Übersicht

Gemini für Google Cloud ist ein rund um die Uhr verfügbares KI-Tool, über das Menschen mit den unterschiedlichsten Kenntnissen immer die passende Unterstützung erhalten. In diesem Lab erfahren Sie, wie Sie mit den Gemini-Features von Security Command Center sicherheitsrelevante Fehlkonfigurationen in Ihrer Google Cloud-Umgebung erkennen und beheben.

Hinweis: Duet AI wurde umbenannt in Gemini, unser Modell der nächsten Generation. Dieses Lab wurde dementsprechend angepasst. Referenzen zu Duet AI in der Benutzeroberfläche oder Dokumentation sollten als Referenzen zu Gemini behandelt werden. Die Lab-Anweisungen bleiben ansonsten unverändert. Hinweis: Da es sich bei Gemini um eine Technologie im Frühstadium handelt, kann es zu Ergebnissen kommen, die zwar plausibel erscheinen, aber faktisch falsch sind. Ausgaben von Gemini sollten daher vor der Verwendung geprüft werden. Weitere Informationen finden Sie unter Gemini für Google Cloud und verantwortungsbewusste Anwendung von KI.

Lernziele

Aufgaben in diesem Lab:

• Gemini in einem Google Cloud-Projekt aktivieren
• Beispielarbeitslasten in einer Umgebung in Google Cloud bereitstellen
• Mit Gemini sicherheitsrelevante Fehlkonfigurationen erkennen
• Mit Gemini sicherheitsrelevante Fehlkonfigurationen beheben

Szenario

Gemini ist der richtige Helfer, wenn Sie Ihre Infrastruktur auf mögliche Optimierungen Ihres Sicherheitsstatus prüfen möchten. Das Tool ermittelt, wie Sie Ihre Infrastruktur oder Konfiguration ändern können, um zukünftige Probleme zu verhindern.

Gehen Sie in diesem Beispiel davon aus, dass Sie als Security Engineer bei einem E-Commerce-Unternehmen arbeiten, bei dem regelmäßig verwaltete Kubernetes-Cluster bereitgestellt werden. Sie möchten prüfen, ob es Fehlkonfigurationen gibt, und eine kurze und prägnante Anleitung dazu erhalten, wie Sie diese Probleme in Ihrer Cloud-Umgebung beheben können.

Einrichtung und Anforderungen

Für jedes Lab werden Ihnen ein neues Google Cloud-Projekt und die entsprechenden Ressourcen für eine bestimmte Zeit kostenlos zur Verfügung gestellt.

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Pop-up-Fenster geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich Details zum Lab mit diesen Informationen:

   • Schaltfläche Google Cloud Console öffnen
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite Anmelden geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich Details zum Lab.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich Details zum Lab.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie sich eine Liste der Google Cloud-Produkte und ‑Dienste ansehen möchten, klicken Sie oben links auf das Navigationsmenü.

Aufgabe 1: Gemini aktivieren

Zuerst aktivieren Sie Gemini in Ihrem Google Cloud-Projekt und konfigurieren die erforderlichen Berechtigungen für Ihr Qwiklabs-Nutzerkonto in Google Cloud.

1. Klicken Sie in der Google Cloud Console oben rechts in der Symbolleiste auf das Cloud Shell-Symbol ().

2. Führen Sie die folgenden Befehle aus, um die Umgebungsvariablen für die Projekt-ID und Region festzulegen:

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. Führen Sie den folgenden Befehl aus, um das angemeldete Google-Nutzerkonto in einer Umgebungsvariable zu speichern:

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. Klicken Sie auf Autorisieren, wenn Sie dazu aufgefordert werden.

5. Aktivieren Sie die Cloud AI Companion API für Gemini:

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Gewähren Sie dem Google Cloud Qwiklabs-Nutzerkonto die nötigen IAM-Rollen, damit Gemini verwendet werden kann:

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

Nach dem Hinzufügen dieser Rollen können Sie Gemini verwenden.

Klicken Sie auf Fortschritt prüfen. Gemini aktivieren

Aufgabe 2: GKE-Cluster erstellen und Webanwendung bereitstellen

Sie erstellen jetzt ein GKE-Cluster (Google Kubernetes Engine), das Mikrodienste ausführt.

