重要提醒：

請為每項工作截圖，並加入作品集。

重要提醒： 請務必使用桌機/筆電完成這個實作實驗室。

每個實驗室都只有 5 次嘗試機會。

提醒：第一次嘗試時，不一定能全部答對，甚至可能需要重做，這是正常的過程。

實驗室活動開始後，計時器無法暫停。實驗室會在 1 小時 30 分鐘後結束，如果您沒做完，就必須重新開始。

您可查看實驗室技術提示瞭解詳情。

活動總覽

本實驗室是總整專案實作的一部分。在本實驗室中，您將運用雲端網路安全知識，找出並修復安全漏洞。

接下來，您要根據給定的情境，在 Google Cloud Security Command Center 中完成一系列工作。過程中必須運用所學技能，分析並修復與安全事件相關的現有安全漏洞；回答這些漏洞的相關問題；以及完成挑戰，評估您的雲端網路安全技能。

實驗室包含多個挑戰，這些任務不會提供指示，您需要自行完成。

成功完成本實驗室後，就表示您有能力在雲端環境找出安全漏洞和設定錯誤、排定這些問題的處理順序，並加以修復。這是強化 Google Cloud 環境資安態勢的重要技能，可降低資料侵害的風險，防範未經授權存取和其他安全事件發生。

情境

過去一年來，您在 Cymbal Retail 擔任初階雲端資安分析師。Cymbal Retail 是市場龍頭，目前經營 170 家實體商店和 1 個線上平台，業務範圍橫跨 28 個國家/地區。2022 年的收益為 $150 億美元，在全球共有 80,400 位員工。

Cymbal Retail 的客群十分龐大，線上平台每天處理大量交易。該組織致力於確保顧客、員工和資產的安全，並確保各據點在營運業務時，均符合當地的內外部法規遵循。

最近，公司發生大規模資料侵害事件。身為資安團隊的初階成員，您將在整個安全事件生命週期中協助團隊。首先，您要找出與資料侵害相關的安全漏洞，加以隔離並遏止，阻止未經授權的存取行為繼續發生，然後復原遭駭系統、修正所有待處理的合規問題，並確認符合框架規定。

這項工作的步驟如下：首先，您將前往 Google Cloud Security Command Center，檢查安全漏洞和發現項目。其次，您將關閉舊 VM，並從快照建立新 VM。然後，您將撤銷儲存空間 bucket 的公開存取權，並改用統一 bucket 層級存取控管機制。接著，您將限制防火牆通訊埠存取權，並修正防火牆規則。最後，您將執行報表，確認安全漏洞已修復。

設定

點選「Start Lab」之前

請詳閱下列操作說明。實驗室活動會計時，中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您會在實際雲端環境完成實驗室活動，而非模擬或示範環境。因此，我們會提供新的臨時憑證，讓您在實驗室活動期間登入及存取 Google Cloud。

如要順利完成這個實驗室活動，請先確認：

• 可以使用標準的網路瀏覽器 (Chrome 瀏覽器為佳)。

注意：請使用無痕模式或私密瀏覽視窗執行此實驗室，防止個人帳戶和學生帳戶之間的衝突，避免個人帳戶產生額外費用。

• 該來完成實驗室活動了！別忘了，活動開始後就無法暫停。

注意：如有個人 Google Cloud 帳戶或專案，請勿用於本實驗室，以免產生額外費用。

如何啟動實驗室環境及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。左側的「Lab Details」面板會顯示下列項目：

   • 剩餘時間
   • 「Open Google Cloud console」按鈕
   • 這個實驗室中應使用的暫時憑證
   • 完成這個實驗室所需的其他資訊 (如有)
   注意：如果實驗室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也可以按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。「登入」頁面會在新的瀏覽器分頁開啟。

   提示：為方便切換，可以將分頁安排在不同的視窗並排顯示。

   注意：如果顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有需要，請複製下方的 Google Cloud 使用者名稱，然後貼到「登入」對話方塊。點選「下一步」。

