重要提示：

请为每个任务的工作成果截屏，以便添加到您的作品集中。

请务必仅在桌面设备/笔记本电脑上完成此实操实验。

每个实验仅允许尝试 5 次。

温馨提示：第一次尝试时，您可能答不对所有问题，甚至可能需要重做任务。不必担心，这都是学习过程的一部分。

实验一旦开始，计时器就无法暂停。1 小时 30 分钟后，实验将结束，您需要重新开始。

如需了解详情，请阅读实验技术提示。

活动概览

本实验是结业项目的一部分。在本实验中，您将运用云网络安全知识来识别和修复漏洞。

您需要在一个给定的场景中，使用 Google Cloud Security Command Center 完成一系列任务。在这些任务中，您需要运用自己的技能来分析并修复与安全事件相关的活跃漏洞，回答有关这些漏洞的问题，并完成挑战来评估您的云网络安全技能。

本实验中还包含多项挑战。挑战是一种任务，您需要在没有任何指导的情况下独立完成。

成功完成本实验后，您将能够证明自己有能力识别云环境中的安全漏洞和错误配置、确定其优先级并加以修复。这些都是不可或缺的技能，可以增强 Google Cloud 环境的安全状况，降低发生数据泄露、未经授权的访问和其他安全事件的风险。

场景

过去一年，您一直在 Cymbal Retail 担任初级云安全分析师。Cymbal Retail 是一家市场零售巨头，目前在 28 个国家/地区经营着 170 家实体店和一个线上平台。该公司在 2022 年报告的收入为 150 亿美元，目前在全球范围内有 80,400 名员工。

Cymbal Retail 有着庞大的客户群，其线上平台每天都有海量交易发生。该组织致力于保障客户、员工和自身资产的安全，确保其在所有国家/地区的经营均符合内部和外部的监管合规期望。

最近，该公司遭遇了一起大规模数据泄露事件。作为安全团队的初级成员，您将全程协助安全团队应对这起安全事件。您首先需要识别与此次数据泄露相关的漏洞，然后隔离并遏制泄露行为，以防止未经授权的进一步访问。接着，您需要恢复受损系统，修复所有悬而未决的合规相关问题，并验证是否符合框架要求。

以下是任务的具体步骤：首先，您需要在 Google Cloud Security Command Center 中检查漏洞和发现结果。接着，关闭旧的虚拟机，并基于快照创建一个新的虚拟机。然后，调用对存储桶的公开访问权限，并切换到统一的存储桶级访问权限控制。接下来，限制防火墙端口访问并修复防火墙规则。最后，生成报告来验证漏洞修复情况。

设置

点击“开始实验”之前

请阅读以下说明。实验是计时的，并且您无法暂停实验。计时器在您点击开始实验后即开始计时，显示 Google Cloud 资源可供您使用多长时间。

此实操实验可让您在真实的云环境中开展活动，免受模拟或演示环境的限制。为此，我们会向您提供新的临时凭据，您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。

为完成此实验，您需要：

• 能够使用标准的互联网浏览器（建议使用 Chrome 浏览器）。

注意：请使用无痕模式或无痕浏览器窗口运行此实验。这可以避免您的个人账号与学生账号之间发生冲突，这种冲突可能导致您的个人账号产生额外费用。

• 完成实验的时间 - 请注意，实验开始后无法暂停。

注意：如果您已有自己的个人 Google Cloud 账号或项目，请不要在此实验中使用，以避免您的账号产生额外的费用。

如何开始实验并登录 Google Cloud 控制台

1. 点击开始实验按钮。左侧是实验详细信息面板，其中包含以下各项：

   • 剩余时间
   • 打开 Google Cloud 控制台按钮
   • 进行该实验时必须使用的临时凭证
   • 帮助您逐步完成本实验所需的其他信息（如果需要）
   注意：如果该实验需要付费，系统会打开一个弹出式窗口供您选择支付方式。

