Présentation

Gemini pour Google Cloud est un collaborateur toujours actif optimisé par l'IA. Il aide les utilisateurs, quel que soit leur niveau de compétence, lorsqu'ils en ont besoin. Dans cet atelier, vous apprendrez à identifier et corriger les erreurs de configuration de la sécurité dans votre environnement Google Cloud à l'aide des fonctionnalités Gemini de Security Command Center.

Remarque : Duet AI a été renommé "Gemini", notre modèle nouvelle génération. Cet atelier a été modifié en conséquence. Lorsque vous effectuerez l'atelier, toute référence à Duet AI dans l'interface utilisateur ou la documentation doit être traitée comme l'équivalent de Gemini. Remarque : Comme il s'agit d'une technologie encore à un stade précoce, il se peut que Gemini génère des résultats qui semblent plausibles, mais qui sont en fait incorrects. Nous vous recommandons de valider tous les résultats de Gemini avant de les utiliser. Pour en savoir plus, consultez Gemini pour Google Cloud et l'IA responsable.

Objectifs

Dans cet atelier, vous apprendrez à effectuer les tâches suivantes :

• Activer Gemini dans un projet Google Cloud
• Déployer des exemples de charges de travail dans un environnement Google Cloud
• Identifier les erreurs de configuration de la sécurité avec Gemini
• Corriger les erreurs de configuration de la sécurité avec Gemini

Scénario

Alors que vous surveillez votre infrastructure et cherchez des moyens d'améliorer votre stratégie de sécurité, vous pouvez faire appel à Gemini pour déterminer comment modifier l'infrastructure ou la configuration afin d'éviter de futurs problèmes.

Dans cet exemple, imaginez que vous êtes l'ingénieur en sécurité d'une entreprise d'e-commerce où sont régulièrement déployés des clusters Kubernetes gérés. Vous avez besoin de détecter les potentielles erreurs de configuration et d'obtenir des instructions rapides pour corriger ces problèmes dans votre environnement cloud.

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

   • Le bouton Ouvrir la console Google Cloud
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau Détails concernant l'atelier.

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau Détails concernant l'atelier.

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais gratuits.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour afficher un menu contenant la liste des produits et services Google Cloud, cliquez sur le menu de navigation en haut à gauche.

Tâche 1 : Activer Gemini

Vous commencerez par activer Gemini dans votre projet Google Cloud et par configurer les autorisations nécessaires pour votre compte utilisateur Google Cloud Qwiklabs.

1. Cliquez sur l'icône Cloud Shell () en haut à droite de la barre d'outils de la console Google Cloud.

2. Pour définir les variables d'environnement pour votre ID de projet et votre région, exécutez les commandes suivantes :

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. Pour enregistrer le compte utilisateur Google connecté dans une variable d'environnement, exécutez la commande suivante :

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. Si vous y êtes invité, cliquez sur Autoriser.

5. Activez l'API Cloud AI Companion pour Gemini :

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Pour utiliser Gemini, attribuez les rôles IAM nécessaires à votre compte utilisateur Google Cloud Qwiklabs :

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

Une fois ajoutés, ces rôles permettent à l'utilisateur de bénéficier de l'assistance Gemini.

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Activer Gemini

Tâche 2 : Créer un cluster GKE et déployer une application Web

Vous allez maintenant créer un cluster Google Kubernetes Engine (GKE) exécutant plusieurs microservices.