{{{user_0.username | "Google Cloud username"}}}

您也可以在「Lab Details」面板找到 Google Cloud 使用者名稱。

4. 複製下方的 Google Cloud 密碼，並貼到「歡迎使用」對話方塊。點選「下一步」。

{{{user_0.password | "Google Cloud password"}}}

您也可以在「Lab Details」面板找到 Google Cloud 密碼。

重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：在這個實驗室中使用自己的 Google Cloud 帳戶，可能會產生額外費用。

5. 繼續點選後續頁面：
   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Cloud 控制台稍後會在這個分頁中開啟。

注意事項：點選畫面左上方的導覽選單，即可查看 Google Cloud 產品與服務清單。

工作 1：分析資料侵害事件並收集資訊

某天早上，資安團隊發現系統內有異常活動。進一步調查後，很快發現公司的應用程式、網路、系統和資料存放區遭到大規模安全漏洞攻擊。攻擊者未經授權存取了機密客戶資訊，包括信用卡資料和個人資訊。這起事件需要立即處理並徹底調查。要瞭解這起資料侵害事件的範圍和影響，第一步是收集資訊並分析取得資料。

在這項工作中，您將檢查 Google Cloud Security Command Center 中的安全漏洞和發現項目，判斷攻擊者如何存取資料，以及應採取哪些修復步驟。

重要事項：您必須先執行特定的安全性檢查，才會看到本節列出的安全漏洞。如果部分檢查尚未執行，即使完成本節步驟，相關安全漏洞可能還是不會顯示在 Security Command Center。不過別擔心！您仍可使用這項工作提供的資訊，分析可用的發現項目，進行後續工作中的修復步驟。

首先，前往 Security Command Center 查看現有安全漏洞的總覽。

1. 前往 Google Cloud 控制台，依序點選「導覽選單」圖示 >「安全性」>「風險總覽」。Security Command Center 的「總覽」頁面隨即會開啟。
2. 在「錯誤設定」窗格中，選取「依資源類型」分頁標籤。系統會根據受影響的雲端資源類型 (例如執行個體、bucket、資料庫)，將安全發現項目或漏洞分類整理。您可以依資源類型查看現有安全漏洞和發現項目，有效排定安全問題的優先順序並加以解決。

您會看到以下類型的高嚴重性和中嚴重性發現項目：Cloud Storage bucket、運算執行個體虛擬機器和防火牆。

接著前往 PCI DSS 報表。

3. 在 Security Command Center 選單中，點選「法規遵循」。「法規遵循」頁面隨即會開啟。
4. 在 Google Cloud「法規遵循標準」部分，點選「PCI DSS 3.2.1」資訊方塊中的「查看詳細資料」。PCI DSS 3.2.1 報表隨即會開啟。
5. 點按「發現項目」欄即可排序，並在清單頂端顯示有效的發現項目。

注意：請務必按照這些步驟評估 PCI 報表，且不要重新整理頁面，否則系統會移除必要的篩選器，導致無法顯示正確資訊。

付款卡產業資料安全標準 (PCI DSS) 是一組安全規定，組織必須遵守這些規定，才能保護機密的持卡人資料。Cymbal Retail 是一間接受及處理信用卡付款的零售公司，因此必須確保符合 PCI DSS 要求，以保護持卡人資料。