2. 如果您使用的是 Chrome 浏览器，点击打开 Google Cloud 控制台（或右键点击并选择在无痕式窗口中打开链接）。系统会在新的浏览器标签页中打开登录页面。

   提示：您可以将这些标签页分别放在不同的窗口中，并排显示，以便轻松切换。

   注意：如果您看到选择账号对话框，请点击使用其他账号。

3. 如有必要，请复制下方的 Google Cloud 用户名，然后将其粘贴到登录对话框中。点击下一步。

{{{user_0.username | "Google Cloud username"}}}

您也可以在实验详细信息面板中找到 Google Cloud 用户名。

4. 复制下面的 Google Cloud 密码，然后将其粘贴到欢迎对话框中。点击下一步。

{{{user_0.password | "Google Cloud password"}}}

您也可以在实验详细信息面板中找到 Google Cloud 密码。

重要提示：您必须使用实验提供的凭证。请勿使用您的 Google Cloud 账号凭证。 注意：在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。

5. 依次点击后续页面，完成以下步骤：
   • 接受条款及条件
   • 由于这是临时账号，请勿添加账号恢复选项或双重验证
   • 请勿用其注册免费试用服务

片刻之后，系统会在此标签页中打开 Google Cloud 控制台。

注意：您可以点击左上角的导航菜单来查看列有 Google Cloud 产品和服务的菜单。

任务 1. 分析此次数据泄露并收集信息

一天早上，安全团队检测到系统内有异常活动。对这项活动做进一步调查后，他们很快发现该公司在应用、网络、系统和数据存储库方面都发生了大规模的安全事故。攻击者未经授权就得以访问敏感的客户信息，包括信用卡数据和个人详细信息。这起事故需要立即引起注意并进行彻底调查。要了解此次数据泄露的范围和影响，首先要收集信息并分析现有数据。

在此任务中，您需要在 Google Cloud Security Command Center 中检查漏洞和发现结果，以确定攻击者是如何获得数据访问权限的，以及需要采取哪些修复措施。

重要提示：本部分列出的漏洞需要事先运行特定的安全检查才能发现。如果某些检查尚未运行，则在您完成本部分中的步骤时，Security Command Center 中可能不会显示相关漏洞。但不要担心！您仍然可以使用此任务中提供的信息来分析所获得的发现结果，并继续执行后续任务中的修复步骤。

首先，请前往 Security Command Center 查看活跃漏洞的概览。

1. 在 Google Cloud 控制台的导航菜单 () 中，依次点击安全 > 风险概览。Security Command Center 概览页面随即打开。
2. 在错误配置窗格中，选择按资源类型标签页。该标签页根据受影响的云资源类型（例如实例、存储桶、数据库）整理了安全发现结果或漏洞。通过按资源类型查看活跃漏洞和发现结果，您可以有效地确定安全问题的轻重缓急并加以解决。

您会注意到，与 Cloud Storage 存储桶、计算实例虚拟机和防火墙相关的发现结果既有高严重性，也有中等严重性。

接下来，前往 PCI DSS 报告。

3. 在 Security Command Center 菜单中，点击合规。“合规”页面随即打开。
4. 在 Google Cloud 合规标准部分中，点击 PCI DSS 3.2.1 板块中的查看详情。PCI DSS 3.2.1 报告随即打开。
5. 点击发现结果列，对发现的问题进行排序，使活跃发现结果显示在列表顶部。

注意：请务必按照以下步骤评估 PCI 报告，不要刷新页面，否则所需的过滤条件将被移除，页面中就不会显示正确的信息。

支付卡行业数据安全标准 (PCI DSS) 是一套安全要求，组织必须遵循这些要求来保护敏感的持卡人数据。作为一家接受和处理信用卡支付的零售公司，Cymbal Retail 也必须确保符合 PCI DSS 要求，以保护持卡人数据。

