GSP1124

Informações gerais

O Security Command Center (SCC) é uma plataforma de monitoramento de segurança que ajuda os usuários a:

• Descobrir erros de configuração de segurança dos recursos do Google Cloud
• Relatar ameaças ativas em ambientes do Google Cloud
• Corrigir vulnerabilidades em recursos do Google Cloud

Este laboratório é uma introdução ao Security Command Center que apresenta a interface, as configurações e as descobertas de vulnerabilidade do serviço.

Objetivos

Este laboratório inclui as seguintes atividades:

• Conhecer os elementos da interface do SCC
• Definir as configurações do SCC no nível do projeto
• Analisar e corrigir as descobertas de vulnerabilidades do SCC

Pré-requisitos

Não é obrigatório, mas recomendamos ter familiaridade com os seguintes tópicos:

• Conceitos de computação em nuvem
• Console do Google Cloud
• Classificações de gravidade das descobertas

Configuração e requisitos

Antes de clicar no botão Começar o Laboratório

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é ativado quando você clica em Iniciar laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, e não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima (recomendado) ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório: não se esqueça que, depois de começar, não será possível pausar o laboratório.

Observação: use apenas a conta de estudante neste laboratório. Se usar outra conta do Google Cloud, você poderá receber cobranças nela.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar por ele, uma caixa de diálogo vai aparecer para você selecionar a forma de pagamento. No painel Detalhes do Laboratório, à esquerda, você vai encontrar o seguinte:

   • O botão Abrir Console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer Login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Username"}}}

   Você também encontra o nome de usuário no painel Detalhes do Laboratório.

4. Clique em Próxima.

5. Copie a Senha abaixo e cole na caixa de diálogo de Olá.

   {{{user_0.password | "Password"}}}

   Você também encontra a senha no painel Detalhes do Laboratório.

6. Clique em Próxima.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar os produtos e serviços do Google Cloud, clique no Menu de navegação ou digite o nome do serviço ou produto no campo Pesquisar.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

2. Clique nas seguintes janelas:

   • Continue na janela de informações do Cloud Shell.
   • Autorize o Cloud Shell a usar suas credenciais para fazer chamadas de APIs do Google Cloud.

Depois de se conectar, você verá que sua conta já está autenticada e que o projeto está configurado com seu Project_ID, . A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

3. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

4. Clique em Autorizar.

Saída:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Observação: consulte a documentação completa da gcloud no Google Cloud no guia de visão geral da gcloud CLI.

Cenário

O Cymbal Bank é um banco americano de varejo com mais de 2.000 filiais nos 50 estados dos EUA. Como uma instituição legada de serviços financeiros que promove a transformação digital, ele oferece um portfólio de serviços de débito e crédito, em uma plataforma robusta de pagamentos.

Fundado em 1920, ele foi aberto com o nome de Troxler. Em 1975, o grupo Cymbal adquiriu a empresa, depois de investir pesado nos caixas eletrônicos patenteados do próprio grupo. O banco cresceu, tornando-se líder nacional no setor, com foco estratégico na modernização da experiência do cliente, tanto nas agências quanto no atendimento digital, com o lançamento do próprio app em 2014. Atualmente, emprega 42.000 pessoas em todo o país e, em 2019, registrou US$ 24 bilhões em receita.

O Cymbal Bank quer integrar uma plataforma centralizada de monitoramento de segurança para monitorar ameaças e corrigir vulnerabilidades nos recursos do Google Cloud nos aplicativos corporativos do banco. Como engenheiro de segurança em nuvem, você precisa conhecer os recursos avançados do Security Command Center para fazer uma apresentação ao CTO sobre os benefícios do serviço.

Tarefa 1: conhecer os elementos da interface do SCC

Nesta tarefa, você vai conhecer a interface do Security Command Center (SCC) e os principais recursos do serviço.

1. No console do Cloud, no Menu de navegação (), selecione Segurança > Visão geral de riscos.

Observação: se você receber uma mensagem informando que é preciso criar uma organização, atualize o navegador.