查看 PCI DSS 3.2.1 報表時，請注意其中不符合規定的規則，這些規則與資料侵害事件有關：

• 「應啟用防火牆規則記錄功能，以便稽核網路存取情形」：這筆中嚴重性的發現項目指出防火牆規則記錄功能已停用，無法記錄套用了哪些防火牆規則，以及允許或拒絕的流量。這會造成安全風險，因為難以追蹤及調查可疑活動。
• 「防火牆規則不應允許 TCP 或 UDP 通訊埠 3389 接受任何 IP 位址的連線」：這筆高嚴重性的發現項目指出，防火牆已設定為允許整個網際網路傳送遠端桌面通訊協定 (RDP) 流量到網路中的所有執行個體。這會帶來安全風險，因為網際網路上任何人都能連線到網路中任一執行個體的 RDP 通訊埠。
• 「防火牆規則不應允許 TCP 或 SCTP 通訊埠 22 接受任何 IP 位址的連線」：這筆高嚴重性的發現項目指出，防火牆已設定為允許整個網際網路傳送安全殼層 (SSH) 流量到網路中的所有執行個體。SSH 是一種通訊協定，可安全地遠端存取電腦。如果攻擊者透過 SSH 存取機器，可能會竊取資料、安裝惡意軟體或中斷作業。
• 「不應該為 VM 指派公開 IP 位址」：這筆高嚴重性的發現項目指出，特定 IP 位址正暴露於公開網際網路，可能遭未經授權的人員存取。這意味著潛在安全風險，因為攻擊者可能會掃描安全漏洞，或對相關資源發動攻擊。
• 「Cloud Storage bucket 不應開放匿名或公開存取」：這筆高嚴重性的發現項目指出，儲存空間 bucket 有可公開存取的存取控管清單 (ACL) 項目，代表網際網路的任何人都能讀取 bucket 中儲存的檔案。這是高風險安全漏洞，應優先修復。
• 「不應將執行個體設為使用預設服務帳戶，這類服務帳戶具備所有 Cloud API 的完整存取權」：這筆中嚴重性的發現項目指出，特定身分或服務帳戶獲得授權，可完整存取所有 Google Cloud API。這視為重大安全風險，因為該身分或服務帳戶可在 Google Cloud 環境中執行任何動作，包括存取機密資料、修改設定及刪除資源。

目前重點是找出並修正與安全事件相關的問題，而下列發現項目與您正在完成的修正工作無關，因此請先忽略：

• 「應為虛擬私有雲網路中的各個子網路啟用虛擬私有雲流量記錄」：有多筆低嚴重性的發現項目指出流量記錄已停用。這表示本實驗室使用的 Google Cloud 專案中，有多個子網路未啟用流量記錄。這可能會造成安全風險，因為流量記錄可提供寶貴的網路流量模式洞察資訊，有助於識別可疑活動及調查安全事件。

注意：啟用雲端資源的記錄功能，是維持觀測能力的重要做法。不過，由於子網路是本實驗室環境的一部分，您不會在本實驗室活動中修正這筆發現項目。因此，即使您完成修復工作，這項發現仍會顯示在報表中。

• 「基本角色 (擁有者、寫入者、讀取者) 的權限過於寬鬆，不應使用」：這筆中嚴重性的發現項目指出，Google Cloud 環境正在使用原始角色。原始角色會授予十分寬泛的資源存取權，可能造成安全風險。
• 「應設定輸出拒絕規則」：這筆低嚴重性的發現項目指出，受監控的防火牆未定義輸出拒絕規則。此發現可能引發安全疑慮，因為這表示傳出流量未受限制，可能暴露敏感資料或允許未經授權的通訊。

下表將列於報表中的規則與對應的發現項目類別配對，幫助您稍後依資源類型檢視發現項目：

發現項目類別	規則
防火牆規則記錄功能已停用	應啟用防火牆規則記錄功能，以便稽核網路存取情形
開放 RDP 通訊埠	防火牆規則不應允許 TCP 或 UDP 通訊埠 3389 接受任何 IP 位址的連線
開放 SSH 通訊埠	防火牆規則不應允許 TCP 或 SCTP 通訊埠 22 接受任何 IP 位址的連線
公開 IP 位址	不應該指派公開 IP 位址給 VM
公開 bucket ACL	Cloud Storage bucket 不應開放匿名或公開存取
完整的 API 存取權	不應將執行個體設為使用預設服務帳戶，這類服務帳戶具備所有 Cloud API 的完整存取權
流量記錄已停用	應為虛擬私有雲網路各個子網路啟用虛擬私有雲流量記錄
已使用原始角色	基本角色 (擁有者、寫入者、讀取者) 的權限過於寬鬆，不應使用
未設定輸出拒絕規則	應該設定輸出拒絕規則