在检查 PCI DSS 3.2.1 报告时，请注意其中列出了与数据泄露相关的违规规则：

• 应启用防火墙规则日志记录，以便您审核对网络的访问：这条发现结果的严重性为中等，它指出防火墙规则日志记录已停用，这意味着没有记录显示当前应用了哪些防火墙规则，以及允许或拒绝哪些流量。这会导致难以跟踪和调查可疑活动，从而带来安全风险。
• 防火墙规则不应允许所有 IP 地址都可通过 TCP 或 UDP 端口 3389 连接：这条发现结果的严重性为高，它指出防火墙配置为允许网络中的所有实例接收来自整个互联网的远程桌面协议 (RDP) 流量。这会允许互联网上的任何人连接到网络中任何实例上的 RDP 端口，从而带来安全风险。
• 防火墙规则不应允许所有 IP 地址都可通过 TCP 或 SCTP 端口 22 连接：这条发现结果的严重性为高，它指出防火墙配置为允许来自整个互联网的安全外壳 (SSH) 流量进入网络中的所有实例。SSH 是一种可实现安全远程访问计算机的协议。一旦攻击者通过 SSH 成功访问机器，他们就可能会窃取数据、安装恶意软件或扰乱正常运营。
• 不应为虚拟机分配公共 IP 地址：这条发现结果的严重性为高，它指出特定 IP 地址目前暴露在公共互联网上，未经授权的个人或许能够访问该地址。这条发现结果被视为潜在的安全风险，因为攻击者可能会趁机扫描漏洞或对相关资源发起攻击。
• Cloud Storage 存储桶不应允许匿名或者公开访问：这条发现结果的严重性为高，它指出该存储桶对应的访问控制列表 (ACL) 条目允许公开访问，这意味着互联网上的任何人都可以读取该存储桶中存储的文件。这是一个高风险安全漏洞，需要优先修复。
• 实例不应配置为使用能够全面访问所有 Cloud API 的默认服务账号：这条发现结果的严重性为中等，它指出已向某个特定身份或服务账号授予对所有 Google Cloud API 的完整访问权限。这条发现结果被视为重大安全风险，因为该身份或服务账号将能够在 Google Cloud 环境中执行任何操作，包括访问敏感数据、修改配置和删除资源。

由于您专注于识别和修复与安全事件相关的问题，请忽略以下发现结果，因为它们与您要完成的修复任务无关：

• 应为 VPC 网络中的每个子网启用 VPC 流日志：有一些严重性为低的发现结果会指出流日志已停用。这表明，用于本实验的 Google Cloud 项目中有一些子网未启用流日志。这是一种潜在的安全风险，因为通过流日志可以深入分析网络流量存在的规律，从中发现宝贵的洞见，进而有助于识别可疑活动和调查安全事件。

注意：为云资源启用日志记录对于确保可观测性非常重要。不过，在本实验活动中，您不会修复这条发现结果，因为子网是本实验环境的一部分。因此，在您完成修复任务后，这条发现结果仍会显示在报告中。

• 基本角色（Owner、Writer 和 Reader）过于宽泛，不应使用：这条发现结果的严重性为中等，它指出 Google Cloud 环境中正在使用原初角色。这是潜在的安全风险，因为原初角色可授予对各种资源的广泛访问权限。
• 应设置出站流量拒绝规则：这条发现结果的严重性为低，它指出没有为受监控的防火墙指定出站流量拒绝规则。这条发现结果敲响了潜在的安全警钟，因为它表明出站流量不受限制，可能会泄露敏感数据或允许未经授权的通信。

