稱。

4. 複製下方的 Google Cloud 密碼，並貼到「歡迎使用」對話方塊。點選「下一步」。

{{{user_0.password | "Google Cloud password"}}}

您也可以在「Lab Details」面板找到 Google Cloud 密碼。

重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：在這個實驗室中使用自己的 Google Cloud 帳戶，可能會產生額外費用。

5. 繼續點選後續頁面：
   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Cloud 控制台稍後會在這個分頁中開啟。

注意事項：點選畫面左上方的導覽選單，即可查看 Google Cloud 產品與服務清單。

工作 1：使用 Security Command Center (SCC) 找出安全漏洞

在這項工作中，您將使用 Security Command Center (SCC) 檢查專案的法規遵循狀態，並找出需要修復的高風險和中風險安全漏洞。

1. 前往 Google Cloud 控制台，依序選取「導覽選單」圖示 >「安全性」>「總覽」。Security Command Center Overview 的總覽頁面隨即開啟。
2. 在 Security Command Center 選單中，點按「安全漏洞」，安全漏洞頁面隨即開啟。

清單列出許多未解決的安全漏洞。請使用篩選器，透過模組 ID 搜尋指定的發現項目。您將著重於以下 Storage bucket 中未解決的發現項目：

• Public bucket ACL (PUBLIC_BUCKET_ACL)：這個項目表示 Storage bucket 有公開存取權的存取控管清單 (ACL) 項目，也就是網路上任何人都能讀取 bucket 中儲存的檔案。這是高風險安全漏洞，應優先修復。

• Bucket policy only disabled (BUCKET_POLICY_ONLY_DISABLED)：這個項目表示 bucket 未啟用統一的 bucket 層級權限。統一 bucket 層級存取權可控管 Cloud Storage bucket 和物件的存取權，簡化 Cloud Storage 資源的存取權授予程序。這項安全漏洞的風險為中等，也必須修復。

• Bucket logging disabled (BUCKET_LOGGING_DISABLED)：這個項目表示有 Storage bucket 未啟用記錄功能。這是低風險安全漏洞，在這個情境中，您不需要修復。

注意：如果沒有列出「Public bucket ACL」或「Bucket policy only disabled」，或沒有顯示任何未解決的發現項目，請稍等幾分鐘後重新整理，等到這些安全漏洞出現後再繼續。

接著，執行法規遵循報表，確認安全漏洞問題。

3. 在 Security Command Center 選單中，點選「法規遵循」，法規遵循頁面便會開啟。
4. 在「Google Cloud compliance standards」部分，點選「CIS Google Cloud Platform Foundation 2.0」圖塊中的「查看詳細資料」，CIS Google Cloud Platform Foundation 2.0 報表就會開啟。
5. 點按「發現項目」一欄，即可將發現項目排序，並顯示在清單頂端。

工作 2：修正安全漏洞

在這項工作中，您將修復前一項工作發現的安全漏洞。您要在報表中查看 Cloud Storage bucket 的安全性狀態，確認問題已修正。

1. 前往 Google Cloud 控制台，依序點選「導覽選單」 >「Cloud Storage」>「Bucket」。
2. 在「篩選器」部分，點選專案 bucket () 的「名稱」連結，即可開啟 Bucket 詳細資料頁面。
3. 按一下「權限」分頁標籤，這個部分會列出 bucket 所有權限。

首先，移除 Cloud Storage bucket 的公開存取權。

4. 在「權限」部分，點選「按照角色查看」分頁標籤。
5. 展開「Storage 物件檢視者」角色，然後勾選「allUsers」核取方塊。
6. 按一下「移除存取權」。
7. 系統會顯示彈出式視窗，詢問您是否要移除存取權。確認已選取「Remove allUsers from the role Storage Object Viewer on this resource」，然後點按「移除」。

接著，將存取控管機制切換為統一模式，對 bucket 及其物件強制執行一組 (統一) 權限。

8. 在「存取控管」中，點選「切換至統一權限」。
9. 在「編輯存取控管模型」對話方塊中，選取「統一」。
10. 點選「儲存」。

最後，執行法規遵循報表，確認安全漏洞問題已修復。

11. 前往 Google Cloud 控制台，依據點選「導覽選單」圖示 >「安全性」>「法規遵循」。
12. 在「CIS Google Cloud Platform Foundation 2.0」圖塊中，點選「查看詳細資料」即可再次查看報表。

Cloud Storage bucket 不應開放匿名或公開存取和應啟用「Bucket policy only」選項規則的未解決發現項目數量應為 0，代表 Cloud Storage bucket 的 Public bucket ACL 和 Bucket policy only disabled 安全漏洞已修復。

注意：修復安全漏洞後，如果 Public bucket ACL 或 Bucket policy only disabled 的未解決發現項目數值不是 0，請稍等幾分鐘後再重新整理。

點選「Check my progress」，確認工作已正確完成。

修復安全漏洞

總結

做得好！

在本實驗室中，您已實際練習使用 Security Command Center 找出威脅並排定優先順序，也修復專案中發現的安全漏洞，並生成報表確認已修復。

您修復了安全漏洞，確保 Cloud Storage bucket 符合法規，成功協助貴組織化解資料侵害、未經授權的存取行為和資料遺失的風險。

關閉實驗室

結束實驗室前，請確認已完成所有工作。如果已確定完成，請依序點選「End Lab」和「Submit」。

關閉實驗室後，就無法進入實驗室環境，也無法再次存取在實驗室完成的工作。

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。