整體而言，這些發現顯示組職嚴重缺乏安全控管機制，且未遵循必要的 PCI DSS 規定，同時指出與資料侵害事件有關的安全漏洞。

接著，前往 Security Command Center 篩選發現項目，進一步檢查及分析 Google Cloud 環境中的安全漏洞。

6. 前往 Google Cloud 控制台的「導覽選單」，依序點選「安全性」>「發現項目」。「發現項目」頁面隨即會開啟。
7. 在「快速篩選器」面板的「資源類型」部分，勾選「Google Cloud Storage bucket」資源類型的核取方塊。

系統應列出下列與儲存空間 bucket 相關的有效發現項目：

• 「公開 bucket ACL」：這筆發現項目會列在 PCI DSS 報表中，指出任何能存取網際網路的人都能讀取 bucket 中儲存的資料。
• 「『僅 bucket 政策』選項已停用」：這指出沒有明確的 bucket 政策，無法控管哪些人能存取 bucket 的資料。
• 「bucket 記錄功能已停用」：這表示 bucket 未啟用記錄功能，難以追蹤資料存取者。

這些發現項目指出，bucket 有多項安全設定可能導致資料遭未經授權的存取。您需要移除公開存取控管清單 (ACL)、停用公開 bucket 存取權，並啟用統一 bucket 層級存取權政策，才能修正這些發現項目。

注意：啟用雲端資源記錄功能，是維持觀測能力的重要做法。不過，由於要修正「bucket 記錄功能已停用」發現項目必須處理多個專案，本次實驗室活動不會涵蓋這個部分。因此，即使您完成修復工作，這項發現仍會顯示。

8. 在「快速篩選器」面板的「資源類型」部分，取消勾選「Google Cloud Storage bucket」，然後勾選「Google 運算執行個體」資源類型。

這應該會列出下列與 cc-app-01 虛擬機器相關的有效發現項目：

• 「惡意軟體無效網域」：這筆發現項目指出，名為 cc-app-01 的 google.compute.instance 存取了已知與惡意軟體相關聯的網域。雖然這項發現的嚴重性較低，但表示虛擬機器執行個體發生惡意活動，安全性堪慮。
• 「Compute 安全啟動功能已停用」：這筆中嚴重性的發現項目指出，虛擬機器的安全啟動功能已停用。這會帶來安全風險，因為虛擬機器可能會使用未經授權的程式碼啟動，導致系統遭入侵。
• 「已使用預設服務帳戶」：這筆中嚴重性的發現項目指出，虛擬機器正在使用預設服務帳戶。這會帶來安全風險，因為預設服務帳戶擁有高階存取權，如果攻擊者成功存取專案，就可能駭進該帳戶。
• 「公開 IP 位址」：這筆高嚴重性的發現項目列在 PCI DSS 報表中，指出虛擬機器有公開 IP 位址。這會帶來安全風險，因為網際網路上任何人都能直接連線至虛擬機器。
• 「完整的 API 存取權」：這筆中嚴重性的發現項目列在 PCI DSS 報表中，指出虛擬機器已獲授權，可完整存取所有 Google Cloud API。

這些發現項目指出，虛擬機器的設定方式非常容易受到攻擊。為了完成修正作業，您將關閉原始 VM (cc-app-01)，並使用磁碟的乾淨快照建立 VM (cc-app-02)。新 VM 的設定如下：

• 不使用 Compute 服務帳戶
• 有防火牆規則標記，用於控管 SSH 存取權的新規則
• 安全啟動功能已啟用
• 公開 IP 位址設為「無」

9. 在「時間範圍」欄位展開下拉式選單，然後選取「最近 30 天」。這能確保列表中包含過去 30 天的發現項目。
10. 在「快速篩選器」面板的「資源類型」部分，取消勾選「Google 運算執行個體」，然後勾選「Google 運算防火牆」資源類型。