下表将报告中列出的规则与其对应的发现结果类别进行了匹配。这有助于您后续按资源类型检查发现结果：

发现结果类别	规则
防火墙规则日志记录已停用	应启用防火墙规则日志记录，以便您审核对网络的访问
开放的 RDP 端口	防火墙规则不应允许所有 IP 地址都可通过 TCP 或 UDP 端口 3389 连接
开放的 SSH 端口	防火墙规则不应允许所有 IP 地址都可通过 TCP 或 SCTP 端口 22 连接
公共 IP 地址	不应为虚拟机分配公共 IP 地址
公共存储桶 ACL	Cloud Storage 存储桶不应允许匿名或者公开访问
完整 API 访问权限	实例不应配置为使用能够全面访问所有 Cloud API 的默认服务账号
流日志已停用	应为 VPC 网络中的每个子网启用 VPC 流日志
原初角色已使用	基本角色（Owner、Writer 和 Reader）过于宽泛，不应使用
出站拒绝规则未设置	应该设置出站流量拒绝规则

总体而言，这些发现结果表明，安全控制措施严重不足，且不符合基本的 PCI DSS 要求；这些结果还指出了与数据泄露相关的漏洞。

接下来，请前往 Security Command Center，并过滤发现结果，以便进一步检查和分析 Google Cloud 环境中的漏洞。

6. 在 Google Cloud 控制台的导航菜单 () 中，依次点击安全 > 发现结果。发现结果页面随即打开。
7. 在快速过滤条件面板的资源类型部分中，选中 Google Cloud Storage 存储桶资源类型对应的复选框。

界面中应会列出以下与存储桶相关的活跃发现结果：

• 公共存储桶 ACL：此发现结果在 PCI DSS 报告中列出，表明任何可以访问互联网的人都能读取相应存储桶中存储的数据。
• “仅限存储桶政策”已停用：这表示没有实施明确的存储桶政策来控制谁可以访问相应存储桶中的数据。
• 存储桶日志记录已停用：这表示没有为相应存储桶启用日志记录，因此难以跟踪是谁在访问数据。

这些发现结果表明，相应存储桶所配置的安全设置组合可能导致数据遭到未经授权的访问。您需要移除公开访问控制列表、停用存储桶公开访问权限并启用统一的存储桶级访问权限政策，才能修复发现的这些问题。

注意：为云资源启用日志记录对于确保可观测性非常重要。不过，在本实验活动中，您不会修复“存储桶日志记录已停用”发现结果，因为这需要处理多个项目。因此，在您完成修复任务后，这条发现结果仍会显示。

8. 在快速过滤条件面板的资源类型部分，取消选中 Google Cloud Storage 存储桶，然后选中 Google 计算实例资源类型所对应的复选框。

界面中应该会列出以下与名为 cc-app-01 的虚拟机相关的活跃发现结果：

• 恶意软件：网域错误：这条发现结果表明，从名为 cc-app-01 的 google.compute.instance 访问了已知与恶意软件相关的网域。尽管这条发现结果被认为严重性较低，但它表明该虚拟机实例上发生了恶意活动，并且该实例已遭入侵。
• 计算安全启动已停用：这条发现结果的严重性为中等，它指出已为相应虚拟机停用安全启动。这是一种安全风险，因为它允许虚拟机使用未经授权的代码启动，而这些代码可能会被用来入侵系统。
• 使用的是默认服务账号：这条发现结果的严重性为中等，它指出虚拟机当前使用的是默认服务账号。这是一种安全风险，因为默认服务账号具有较高的访问权限级别，如果攻击者获得了对项目的访问权限，该账号就可能被攻破。
• 公共 IP 地址：这条发现结果的严重性为高，它在 PCI DSS 报告中列出，指出相应虚拟机采用的是公共 IP 地址。这是一种安全风险，因为它允许互联网上的任何人直接连接到虚拟机。
• 完整 API 访问权限：这条发现结果的严重性为中等，它在 PCI DSS 报告中列出，指出相应虚拟机已被授予对所有 Google Cloud API 的完整访问权限。

这些发现结果表明，相应虚拟机的配置方式使其极易受到攻击。要修复发现的这些问题，您需要关闭原始虚拟机 (cc-app-01)，并使用磁盘的干净快照创建一个虚拟机 (cc-app-02)。该新虚拟机需采用以下设置：