1. Exécutez la commande suivante pour créer un cluster GKE nommé test :

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

Ce processus peut prendre quelques minutes. Le résultat doit être semblable à celui-ci :

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. Ensuite, clonez un dépôt contenant le code d'une application Web :

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. Utilisez kubectl pour déployer un ensemble de microservices sur le cluster GKE :

kubectl apply -f ./release/kubernetes-manifests.yaml

4. Après quelques minutes, exécutez la commande suivante pour obtenir l'adresse IP publique permettant d'accéder à votre application Web dans un navigateur :

kubectl get service frontend-external | awk '{print $4}'

5. Copiez l'adresse IP à partir de la sortie de la commande ci-dessus et collez-la dans un nouvel onglet de navigateur.

Vous devriez accéder à une application Web semblable à la suivante :

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Créer un cluster GKE et déployer une application Web

Tâche 3 : Identifier les erreurs de configuration de la sécurité avec Gemini

Vous disposez désormais d'un cluster GKE exécutant une application d'e-commerce. Vous allez donc déterminer quels aspects de votre stratégie de sécurité peuvent être améliorés en utilisant Gemini.

1. Revenez à l'onglet de la console Google Cloud.

2. Actualisez la page de la console Google Cloud.

3. Réduisez le volet Cloud Shell.

4. Cliquez sur l'icône Gemini () en haut à droite de la barre d'outils de la console Google Cloud.

5. Cliquez sur Commencer à discuter.

6. Saisissez la requête suivante :

What services in Google Cloud can help me identify areas to improve security for a set of microservices running in a GKE cluster?

Vous devriez obtenir une réponse semblable à la suivante de la part de Gemini :

Google Cloud propose plusieurs services qui peuvent vous aider à identifier des améliorations de la sécurité pour un ensemble de microservices exécutés dans un cluster GKE. Par exemple :

• Security Command Center peut vous aider à identifier et prioriser les risques de sécurité dans votre environnement Google Cloud, y compris les clusters GKE.
• L'inventaire des éléments cloud peut vous aider à suivre et gérer vos ressources Google Cloud, y compris les clusters GKE.
• Cloud Logging peut vous aider à collecter et analyser les journaux de vos clusters GKE.
• Cloud Monitoring peut vous aider à surveiller les performances et l'état de vos clusters GKE.

Il ne s'agit là que de quelques exemples parmi les nombreux services de Google Cloud qui peuvent vous aider à améliorer la sécurité de vos microservices. L'utilisation de ces services vous permet de protéger vos données contre d'éventuels accès non autorisés, mais aussi de renforcer votre stratégie de sécurité au fil du temps.

Dans ce scénario, Security Command Center vous paraît être un bon point de départ.

7. Ouvrez le menu de navigation et sélectionnez Sécurité > Aperçu des risques.

De multiples visualisations illustrent les failles ; vous souhaitez demander à Gemini de vous aider à comprendre rapidement ce qui définit une faille dans Security Command Center.

8. Saisissez la requête suivante :

Comment est définie une faille dans Security Command Center ?

La réponse de Gemini doit être semblable à la suivante :

Security Command Center considère une faille comme une vulnérabilité ou une faiblesse dans un programme logiciel, laquelle peut être exploitée par un pirate informatique pour accéder à votre environnement Google Cloud ou le compromettre.

Source : https://cloud.google.com/security-command-center/docs/finding-classes

9. Cliquez sur le lien vers la documentation pour mieux distinguer les classes de résultats.

10. Après votre lecture, fermez l'onglet et revenez à la console Google Cloud.

11. Cliquez sur Résultats dans la barre latérale de la console Google Cloud.

12. Pour afficher les résultats pour votre cluster GKE, accédez à la section "Filtres rapides" et sélectionnez google.container.Cluster sous "Type de ressource".

Vous devriez voir plusieurs résultats de gravité moyenne.

13. Cliquez sur le résultat Chiffrement des secrets du cluster désactivé.

En haut du panneau de ce résultat, vous devriez voir une section intitulée "Description" avec un résumé semblable au suivant :

Le chiffrement des secrets au niveau de la couche application fournit une couche de sécurité supplémentaire pour les données sensibles, comme les secrets définis par l'utilisateur et les secrets requis pour le fonctionnement du cluster (par exemple les clés de compte de service), qui sont tous stockés dans etcd...