這應該會列出以下與防火牆相關的有效發現項目：

• 「開放 SSH 通訊埠」：這筆高嚴重性的發現項目指出，防火牆已設定為整個網際網路都能向網路中所有執行個體傳送安全殼層 (SSH) 流量。
• 「開放 RDP 通訊埠」：這筆高嚴重性的發現項目指出，防火牆已設定為整個網際網路都能向網路中所有執行個體傳送遠端桌面通訊協定 (RDP) 流量。
• 「已停用防火牆規則記錄功能」：這筆中嚴重性的發現項目指出，防火牆規則記錄已停用。也就是說，我們無法記錄正在套用哪些防火牆規則，以及哪些流量遭到允許或拒絕。

這些發現都列在 PCI DSS 報表中，並突顯網路設定存在重大安全缺口。由於未限制 RDP 和 SSH 通訊埠的存取權，加上防火牆規則記錄功能已停用，因此網路極易遭到未經授權的存取嘗試和潛在資料侵害。您需要移除現有過度寬鬆的防火牆規則，並加入新規則，僅允許 Google Cloud IAP SSH 服務所用的位址存取 SSH，這樣才能修正這些問題。

您已分析完安全漏洞，現在可著手修正報表中的發現項目。

工作 2：修正 Compute Engine 安全漏洞

在這項工作中，您將關閉有安全漏洞的 VM cc-app-01，並用惡意軟體感染前的快照來建立新的 VM。VM 快照可有效將系統還原至乾淨狀態，確保新 VM 不受入侵原始 VM 的惡意軟體感染。

1. 在 Google Cloud 控制台中，點選「導覽選單」圖示 。
2. 依序點選「Compute Engine」>「VM 執行個體」。「VM 執行個體」頁面隨即會開啟。

VM 執行個體下方應會列出目前的 VM cc-app-01。這是遭入侵的 VM，必須關閉。

3. 勾選 cc-app-01 VM 的核取方塊。
4. 按一下「停止」。
5. 系統會顯示彈出式視窗，要求您確認是否要停止 VM，請點選「停止」。

點選「Check my progress」，確認工作已正確完成。

關閉有安全漏洞的 VM

接著，用快照建立新的 VM。Cymbal Retail 有長期資料備份計畫，所以先前就建立了這份快照。

6. 在動作列中，點選「+ 建立執行個體」。
7. 在「機器設定」部分的「名稱」欄位中，輸入 cc-app-02。
8. 展開「機型」的下拉式選單，依序選取「共用核心」和「e2-medium」。
9. 點入「OS 和儲存空間」部分，依序點選「變更」和「作業系統和儲存空間」。
10. 選取「快照」分頁標籤。
11. 展開「快照」下拉式選單，然後選取「cc-app01-snapshot」。
12. 點按「選取」。
13. 在「網路」部分的「網路標記」欄位中，輸入 cc。您將使用這個標記，將防火牆規則套用至這個特定 VM。
14. 在「網路介面」部分，展開「預設」網路。
15. 展開「外部 IPv4 位址」下拉式選單，然後選取「無」。
16. 在「安全性」部分中，展開「身分及 API 存取權」部分的「服務帳戶」下拉式選單，然後選取「Qwiklabs 使用者服務帳戶」。
17. 點選「建立」。

