Descripción general

Gemini para Google Cloud es un colaborador siempre activo de IA que brinda ayuda a los usuarios de todos los niveles de habilidad cuando la necesitan. En este lab, aprenderás a identificar y corregir los parámetros de configuración de seguridad incorrectos en tu entorno de Google Cloud con las funciones de Gemini de Security Command Center.

Nota: Duet AI ahora se llama Gemini, nuestro modelo de nueva generación. Este lab se actualizó para reflejar este cambio. Cualquier referencia a Duet AI en la interfaz de usuario o la documentación debe considerarse equivalente a Gemini mientras sigues las instrucciones del lab. Nota: Como tecnología en etapa inicial, Gemini puede generar resultados que parecen posibles, pero que no son correctos. Te recomendamos validar todos los resultados de Gemini antes de usarlos. Para obtener más información, consulta Gemini para Google Cloud y la IA responsable.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Habilitar Gemini en un proyecto de Google Cloud
• Implementar cargas de trabajo de ejemplo en un entorno en Google Cloud
• Identificar parámetros de configuración de seguridad incorrectos con Gemini
• Corregir parámetros de seguridad incorrectos con Gemini

Situación

A medida que supervisas la infraestructura para encontrar formas de mejorar tu postura de seguridad, Gemini puede ayudarte a identificar cambios en la infraestructura o la configuración que evitarán problemas en el futuro.

En este ejemplo, considera que eres un ingeniero de seguridad en una empresa de comercio electrónico en la que se implementan periódicamente clústeres de Kubernetes administrados. Necesitas una forma de ver si existen parámetros de configuración incorrectos y quieres instrucciones rápidas que te ayuden a corregir esos problemas en tu entorno de nube.

Configuración y requisitos

En cada lab, recibirás un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón Abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

7. Haga clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para ver un menú con una lista de productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda.

Tarea 1: Habilitar Gemini

Primero habilitarás Gemini en tu proyecto de Google Cloud y configurarás los permisos necesarios para tu cuenta de usuario de Qwiklabs de Google Cloud.

1. Haz clic en el ícono de Cloud Shell () en la esquina superior derecha de la barra de herramientas de la consola de Google Cloud.

2. Para configurar tu ID del proyecto y las variables de entorno de la región, ejecuta los siguientes comandos:

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. Para almacenar la cuenta de usuario de Google con la que iniciaste sesión en una variable de entorno, ejecuta el siguiente comando:

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. Haz clic en Autorizar cuando se te solicite.

5. Habilita la API de Cloud AI Companion para Gemini con el siguiente código:

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Para usar Gemini, otorga a tu cuenta de usuario de Qwiklabs de Google Cloud los siguientes roles de IAM:

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

Agregar estos roles le permite al usuario contar con la asistencia de Gemini.

Haz clic en Revisar mi progreso para verificar la tarea realizada. Habilitar Gemini

Tarea 2: Crear un clúster de GKE y, luego, implementar una app web

Ahora crearás un clúster de Google Kubernetes Engine (GKE) que ejecuta varios microservicios.

1. Ejecuta el siguiente comando para crear un clúster de GKE con el nombre test:

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

Este proceso puede demorar unos minutos. Cuando termine, deberías ver un resultado similar al siguiente:

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. Ahora clona un repositorio que contenga código para una app web:

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. Usa kubectl para implementar un conjunto de microservicios en el clúster de GKE:

kubectl apply -f ./release/kubernetes-manifests.yaml

4. Después de unos minutos, ejecuta el siguiente comando para obtener la dirección IP pública y acceder a la app web en un navegador:

kubectl get service frontend-external | awk '{print $4}'

5. Copia la dirección IP del resultado del comando anterior y pégala en una nueva pestaña del navegador.

Deberías ver una app web similar a la siguiente:

Haz clic en Revisar mi progreso para verificar la tarea realizada. Crear un clúster de GKE y, luego, implementar una app web

Tarea 3: Identificar parámetros de configuración de seguridad incorrectos con Gemini

Ahora que tienes un clúster de GKE que ejecuta una app de comercio electrónico, identificarás áreas en las que puedes mejorar tu postura de seguridad con Gemini.

1. Vuelve a la pestaña de la consola de Google Cloud.

2. Actualiza la página de la consola de Google Cloud.

3. Minimiza el panel de Cloud Shell.

4. Haz clic en el ícono de Gemini () en la esquina superior derecha de la barra de herramientas de la consola de Google Cloud.

5. Haz clic en Comenzar a chatear.

6. Escribe la siguiente instrucción:

What services in Google Cloud can help me identify areas to improve security for a set of microservices running in a GKE cluster?

Gemini debería dar una respuesta similar a la siguiente:

There are a number of services in Google Cloud that can help you identify areas to improve security for a set of microservices running in a GKE cluster. These include:

• Security Command Center can help you identify and prioritize security risks across your Google Cloud environment, including GKE clusters.
• Cloud Asset Inventory can help you track and manage your Google Cloud resources, including GKE clusters.
• Cloud Logging can help you collect and analyze logs from your GKE clusters.
• Cloud Monitoring can help you monitor the performance and health of your GKE clusters.