• 没有计算服务账号
• 为新规则添加防火墙规则标记，以控制 SSH 访问
• 已启用安全启动功能
• 公共 IP 地址设置为“无”

9. 在时间范围字段中，展开下拉菜单，然后选择过去 30 天。这样可确保列表包含过去 30 天内的发现结果。
10. 在快速过滤条件面板的资源类型部分，取消选中 Google 计算实例，然后选中 Google 计算防火墙资源类型所对应的复选框。

界面中应该会列出与防火墙相关的以下活跃发现结果：

• 开放的 SSH 端口：这条发现结果的严重性为高，它指出防火墙配置为允许来自整个互联网的安全外壳 (SSH) 流量进入网络中的所有实例。
• 开放的 RDP 端口：这条发现结果的严重性为高，它指出防火墙配置为允许来自整个互联网的远程桌面协议 (RDP) 流量进入网络中的所有实例。
• 防火墙规则日志记录已停用：这条发现结果的严重性为中等，它指出防火墙规则日志记录已停用。这意味着没有记录显示当前应用了哪些防火墙规则，以及允许或拒绝哪些流量。

所有这些发现结果都列在 PCI DSS 报告中，突显了网络配置中存在的重大安全漏洞。由于未限制对 RDP 和 SSH 端口的访问，再加上防火墙规则日志记录被停用，网络极易受到未经授权的访问和出现潜在的数据泄露。您需要移除过于宽松的现有防火墙规则，将它们替换为仅允许从 Google Cloud 的 IAP SSH 服务使用的地址进行 SSH 访问的防火墙规则，才能修复这些问题。

现在您已经分析了安全漏洞，接下来需要根据报告中的发现结果着手修复了。

任务 2. 修复 Compute Engine 漏洞

在本任务中，您需要关闭易受攻击的虚拟机 cc-app-01，并基于在恶意软件感染之前拍摄的快照创建一个新虚拟机。虚拟机快照可以有效地将系统恢复到干净状态，并确保新虚拟机不会感染侵入到原始虚拟机的恶意软件。

1. 在 Google Cloud 控制台中，点击导航菜单 ()。
2. 选择 Compute Engine > 虚拟机实例。系统会打开“虚拟机实例”页面。

当前虚拟机 cc-app-01 应列在虚拟机实例下。该虚拟机易受攻击而且已遭入侵，必须将其关闭。

3. 选中 cc-app-01 虚拟机对应的复选框。
4. 点击停止。
5. 接下来会显示一个弹出式窗口，要求您确认是否应停止该虚拟机；请点击停止。

点击检查我的进度，验证您是否已正确完成此任务。

关闭易受攻击的虚拟机

接下来，基于快照创建一个新虚拟机。作为 Cymbal Retail 长期数据备份计划的一部分，此快照已提前创建完毕。

6. 在操作栏中，点击 + 创建实例。
7. 在机器配置部分的名称字段中，输入 cc-app-02。
8. 对于机器类型，请展开下拉菜单，选择共享核心，然后选择 e2-medium。
9. 点击操作系统和存储空间部分，然后点击与操作系统和存储空间对应的更改。
10. 选择快照标签页。
11. 展开快照下拉菜单，然后选择 cc-app01-snapshot。
12. 点击选择。
13. 在网络部分的网络标记字段中，输入 cc。您后面将使用此标记将防火墙规则应用于这个特定虚拟机。
14. 在网络接口部分，展开默认网络。
15. 展开外部 IPv4 地址下拉菜单，然后选择无。
16. 在安全部分的身份和 API 访问权限部分，展开服务账号下拉菜单，然后选择 Qwiklabs 用户服务账号。
17. 点击创建。