1. Führen Sie den folgenden Befehl aus, um ein GKE-Cluster mit dem Namen test zu erstellen:

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

Dies sollte einige Minuten dauern. Sobald der Vorgang abgeschlossen ist, sollte ein Ergebnis angezeigt werden, das in etwa so aussieht:

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. Klonen Sie jetzt ein Repository, das Code für eine Webanwendung enthält:

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. Stellen Sie mit kubectl Mikrodienste für das GKE-Cluster bereit:

kubectl apply -f ./release/kubernetes-manifests.yaml

4. Führen Sie nach einigen Minuten den folgenden Befehl aus, um die öffentliche IP-Adresse für den Browserzugriff auf Ihre Webanwendung abzurufen:

kubectl get service frontend-external | awk '{print $4}'

5. Kopieren Sie die IP-Adresse aus der Ausgabe des Befehls oben und fügen Sie sie in einen neuen Browsertab ein.

Es sollte eine Webanwendung geöffnet werden, die in etwa so aussieht:

Klicken Sie auf Fortschritt prüfen. GKE-Cluster erstellen und Webanwendung bereitstellen

Aufgabe 3: Mit Gemini sicherheitsrelevante Fehlkonfigurationen erkennen

Sie haben nun ein bestehendes GKE-Cluster, das eine E-Commerce-App ausführt. Als Nächstes können Sie Bereiche ermitteln, in denen Sie mit Gemini Ihren Sicherheitsstatus optimieren können.

1. Öffnen Sie wieder Ihren Tab mit der Google Cloud Console.

2. Aktualisieren Sie die Seite der Google Cloud Console.

3. Minimieren Sie den Cloud Shell-Bereich.

4. Klicken Sie in der Google Cloud Console oben rechts in der Symbolleiste auf das Gemini-Symbol ().

5. Klicken Sie auf Start Chatting.

6. Geben Sie den folgenden Prompt ein:

What services in Google Cloud can help me identify areas to improve security for a set of microservices running in a GKE cluster?

Gemini sollte eine Antwort ausgeben, die in etwa so aussieht:

There are a number of services in Google Cloud that can help you identify areas to improve security for a set of microservices running in a GKE cluster. These include:

• Mit dem Security Command Center lassen sich Sicherheitsrisiken in der gesamten Google Cloud-Umgebung ermitteln und priorisieren, u. a. auch in GKE-Clustern.
• Über das Cloud Asset Inventory können Sie Ihre Google Cloud-Ressourcen erfassen und verwalten, u. a. auch GKE-Cluster.
• Cloud Logging ist die richtige Wahl, wenn Sie Protokolle aus Ihren GKE-Clustern sammeln und analysieren möchten.
• Cloud Monitoring hilft Ihnen beim Monitoring der Leistung und Integrität Ihrer GKE-Cluster.

Das sind nur einige der vielen Dienste in Google Cloud, mit denen Sie die Sicherheit Ihrer Mikrodienste verbessern können. Durch diese Dienste können Sie Ihre Daten vor unbefugtem Zugriff schützen und im Laufe der Zeit auch Ihren Sicherheitsstatus verbessern.

In diesem Szenario entscheiden Sie sich für Security Command Center.

7. Öffnen Sie das Navigationsmenü und wählen Sie Sicherheit > Risikoübersicht aus.

Da es mehrere Visualisierungen gibt, in denen es um Sicherheitslücken geht, sollten Sie Gemini um einen schnellen Überblick darüber bitten, was in Security Command Center als Sicherheitslücke klassifiziert wird.

8. Geben Sie den folgenden Prompt ein:

How does Security Command Center define a vulnerability?

Die Antwort von Gemini sollte in etwa so lauten:

Security Command Center defines a vulnerability as a flaw or weakness in software programs that an attacker could use to gain access to or otherwise compromise your Google Cloud environment.

Source: https://cloud.google.com/security-command-center/docs/finding-classes

9. Klicken Sie auf den Dokumentationslink, um besser zwischen Ergebnisklassen unterscheiden zu können.

10. Lesen Sie sich die Informationen zu Ergebnisklassen durch, schließen Sie den Tab und kehren Sie zur Google Cloud Console zurück.

11. Klicken Sie in der Seitenleiste der Google Cloud Console auf Ergebnisse.

12. Suchen Sie den Abschnitt „Schnellfilter“ und wählen Sie unter „Ressourcentyp“ Google Container Cluster aus, um sich die Ergebnisse für Ihren GKE-Cluster anzusehen.

Sie sollten einige Ergebnisse mit mittlerem Schweregrad sehen.