2. Na página Visão geral de riscos, acesse a guia Ameaças para ver os painéis que mostram informações sobre Novas ameaças ao longo do tempo. Já a barra de navegação inclui a guia Vulnerabilidades, onde é possível conferir o Painel de vulnerabilidades.

Ameaças e vulnerabilidades são tipos distintos de classes de descoberta que o SCC usa para categorizar e relatar problemas de segurança no ambiente. Consulte a documentação Como encontrar classes para saber mais.

• Ameaças: notificam os usuários do Google Cloud sobre atividades suspeitas ocorrendo nos ambientes do Google Cloud, como uma conta de serviço que investiga as próprias permissões.
• Vulnerabilidades: fornecem informações sobre erros de configuração ou vulnerabilidades nos recursos, como uma porta TCP aberta ou uma biblioteca desatualizada em execução em uma máquina virtual.

Uma descoberta é um registro gerado pelo SCC, que fornece detalhes sobre dados de vulnerabilidades ou ameaças no painel do Security Command Center.

3. Na página Visão geral de riscos, acesse o card Erros de configuração e clique na guia Por data.

Esse card enumera as ameaças ativas identificadas no seu projeto, conforme determinado no menu suspenso "Período", do lado direito do painel de informações.

Observação: na instância do laboratório, o número de ameaças é zero porque você está usando um projeto de sandbox do Google Cloud que nunca foi atacado. Você vai aprender a se proteger contra ameaças no laboratório, Como detectar e investigar ameaças com o Security Command Center.

Por padrão, o menu suspenso do período mostra todas as ameaças dos últimos sete dias, mas você pode consultar todas as ocorrências nos últimos 180 dias.

4. No seletor de período, selecione Últimos 180 dias.

5. Analise a guia Vulnerabilidades Por tipo de recurso.

Você verá uma lista com cerca de 80 vulnerabilidades ativas.

A maioria delas é gerada porque, para os fins deste laboratório, você está usando uma rede VPC padrão, conhecida pela falta de segurança. Por exemplo, ela tem regras de firewall que permitem acesso SSH e RDP de qualquer endereço IP.

6. Se a opção Por categoria não estiver selecionada por padrão, clique nela.

Ela vai mostrar as vulnerabilidades do ambiente organizadas por categorias de vulnerabilidade e gravidade. A gravidade é uma propriedade da descoberta que ajuda a estimar o risco em potencial que um problema representa para o ambiente do Google Cloud.

Não é possível alterar o nível de gravidade. Cada tipo de descoberta tem um nível de gravidade predeterminado pelo SCC. Confira abaixo uma lista de níveis de gravidade e exemplos comuns:

• Crítico: por exemplo, uma sessão de shell reverso executada de um pod do GKE.
• Alto: por exemplo, uma porta SSH aberta a toda a Internet (0.0.0.0/0).
• Médio: por exemplo, um dos papéis primários do IAM (Proprietário/Editor/Leitor) foi concedido a um usuário ou a uma conta de serviço.
• Baixo: por exemplo, nenhum registro de fluxo da VPC foi coletado.
• Não especificado: pode aparecer no SCC, mas é incomum.

Confira os critérios detalhados sobre como o SCC define a gravidade de uma descoberta na página Gravidades das descobertas.

Observações: as descobertas sobre as portas RDP e SSH abertas têm níveis de gravidade altos.

7. Agora selecione a opção de descobertas Por tipo de recurso. Ela mostra as vulnerabilidades categorizadas pelos diferentes tipos de recursos do Google Cloud disponíveis.

Observação: como este projeto tem uma rede VPC padrão, a maioria das descobertas está relacionada a componentes da rede, como firewall, rede ou sub-rede.

8. Por fim, clique na guia de Descobertas Por projeto. Ela deve ser usada com o SCC no nível do nó raiz de uma pasta ou organização.

Observação: no laboratório, temos acesso a apenas um projeto. Por isso, essa guia tem só o nome do projeto atual.

9. Para entrar no portal de Segurança, no Menu de navegação (), selecione Segurança. Você verá várias guias listadas no cabeçalho do Security Command Center. Confira a descrição de cada uma delas.