這樣就會從 cc-app01-snapshot 建立新的 VM cc-app-02 (建立新的 VM 可能需要幾分鐘的時間)。

現在，請為新的 VM cc-app-02 啟用安全啟動功能，以解決「安全啟動功能已停用」發現項目。

18. 勾選 cc-app-02 VM 的核取方塊。
19. 按一下「停止」。
20. 系統會顯示彈出式視窗，要求您確認是否要停止 VM，請點選「停止」。

請等待 cc-app-02 VM 停止後再繼續。

21. 在「VM 執行個體」部分，點選 cc-app-02 連結。cc-app-02 頁面隨即會開啟。
22. 在 cc-app-02 工具列中，點選「編輯」。「編輯 cc-app-02 執行個體」頁面隨即會開啟。
23. 向下捲動至「安全性與存取權」部分，在「Shielded VM」下方，勾選「啟用安全啟動功能」選項的核取方塊。這項操作會解決「Compute 安全啟動功能已停用」發現項目。
24. 點選「儲存」。
25. 在「Compute Engine」選單中，選取「VM 執行個體」。
26. 勾選 cc-app-02 VM 的核取方塊。
27. 點選「啟動/重新啟用」。
28. 系統會顯示彈出式視窗，要求您確認是否要啟動 VM，請點選「啟動」。

cc-app-02 VM 執行個體會重新啟動，並修正「安全啟動功能已停用」發現項目。

點選「Check my progress」，確認工作已正確完成。

從現有快照建立新的 VM

挑戰：刪除遭入侵的 VM

刪除遭入侵的 VM cc-app-01。

點選「Check my progress」，確認工作已正確完成。

刪除遭入侵的 VM

按照這些步驟操作後，表示您已從快照建立新的 VM，確保 VM 沒有惡意軟體和錯誤設定。同時也刪除遭入侵的 VM，從源頭消除了安全性漏洞。

工作 3：修正 Cloud Storage bucket 權限

在這項工作中，您將撤銷儲存空間 bucket 的公開存取權，並改用統一 bucket 層級存取控管機制，大幅降低資料侵害風險。移除儲存空間 bucket 的所有使用者權限，即可防止未經授權的人員存取其中儲存的資料。

1. 前往「導覽選單」 ()，依序點選「Cloud Storage」>「bucket」。「bucket」頁面隨即會開啟。
2. 點選 _bucket 儲存空間 bucket 連結。「bucket 詳細資料」頁面隨即會開啟。

您會發現可公開存取的 bucket 中有 myfile.csv 檔案。這個檔案包含惡意行為人 dump 的機密資訊。請按照下列步驟，解決「公開 bucket ACL」發現項目。

3. 按一下「權限」分頁標籤。

4. 在「公開存取權」方塊中，點按「禁止公開存取」。

5. 按一下「確認」。

挑戰：修改儲存空間 bucket 存取權

將存取控管機制切換為統一模式，並從儲存空間 bucket 移除 allUsers 主體的權限，即可對 bucket 及其物件強制執行單一組權限。此外，若使用者仰賴基本專案角色來存取 bucket，您也必須確保他們不會失去存取權。

點選「Check my progress」，確認工作已正確完成。

修改儲存空間 bucket 存取權。

完成這些步驟後，您已有效阻止公開存取 bucket、改用統一 bucket 層級存取控管機制，並移除所有使用者權限，解決以下發現項目：「公開 bucket ACL」、「『僅 bucket 政策』選項已停用」和「bucket 記錄功能已停用」。

工作 4：限制防火牆通訊埠存取權

在這項工作中，您會限制只有授權來源網路才能存取 RDP 和 SSH 通訊埠，將攻擊面縮到最小，降低未經授權的遠端存取風險。

修改過於寬鬆的防火牆規則時，請務必謹慎行事。目前規則允許的流量或許有合理性，若不當限制，可能會中斷重要作業。在本研究室中，請確保標有目標標記「cc」的 Compute Engine 虛擬機器執行個體，仍可透過 Google Cloud Identity-Aware Proxy 位址範圍 (35.235.240.0/20) 的 SSH 連線存取。如要確保管理存取權不中斷，請先建立新的 SSH 流量防火牆規則 (存取權受限)，再移除現有的規則 (允許從任何位址建立 SSH 連線)。