13. Klicken Sie auf das Ergebnis Cluster-Secrets-Verschlüsselung deaktiviert.

Oben in diesem Ergebnisbereich sollte der Abschnitt „Beschreibung“ angezeigt werden, der in etwa folgende Zusammenfassung enthält:

Die Verschlüsselung von Secrets auf Anwendungsebene bietet eine zusätzliche Sicherheitsebene für sensible Daten wie benutzerdefinierte Secrets und Secrets, die für den Betrieb des Clusters erforderlich sind (z. B. Dienstkontoschlüssel). Diese werden alle in etcd gespeichert…

14. Verlassen Sie diesen Informationsbereich.

15. Klicken Sie dann auf das Ergebnis Überprivilegiertes Konto und sehen Sie sich eine Zusammenfassung ähnlich der folgenden in der Beschreibung an:

Dieser GKE-Knoten verwendet den Compute Engine-Standarddienstknoten mit standardmäßig weitreichendem Zugriff und ist zum Ausführen Ihres Kubernetes Engine-Clusters möglicherweise überprivilegiert…

16. Verlassen Sie diesen Informationsbereich.

17. Klicken Sie schließlich auf das Ergebnis Autorisierte Masternetzwerke deaktiviert. Es wird eine Beschreibung ähnlich der folgenden angezeigt:

Autorisierte Netzwerke der Steuerungsebene verbessern die Sicherheit des Containerclusters, indem sie den Zugriff bestimmter IP-Adressen auf die Steuerungsebene des Clusters blockieren…

18. Verlassen Sie diesen Informationsbereich.

Da Sie nun einige der sicherheitsrelevanten Fehlkonfigurationen in Ihrer Umgebung kennen, nutzen Sie die Empfehlungen von Gemini zur Behebung dieser Schwachstellen.

Aufgabe 4: Sicherheitsrelevante Fehlkonfigurationen beheben

Sie haben sich nun mehrere Bereiche zur Verbesserung der Sicherheit Ihres GKE-Clusters ansehen können. Als Nächstes kümmern Sie sich um das Ergebnis „Autorisierte Masternetzwerke deaktiviert“ und befolgen zu diesem Zweck die Anleitung in der Zusammenfassung von Gemini in Security Command Center.

1. Öffnen Sie das Navigationsmenü und wählen Sie Kubernetes Engine > Cluster aus.

2. Klicken Sie auf den Namen des zuvor erstellten Clusters („test“).

3. Scrollen Sie nach unten zum Abschnitt Netzwerk der Steuerungsebene.

4. Klicken Sie auf das Stiftsymbol, um das Netzwerk der Steuerungsebene zu bearbeiten.

5. Markieren Sie das Kästchen neben Autorisierte Netzwerke aktivieren.

6. Markieren Sie das Kästchen unter Externe Google Cloud-IP-Adressen zu autorisierten Netzwerken hinzufügen.

7. Klicken Sie auf Änderungen speichern.

8. Klicken Sie in der Seitenleiste auf Cluster.

Der Cluster wird aktualisiert. Dies wird durch ein sich drehendes Rad oder ein halbgrünes Kreissymbol im Abschnitt „Status“ angezeigt.

9. Öffnen Sie Gemini über die Symbolleiste der Google Cloud Console, während die Updates der Netzwerkrichtlinie für die Steuerungsebene durchgeführt werden.

10. Geben Sie den folgenden Prompt ein:

How do control plane authorized networks work in GKE?

Die Antwort von Gemini sollte in etwa so lauten:

Control plane authorized networks allow you to restrict access to the control plane of your GKE cluster. By default, the control plane is accessible from any address. However, you can add one or more authorized networks to restrict access to only those networks.

To add an authorized network, go to the Google Kubernetes Engine page in the Google Cloud console. Click the name of the cluster you want to modify. Under Networking, in the Control plane authorized networks field, click edit Edit control plane authorized networks...

Es kann mehrere Minuten dauern, bis die aktualisierte Richtlinie für die Steuerungsebene angewendet wird.

11. Wenn Sie ein grünes Häkchen in der Spalte Status neben Ihrem Cluster sehen, wissen Sie, dass die Konfiguration des Clusters aktualisiert wurde.

Klicken Sie auf Fortschritt prüfen. Sicherheitsrelevante Fehlkonfigurationen beheben

Lab beenden

Wenn Sie das Lab abgeschlossen haben, klicken Sie auf Lab beenden. Qwiklabs entfernt daraufhin die von Ihnen genutzten Ressourcen und bereinigt das Konto.

Anschließend erhalten Sie die Möglichkeit, das Lab zu bewerten. Wählen Sie die entsprechende Anzahl von Sternen aus, schreiben Sie einen Kommentar und klicken Sie anschließend auf Senden.

Die Anzahl der Sterne hat folgende Bedeutung:

• 1 Stern = Sehr unzufrieden
• 2 Sterne = Unzufrieden
• 3 Sterne = Neutral
• 4 Sterne = Zufrieden
• 5 Sterne = Sehr zufrieden

Wenn Sie kein Feedback geben möchten, können Sie das Dialogfeld einfach schließen.

Verwenden Sie für Feedback, Vorschläge oder Korrekturen den Tab Support.

© 2024 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.