Seção do SCC	Descrição
Visão geral de riscos	Mostra as vulnerabilidades do ambiente organizadas por categoria e gravidade.
Ameaças	Apresenta uma visão geral das descobertas classificadas como ameaças no SCC. Alguns exemplos: uma tentativa bem-sucedida de um ataque de Força bruta: SSH, um software de mineração de criptomoedas em execução em recursos de computação, ou seja, a Execução: regra YARA de mineração de criptomoedas e uma sessão de shell reverso iniciada em um contêiner do GKE.
Vulnerabilidades	Fornece um panorama geral dos erros de configuração ou falhas no software que podem existir no escopo atual (no projeto, na pasta ou na organização). Isso permite um acesso mais refinado às vulnerabilidades, porque é possível detalhar cada uma delas. Alguns exemplos de vulnerabilidades são uma porta MySQL aberta para toda a Internet, uma instância de papéis primitivos usados, como o papel de proprietário/editor/leitor atribuído a um usuário ou a uma conta de serviço, e uma página da web ou um web app vulnerável a ataques de XSS.
Compliance	Mostra informações sobre a compatibilidade do projeto com os padrões de compliance mais importantes, como CIS, PCI DSS, NIST 800-53, entre outros.
Recursos	Inclui informações sobre o Inventário de Recursos do Cloud, que monitora continuamente os ativos no ambiente de nuvem.
Descobertas	Permite a análise de todas as descobertas disponíveis no banco de dados do SCC.
Fontes	Detalha os módulos de software que analisam a configuração dos recursos do Google Cloud e monitoram as atividades atuais lendo os arquivos de registro e verificando os processos em execução.
Gerenciamento de postura	Permite usar o serviço de postura de segurança no SCC. Consulte o guia Gerenciar uma postura de segurança para saber mais.

Tarefa 2: definir as configurações do SCC no nível do projeto

Nesta tarefa, você vai aprender a definir as configurações do SCC no nível do projeto.

1. No Security Command Center, no canto superior direito da guia Vulnerabilidades, clique em Configurações.

2. Verifique se você está na guia Serviços.

Nessa guia, é possível configurar parâmetros dos serviços integrados do SCC, também chamados de fontes (o cérebro do SCC, conforme mostrado na tarefa anterior). Para os fins deste laboratório, os termos serviços e fontes são intercambiáveis.

Os serviços detectam ameaças e vulnerabilidades e fornecem informações ao SCC. A maioria deles está disponível apenas na edição Premium do SCC, que é provisionada neste laboratório.

Confira abaixo os serviços integrados que você pode configurar:

• Análise de Integridade da Segurança (SHA, na sigla em inglês): encontra e relata erros de configuração de recursos, como registros desativados, permissões adicionais do IAM e serviços expostos publicamente. Ela está ativada no projeto e detectou 76 vulnerabilidades.
• Web Security Scanner (WSS): verifica web apps disponíveis de forma pública e expostos por meio de endereços IP externos, além de conferir a existência de uma das dez principais vulnerabilidades do OWASP (em inglês).
• Detecção de Ameaça em Contêiner (CTD, na sigla em inglês): detecta os ataques mais comuns do ambiente de execução de contêiner em um Container-Optimized OS.
• Event Threat Detection (ETD): a detecção de ameaça a eventos oferece uma análise baseada em registros que verifica continuamente se há possíveis ameaças nos registros do Google Cloud e do Google Workspace.
• Detecção de Ameaças a Máquinas Virtuais: analisa a memória de instâncias da VM no nível de um hipervisor e pode detectar atividades suspeitas que ocorrem na memória da VM. Como exemplo, há os módulos do kernel inesperados ou a execução de softwares de mineração de criptomoedas.

3. Clique no link Gerenciar configurações da Análise de Integridade da Segurança.

4. Clique na guia Módulos.

Os módulos são unidades predefinidas ou personalizadas de lógica de detecção. O SCC tem vários tipos de módulos que detectam erros de configuração de recursos. A ativação e a desativação de diferentes tipos de módulo é prática no SSC, para dar suporte à sua postura de segurança e aos recursos que você quer monitorar.