挑戰：限制 SSH 存取權

建立新的防火牆規則 limit-ports。這項規則必須限制 SSH 存取權，只有來源網路 35.235.240.0/20 中已授權的 IP 位址，才能透過 SSH 存取目標標記為 cc 的運算執行個體。

點選「Check my progress」，確認工作已正確完成。

限制 SSH 存取權

工作 5：修正防火牆設定

在這項工作中，您將刪除三個特定的虛擬私有雲防火牆規則，以禁止虛擬私有雲網路中的來源隨意存取特定網路通訊協定 (ICMP、RDP 和 SSH)。接著，您將為剩下的防火牆規則啟用記錄功能。

挑戰：自訂防火牆規則

刪除 default-allow-icmp、default-allow-rdp 和 default-allow-ssh 防火牆規則。這些規則過於寬鬆，刪除後，您就能建立更安全且受到控管的網路環境。

刪除這些規則後，您已限制對這些通訊協定的存取權，減少未經授權的存取嘗試，並縮小網路的攻擊面。

自訂防火牆規則

挑戰：啟用記錄功能

為其餘防火牆規則 limit-ports (在先前工作中建立) 和 default-allow-internal 啟用記錄功能。

啟用記錄功能後，您就能追蹤及分析這些規則允許的流量，這類流量很可能是虛擬私有雲內執行個體之間的內部流量。

點選「Check my progress」，確認工作已正確完成。

啟用記錄功能

自訂防火牆規則並啟用記錄功能後，您已解決以下發現項目：「開放 SSH 通訊埠」、「開放 RDP 通訊埠」和「防火牆規則記錄功能已停用」。新的防火牆規則可更有效地保護網路，並進一步掌握整個網路的情況。

工作 6：確認法規遵循情形

認真處理 PCI DSS 3.2.1 報表中指出的安全漏洞後，務必驗證修正作業的成效。在這項工作中，您將再次執行報表，確保先前發現的安全漏洞已成功緩解，不再對環境構成安全風險。

1. 在 Security Command Center 選單中，點選「法規遵循」。「法規遵循」頁面隨即會開啟。
2. 在 Google Cloud「法規遵循標準」部分，點選「PCI DSS 3.2.1」資訊方塊中的「查看詳細資料」。PCI DSS 3.2.1 報表隨即會開啟。
3. 點按「發現項目」欄即可排序，並在清單頂端顯示有效的發現項目。

所有重大安全漏洞都已解決。

注意：雖然您已解決高嚴重性和中嚴重性安全漏洞，但仍有數個子網路的流量記錄處於停用狀態。完成修正工作後，與實驗室環境有關的這筆發現項目仍會顯示在報表中。

結論

太棒了！

您已協助 Cymbal Retail 的資安團隊緩解資料侵害的影響、找出並解決安全漏洞，並大幅提升 Cymbal Retail Google Cloud 環境的資安態勢。

首先，您在 Google Cloud Security Command Center 檢查並分析了安全漏洞和發現項目。

接著，您關閉舊 VM，並根據惡意軟體感染前的快照建立新 VM。

然後，您撤銷儲存空間 bucket 的公開存取權，並改用統一 bucket 層級存取控管機制，修正了雲端儲存空間權限。您也移除了儲存空間 bucket 的所有使用者權限。

接下來，您刪除 default-allow-icmp、default-allow-rdp 和 default-allow-ssh 防火牆規則，並啟用其餘防火牆規則的記錄功能，修正了防火牆規則問題。

最後，您執行法規遵循報表，確認安全漏洞問題已修正。

請記住，身為資安分析師，定期進行安全性稽核並導入持續監控的作法，才是防範不斷演變的威脅和安全漏洞的關鍵。

關閉實驗室

結束實驗室前，請確認已完成所有工作。如果已確定完成，請依序點選「End Lab」和「Submit」。

關閉實驗室後，就無法進入實驗室環境，也無法再次存取在實驗室完成的工作。

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。