至此已经基于 cc-app01-snapshot 创建了新虚拟机 cc-app-02。（新虚拟机可能需要几分钟时间才能创建完毕。）

现在，为新虚拟机 cc-app-02 启用安全启动功能，以解决发现的安全启动已停用问题。

18. 选中 cc-app-02 虚拟机对应的复选框。
19. 点击停止。
20. 接下来会显示一个弹出式窗口，要求您确认是否应停止该虚拟机；请点击停止。

等待 cc-app-02 虚拟机停止后再继续。

21. 在虚拟机实例部分，点击 cc-app-02 链接。cc-app-02 页面随即打开。
22. 在 cc-app-02 工具栏中，点击修改。“修改 cc-app-02 实例”页面即会打开。
23. 向下滚动到安全与访问权限部分，然后在安全强化型虚拟机下，选中开启安全启动选项对应的复选框。这将解决发现的计算安全启动已停用问题。
24. 点击保存。
25. 在 Compute Engine 菜单中，选择虚拟机实例。
26. 选中 cc-app-02 虚拟机对应的复选框。
27. 点击启动/恢复。
28. 系统会显示一个弹出式窗口，要求您确认是否应启动该虚拟机；请点击启动。

cc-app-02 虚拟机实例将重启，发现的安全启动已停用问题也将随之修复。

点击检查我的进度，验证您是否已正确完成此任务。

基于现有快照创建新虚拟机

挑战：删除遭入侵的虚拟机

删除遭入侵的虚拟机 cc-app-01。

点击检查我的进度，验证您是否已正确完成此任务。

删除遭入侵的虚拟机

按照上述步骤，您已经基于快照成功创建了一个新虚拟机，并确保其没有感染恶意软件，也不存在错误配置。您还删除了遭入侵的虚拟机，消除了安全事故的来源。

任务 3. 修复 Cloud Storage 存储桶权限

在本任务中，您将撤消对存储桶的公开访问权限，并切换到统一的存储桶级访问权限控制，从而显著降低数据泄露的风险。通过移除存储桶的所有用户权限，您可以防止未经授权访问其中存储的数据。

1. 在导航菜单 () 中，依次选择 Cloud Storage > 存储桶。“存储桶”页面即会打开。
2. 点击 _bucket 存储桶链接。“存储桶详情”页面即会打开。

您会注意到，在可公开访问的存储桶中有一个 myfile.csv 文件。此文件包含恶意方转储的敏感信息。请完成以下步骤来解决发现的公共存储桶 ACL 问题。

3. 点击权限标签页。

4. 在公开访问板块中，点击禁止公开访问。

5. 点击确认。

挑战：修改存储桶访问权限

将访问权限控制切换为统一访问权限控制，并从存储桶中移除 allUsers 主账号的权限，以便对该存储桶及其对象实施同一组权限。您还需要确保依靠基本项目角色来访问该存储桶的用户不会失去访问权限。

点击检查我的进度，验证您是否已正确完成此任务。

修改存储桶访问权限。

通过按照上述步骤操作，您有效阻止了对该存储桶的公开访问，切换到了统一的存储桶级访问权限控制，并移除了所有用户权限，从而解决了发现的公共存储桶 ACL、“仅限存储桶政策”已停用和存储桶日志记录已停用问题。

任务 4. 限制对防火墙端口的访问

在本任务中，您将限制对 RDP 和 SSH 端口的访问，仅允许授权的来源网络访问它们，以便最大限度减少攻击面并降低未经授权进行远程访问的风险。

在修改过于宽松的防火墙规则之前，请务必慎重考虑，三思而后行。这些规则当前允许的可能是合法流量，而一旦限制不当，可能会扰乱关键的业务运营。在本实验中，请确保仍可从 Google Cloud Identity-Aware Proxy 地址范围 (35.235.240.0/20) 通过 SSH 连接访问带有目标标记“cc”的 Compute Engine 虚拟机实例。为保障管理性质的访问不受干扰，请先为 SSH 流量新建一条访问权限受限的防火墙规则，然后再移除允许从任何地址建立 SSH 连接的现有规则。