5. No campo de filtro, digite VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED e pressione Enter.

6. No menu Status, selecione Ativar.

Com essa opção ativada, a Análise de Integridade da Segurança verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como falsa.

Observação: haverá um atraso até que o SCC comece a verificar os recursos usando o módulo recém-ativado.

Agora que você já conhece melhor os diversos serviços do Security Command Center e sabe como configurá-los, aprenda a identificar e corrigir vulnerabilidades no SCC.

Tarefa 3: analisar e corrigir as descobertas de vulnerabilidade do SCC

Nesta tarefa, você vai aprender a gerenciar e mitigar as descobertas de vulnerabilidade.

Marcar uma descoberta como INATIVA para mudar o estado dela

1. No Menu de navegação (), selecione Segurança > Visão geral de riscos.
2. No menu à esquerda, clique na guia Descobertas.
3. Defina o seletor de Período no canto superior direito como Todo o período.

4. No canto superior esquerdo da tela, encontre a janela Visualização da consulta, que tem um filtro para classificar todas as descobertas disponíveis.

Por padrão, a guia Descobertas mostra as descobertas não silenciadas com o estado ATIVO.

As propriedades state e mute de cada descoberta definem a visibilidade das descobertas em vários filtros usados para o SCC.

• O valor mute pode ser definido nas descobertas pelo analista de segurança ou automaticamente. Assim, aquelas que são irrelevantes e ruidosas não vão aparecer na interface do SCC.
• A propriedade state indica se uma descoberta requer atenção e ainda não foi processada ou se ela foi corrigida ou processada de alguma forma e ficou inativa.

Um modo recomendado de gerenciar o ciclo de vida das descobertas e ocultá-las é usar a propriedade mute. Em geral, a alteração da propriedade state é feita por fontes de software.

5. No card Filtros rápidos, marque a caixa de seleção associada à categoria Rede padrão.

6. A string de consulta na Visualização da consulta mudou. Agora, AND category="DEFAULT_NETWORK" está anexada a ela.

7. Na seção Resultados da consulta de descobertas, marque a caixa de seleção associada a Rede padrão e clique em Mais ações > Alterar estado ativo.

8. Defina o estado dessa descoberta como Inativo.

Agora, a descoberta está desativada e oculta porque, por padrão, só descobertas ativas e não silenciadas aparecem na lista.

Filtrar os resultados das descobertas com uma consulta

1. É possível redefinir a visualização da guia Descobertas. Para isso, selecione Visão geral de riscos e escolha Descobertas no cabeçalho do SCC.

2. Clique no botão Editar consulta.

3. Altere a string de consulta no Editor de consultas para category="DEFAULT_NETWORK".

4. Ao final da edição, clique no botão Aplicar.

   Pode levar um ou dois minutos para que a mudança entre em vigor. Depois disso, apenas uma descoberta de Rede padrão será listada.

No menu à esquerda, em Filtros rápidos, a caixa de seleção Mostrar descobertas inativas está selecionada. Com o SCC, é possível pesquisar descobertas ativas e inativas. Agora, você vai reverter o estado da descoberta.

5. Na seção Resultados da consulta de descobertas, marque a caixa de seleção Rede padrão e clique em Mais ações > Alterar estado ativo.

6. Defina o estado da descoberta como Ativo.

Embora seja possível ativar e desativar as descobertas manualmente, elas nunca podem ser excluídas por um usuário. Uma descoberta só pode ser excluída automaticamente se não for atualizada por verificadores durante um período de 13 meses.

Quando um verificador de segurança analisa a mesma descoberta e não detecta o erro de configuração que iniciou a descoberta, ele a marca como INACTIVE. Se a vulnerabilidade ainda estiver no sistema, a descoberta vai permanecer no estado ACTIVE.