14. Quittez ce panneau d'information.

15. Ensuite, cliquez sur le résultat Compte possédant trop de privilèges et consultez le résumé fourni dans la section "Description". Il doit être semblable au suivant :

Ce nœud GKE utilise le nœud de service Compute Engine par défaut, qui dispose d'un accès étendu par défaut et potentiellement de privilèges trop élevés pour exécuter votre cluster Kubernetes Engine....

16. Quittez ce panneau d'information.

17. Enfin, cliquez sur le résultat Réseaux autorisés maîtres désactivés. Une description semblable à la suivante doit s'afficher :

Les réseaux autorisés du plan de contrôle améliorent la sécurité de votre cluster de conteneurs en empêchant des adresses IP spécifiées d'accéder au plan de contrôle du cluster...

18. Quittez ce panneau d'information.

Maintenant que vous avez une meilleure compréhension de certaines erreurs de configuration de la sécurité dans votre environnement, vous pouvez suivre les recommandations de Gemini pour les corriger.

Tâche 4 : Corriger une erreur de configuration de la sécurité

Maintenant que vous avez passé en revue les multiples améliorations de la sécurité pour votre cluster GKE, vous allez corriger le résultat "Réseaux autorisés maîtres désactivés" à l'aide des instructions fournies dans le résumé de Gemini dans Security Command Center.

1. Ouvrez le menu de navigation et sélectionnez Kubernetes Engine > Clusters.

2. Cliquez sur le nom du cluster que vous avez créé précédemment ("test").

3. Faites défiler jusqu'à la section Mise en réseau du plan de contrôle.

4. Cliquez sur l'icône en forme de crayon pour modifier la section Mise en réseau du plan de contrôle.

5. Cochez la case Activer les réseaux autorisés.

6. Cochez la case située sous Ajouter des adresses IP externes Google Cloud aux réseaux autorisés.

7. Cliquez sur Enregistrer les modifications.

8. Cliquez sur Clusters dans la barre latérale.

La mise à jour du cluster est signalée par un cercle en rotation ou une icône représentant un demi-cercle vert dans la section "État".

9. Pendant la mise à jour de la règle de réseau pour le plan de contrôle, ouvrez Gemini à partir de la barre d'outils de la console Google Cloud.

10. Saisissez la requête suivante :

Comment fonctionnent les réseaux autorisés pour le plan de contrôle dans GKE ?

La réponse de Gemini doit être semblable à la suivante :

Les réseaux autorisés pour le plan de contrôle vous permettent de limiter l'accès au plan de contrôle de votre cluster GKE. Par défaut, le plan de contrôle est accessible depuis n'importe quelle adresse. Vous pouvez toutefois ajouter un ou plusieurs réseaux autorisés pour limiter l'accès à ces seuls réseaux.

Pour ajouter un réseau autorisé, accédez à la page Google Kubernetes Engine dans la console Google Cloud. Cliquez sur le nom du cluster que vous souhaitez modifier. Sous "Mise en réseau", dans le champ "Réseaux autorisés pour le plan de contrôle", cliquez sur "Modifier les réseaux autorisés pour le plan de contrôle"...

L'application de la nouvelle règle du plan de contrôle peut prendre quelques minutes.

11. Lorsqu'une coche verte apparaît dans la colonne État à côté de votre cluster, cela signifie que la configuration du cluster a bien été mise à jour.

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Corriger une erreur de configuration de la sécurité

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur End Lab (Terminer l'atelier). Qwiklabs supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez le nombre d'étoiles correspondant à votre note, saisissez un commentaire, puis cliquez sur Submit (Envoyer).

Le nombre d'étoiles que vous pouvez attribuer à un atelier correspond à votre degré de satisfaction :

• 1 étoile = très mécontent(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez utiliser l'onglet Support (Assistance).

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms de société et de produit peuvent être des marques des sociétés auxquelles ils sont associés.