These are just a few of the many services in Google Cloud that can help you improve the security of your microservices. By using these services, you can help protect your data from unauthorized access, and you can also help improve your security posture over time.

En esta situación, decides que Security Command Center parece ser el lugar adecuado para comenzar.

7. Abre el menú de navegación y selecciona Seguridad > Resumen de riesgos.

Con varias visualizaciones que analizan vulnerabilidades, puedes pedirle a Gemini que te ayude a comprender rápidamente qué se clasifica como una vulnerabilidad en Security Command Center.

8. Escribe la siguiente instrucción:

How does Security Command Center define a vulnerability?

La respuesta de Gemini debería ser similar a la siguiente:

Security Command Center defines a vulnerability as a flaw or weakness in software programs that an attacker could use to gain access to or otherwise compromise your Google Cloud environment.

Source: https://cloud.google.com/security-command-center/docs/finding-classes

9. Haz clic en el vínculo de la documentación para diferenciar mejor las clases de hallazgos.

10. Después de leer sobre ellas, cierra la pestaña y vuelve a la consola de Google Cloud.

11. Haz clic en Hallazgos en la barra lateral de la consola de Google Cloud.

12. Para ver los hallazgos de tu clúster de GKE, busca la sección “Filtros rápidos” y selecciona Google container cluster en Tipo de recurso.

Deberías ver varios hallazgos de gravedad media.

13. Haz clic en el hallazgo Encriptación de secretos de clúster inhabilitada.

En la parte superior de este panel de hallazgos, deberías ver una sección titulada "Descripción" con un resumen similar al siguiente:

La encriptación de Secrets de la capa de la aplicación proporciona una capa adicional de seguridad para datos sensibles, como los Secrets definidos por el usuario y los necesarios para la operación del clúster, como las claves de cuenta de servicio, que se almacenan en etcd…

14. Sal de este panel de información.

15. A continuación, haz clic en el hallazgo Cuenta con privilegios excesivos y visualiza el resumen en la descripción, que es similar al siguiente:

Este nodo de GKE usa el nodo de servicio predeterminado de Compute Engine, que tiene un acceso amplio de forma predeterminada y puede tener privilegios excesivos para ejecutar tu clúster de Kubernetes Engine…

16. Sal de este panel de información.

17. Por último, haz clic en el hallazgo Redes autorizadas de la instancia principal inhabilitadas. Deberías ver una descripción similar a la siguiente:

Las redes autorizadas del plano de control mejoran la seguridad de tu clúster de contenedores a través del bloqueo de direcciones IP específicas para que no puedan acceder al plano de control de tu clúster…

18. Sal de este panel de información.

Ahora que comprendes algunos de los parámetros de configuración de seguridad incorrectos de tu entorno, usarás las recomendaciones de Gemini para corregirlos.

Tarea 4: Corregir una configuración incorrecta de seguridad

Ahora que tuviste la oportunidad de revisar varias áreas para comenzar a mejorar la seguridad del clúster de GKE, corregirás el hallazgo "Redes autorizadas de la instancia principal inhabilitadas" con las instrucciones proporcionadas en el resumen de Gemini en Security Command Center.

1. Abre el menú de navegación y selecciona Kubernetes Engine > Clústeres.

2. Haz clic en el nombre del clúster que creaste antes ("test").

3. Desplázate hacia abajo hasta la sección Redes del plano de control.

4. Haz clic en el ícono de lápiz para editar las Redes del plano de control.

5. Marca la casilla junto a Habilitar redes autorizadas.

6. Marca la casilla debajo de Agrega direcciones IP externas de Google Cloud a las redes autorizadas.

7. Haz clic en Guardar cambios.

8. Haz clic en Clústeres en la barra lateral.

Verás una rueda giratoria o un ícono de medio círculo verde en la sección de Estado, lo que significa que el clúster se está actualizando.

9. Mientras se realizan las actualizaciones de la política de red para el plano de control, abre Gemini desde la barra de herramientas de la consola de Google Cloud.

10. Escribe la siguiente instrucción:

How do control plane authorized networks work in GKE?

La respuesta de Gemini debería ser similar a la siguiente:

Control plane authorized networks allow you to restrict access to the control plane of your GKE cluster. By default, the control plane is accessible from any address. However, you can add one or more authorized networks to restrict access to only those networks.

To add an authorized network, go to the Google Kubernetes Engine page in the Google Cloud console. Click the name of the cluster you want to modify. Under Networking, in the Control plane authorized networks field, click edit Edit control plane authorized networks...

La aplicación de la política de plano de control actualizada puede demorar unos minutos.

11. Cuando veas una marca de verificación verde en la columna Estado junto al clúster, la actualización de la configuración del clúster se habrá realizado correctamente.

Haz clic en Revisar mi progreso para verificar la tarea realizada. Corregir una configuración incorrecta de seguridad

Finalice su lab

Cuando haya completado su lab, haga clic en Finalizar lab. Qwiklabs quitará los recursos que usó y limpiará la cuenta por usted.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2024 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.