挑战：限制 SSH 访问

新建一条名为 limit-ports 的防火墙规则。此规则必须仅限来源网络 35.235.240.0/20 中获得授权的 IP 地址通过 SSH 访问带有目标标记 cc 的计算实例。

点击检查我的进度，验证您是否已正确完成此任务。

限制 SSH 访问

任务 5. 修复防火墙配置

在本任务中，您将删除三条特定的 VPC 防火墙规则，这些规则允许从 VPC 网络内的任何来源不受限制地访问某些网络协议，即 ICMP、RDP 和 SSH。然后，您需要对其余的防火墙规则启用日志记录。

挑战：自定义防火墙规则

删除 default-allow-icmp、default-allow-rdp 和 default-allow-ssh 防火墙规则。这些规则过于宽松，删除它们后，您将获得一个更安全、更受控制的网络环境。

通过删除这些规则，您限制了对上述协议的访问，从而降低了发生未经授权访问的可能性，并缩小了网络的攻击面。

自定义防火墙规则

挑战：启用日志记录

为其余的防火墙规则 limit-ports（您在之前的任务中创建的规则）和 default-allow-internal 启用日志记录。

启用日志记录功能后，您就可以跟踪和分析此规则允许的流量，这些流量很可能是您的 VPC 内各实例间的内部流量。

点击检查我的进度，验证您是否已正确完成此任务。

启用日志记录

通过自定义防火墙规则并启用日志记录，您已解决发现的开放的 SSH 端口、开放的 RDP 端口和防火墙规则日志记录已停用问题。新的防火墙规则可以更好地保护网络并提高网络可见性。

任务 6. 验证合规性

在努力处理 PCI DSS 3.2.1 报告中发现的漏洞后，一定要验证修复措施是否有效。在本任务中，您需要再次生成该报告，以确保之前发现的漏洞已成功缓解，不再对环境构成安全风险。

1. 在 Security Command Center 菜单中，点击合规。“合规”页面随即打开。
2. 在 Google Cloud 合规标准部分中，点击 PCI DSS 3.2.1 板块中的查看详情。PCI DSS 3.2.1 报告随即打开。
3. 点击发现结果列，对发现的问题进行排序，使活跃发现结果显示在列表顶部。

所有重大漏洞现在都已修复。

注意：虽然您解决了严重性为高和中等的漏洞，但仍有一些子网的流日志处于停用状态。完成修复任务后，这条发现结果仍会显示在该报告中，因为这与此实验环境有关。

总结

太棒了！

您成功帮助 Cymbal Bank 的安全团队缓解了此次数据泄露的影响，解决了发现的漏洞，并显著增强了 Cymbal Bank 的 Google Cloud 环境的安全状况。

首先，您在 Google Cloud Security Command Center 中检查并分析了漏洞和发现结果。

接下来，您关闭了旧虚拟机，并基于在感染恶意软件前拍摄的快照创建了一个新的虚拟机。

然后，您撤销了对存储桶的公开访问权限并切换到统一的存储桶级访问权限控制，从而修正了 Cloud Storage 权限。您还从该存储桶中移除了所有用户权限。

接着，您删除了 default-allow-icmp、default-allow-rdp 和 default-allow-ssh 防火墙规则，并为其余的防火墙规则启用了日志记录，从而修复了防火墙规则。

最后，您生成一份合规报告，确认漏洞问题已得到修复。

请谨记，作为一名安全分析师，定期进行安全审核并持续进行监控至关重要，因为这样才能持续防范不断演变的威胁和漏洞。

结束实验

在结束实验之前，请确保您已完成所有任务。准备就绪后，点击结束实验，然后点击提交。

结束实验后，您将无法再访问实验环境，也无法再访问您在其中完成的工作成果。

版权所有 2026 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名称和产品名称可能是其各自相关公司的商标。