7. Clique no botão Limpar tudo ao lado de Filtros rápidos para redefinir a guia de descobertas.

8. Na janela Visualização da consulta, clique em Editar consulta.

9. Copie e cole a seguinte consulta:

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"

10. Ao final da edição, clique no botão Aplicar.

Agora todas as descobertas relacionadas a sub-redes serão exibidas. Neste laboratório, a rede VPC padrão é criada com o parâmetro --subnet-mode=auto. Por isso, nenhuma das sub-redes tem o Acesso privado do Google ativado, nem grava registros de fluxo da VPC.

Filtrar descobertas por categoria e silenciá-las

Ao trabalhar em um ambiente de teste, é possível que você queira ocultar determinadas descobertas. Aqui, como você não quer que as descobertas do SCC sobre o Acesso Privado do Google apareçam na rede, você precisa silenciar essas descobertas.

1. Na janela Filtros rápidos, selecione a categoria Acesso privado do Google desativado.

2. No painel Resultados da consulta de descobertas, marque a caixa de seleção mais alta de Categoria, para que todas as descobertas de "Acesso Privado do Google desativado" sejam selecionadas.

3. Clique no botão Opções de silenciamento.

4. No menu suspenso, selecione Substituir regra de silenciamento. Essa operação silencia as descobertas existentes.

5. Selecione Visão geral de riscos no menu à esquerda e clique em Descobertas para redefinir a visualização.

As descobertas com Acesso Privado do Google desativado foram silenciadas e não serão mais listadas. O silenciamento é uma maneira eficaz de filtrar os resultados do SCC e possibilita um controle minucioso sobre recursos e descobertas relevantes.

Criar uma regra de silenciamento para ocultar determinadas descobertas

Outro erro de configuração de rede padrão é que os registros de fluxo da VPC também estão desativados nas sub-redes dessa rede. Como você está trabalhando em um ambiente de teste, não é necessário ativar os registros de fluxo da VPC.

Nesta seção, você vai silenciar todas as descobertas atuais e futuras relacionadas a essa categoria.

1. Na janela Resultados da consulta de descobertas, clique em Opções de silenciamento > Gerenciar regras de silenciamento.
2. Clique no botão Criar regra de silenciamento.

Observação: no SCC, é possível criar uma configuração que silencia todas as descobertas atuais e futuras que atendem aos critérios definidos no campo Consulta de descoberta. O silenciamento das descobertas com "Acesso Privado do Google desativado" (PGA, na sigla em inglês) foi uma operação única.

As novas descobertas com PGA desativado ainda aparecem no SCC.

3. Na nova janela, insira uma regra de silenciamento com o ID muting-pga-findings.

4. Na descrição da regra, insira Mute rule for VPC Flow Logs.

5. No campo de entrada do filtro Consulta de descobertas, insira o seguinte filtro:

category="FLOW_LOGS_DISABLED"

6. Clique no botão Salvar.

Você vai receber uma notificação informando que a regra de silenciamento foi criada.

Clique em Verificar meu progresso para conferir se você concluiu esse objetivo. Criar uma regra de silenciamento

7. No menu à esquerda, atualize o painel principal do SCC selecionando Descobertas.

   Verifique se não há mais descobertas de Acesso Privado do Google desativado ou de Registros de fluxo desativados.

Observação: se essas descobertas ainda estiverem aparecendo, atualize a guia do navegador.

Criar outra rede VPC para testar a regra de silenciamento de descobertas

Nesta seção, você vai criar mais uma rede com sub-redes configuradas automaticamente para testar as modificações recentes nas regras de descoberta.

1. Abra uma nova sessão no Cloud Shell () e execute o seguinte comando para criar a rede:

gcloud compute networks create scc-lab-net --subnet-mode=auto Observação: a criação da sub-rede pode levar alguns minutos.

O resultado será parecido com o exemplo abaixo.

Resultado:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

Clique em Verificar meu progresso para conferir se você concluiu esse objetivo. Criar uma rede

2. Depois de checar a mensagem acima, feche a janela do Cloud Shell.

3. Atualize a janela de descobertas do SCC para conferir se há novas descobertas com Acesso Privado do Google desativado. A regra de silenciamento que você criou removeu as descobertas dos registros de fluxo de VPC.

   Embora regras de silenciamento tenham sido criadas para os registros de fluxo da VPC, o SCC permite a visualização desses registros com o editor de consultas.

4. Clique no botão Editar consulta e cole os dados a seguir para substituir o texto atual do filtro de consulta:

category="FLOW_LOGS_DISABLED"

5. Clique em Aplicar.

   Na janela Resultados da consulta de descobertas, as redes "padrão" e "SCC-lab-net" estão listadas na coluna Nome de exibição do recurso.

Observação: se a rede padrão não estiver listada, verifique se o parâmetro Rows per page está definido como 100. Verifique também se o parâmetro Time Range está definido como o valor All time.

6. Na janela Visualização da consulta, clique em Editar consulta.

7. Copie e cole esta consulta para substituir o texto da consulta atual:

state="ACTIVE" AND NOT mute="MUTED"

8. Ao final da edição, clique no botão Aplicar.

   Com isso, as descobertas que você silenciou anteriormente serão listadas.

Investigar e corrigir duas descobertas com gravidade alta

Nesta seção, você vai investigar e descobrir como corrigir duas descobertas com gravidade alta.

1. Na seção Filtros rápidos, role a tela para baixo até o tipo Gravidade e clique em Alta na lista de opções de gravidade.

Duas descobertas serão exibidas: Porta RDP aberta e Porta SSH aberta. Elas foram iniciadas porque a rede "padrão" tem duas regras de firewall que permitem o tráfego SSH e RDP da internet para todas as instâncias dessa rede.

2. Na janela Resultados da consulta de descobertas, clique na descoberta Porta RDP aberta.

Uma nova janela vai aparecer com uma descrição detalhada do problema, uma lista de recursos afetados e as "Próximas etapas" para solucionar isso.

3. Na seção Próximas etapas, clique no link para acessar a página de regras de firewall, que será aberta em uma nova guia.

4. Clique em Editar.

5. Exclua o intervalo de IPs de origem 0.0.0.0/0.

6. Adicione o intervalo de IPs de origem 35.235.240.0/20 e pressione Enter.

Observação: esse intervalo de endereços IP é usado para estabelecer com segurança a conexão a instâncias de VM pelo Identity-Aware Proxy. Saiba mais na página Como usar o IAP para encaminhamento de TCP.

Não mexa em nenhum outro parâmetro.

7. Clique em Salvar.

8. Depois disso, feche a guia do navegador em que você editou a regra de firewall.

9. Atualize a guia do navegador de descobertas do SCC.

   Agora, apenas uma descoberta com gravidade Alta deve aparecer: Porta SSH aberta.

Atualizar as regras de firewall para resolver uma descoberta

1. Clique na descoberta Porta SSH aberta.

2. Role a tela até a seção Próximas etapas e clique no link para acessar a página de regras de firewall, que será aberta em uma nova guia.

3. Clique em Editar.

4. Exclua o intervalo de IPs de origem 0.0.0.0/0.

5. Adicione o intervalo de IPs de origem 35.235.240.0/20 e pressione Enter.

   Não mexa em nenhum outro parâmetro.

6. Clique em Salvar.

7. Depois disso, feche a guia do navegador em que você editou a regra de firewall.

Clique em Verificar meu progresso para conferir se você concluiu esse objetivo. Atualizar as regras de firewall

8. Feche a janela com a descrição de uma descoberta aberta e atualize a janela do navegador.

   Agora não deverão aparecer descobertas com gravidade Alta.

Parabéns!

Neste laboratório, você aprendeu a usar os elementos da interface do Security Command Center, definir configurações do SCC no nível do projeto e analisar e corrigir vulnerabilidades no serviço. Você também usou o SCC para identificar e corrigir vulnerabilidades de segurança críticas no ambiente do Google Cloud.

Próximas etapas / Saiba mais

• Confira o laboratório Análise de descobertas com o Security Command Center.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 7 de outubro de 2025.

Laboratório testado em 7 de outubro de 2025.

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.