Ringkasan

Gemini untuk Google Cloud merupakan kolaborator AI yang selalu aktif dan membantu pengguna dari semua tingkat keterampilan kapan pun mereka memerlukannya. Di lab ini, Anda akan mempelajari cara mengidentifikasi dan memperbaiki kesalahan konfigurasi keamanan di lingkungan Google Cloud menggunakan fitur Gemini dari Security Command Center.

Catatan: Duet AI berganti nama menjadi Gemini, model generasi berikutnya dari kami. Lab ini telah diperbarui untuk mencerminkan perubahan ini. Semua referensi terkait Duet AI dalam antarmuka pengguna atau dokumentasi harus diperlakukan setara dengan Gemini saat mengikuti petunjuk lab. Catatan: Sebagai teknologi tahap awal, Gemini dapat menghasilkan output yang seolah masuk akal tetapi mengandung fakta yang salah. Sebaiknya validasi semua output dari Gemini sebelum Anda menggunakannya. Untuk informasi lebih lanjut, lihat Gemini untuk Google Cloud dan responsible AI.

Tujuan

Di lab ini, Anda akan mempelajari cara melakukan tugas berikut:

• Mengaktifkan Gemini di project Google Cloud
• Men-deploy contoh workload ke lingkungan di Google Cloud
• Mengidentifikasi kesalahan konfigurasi keamanan dengan Gemini
• Memperbaiki kesalahan konfigurasi keamanan dengan Gemini

Skenario

Saat Anda memantau infrastruktur untuk mencari cara meningkatkan postur keamanan Anda, Gemini dapat membantu mengidentifikasi perubahan infrastruktur atau konfigurasi yang akan mencegah masalah di masa depan.

Dalam contoh ini, anggaplah Anda adalah seorang engineer keamanan di perusahaan e-commerce tempat cluster Kubernetes yang terkelola di-deploy secara berkala. Anda memerlukan cara untuk mengetahui apakah ada kesalahan konfigurasi, dan Anda menginginkan petunjuk cepat untuk membantu memperbaiki masalah tersebut di lingkungan cloud Anda.

Penyiapan dan persyaratan

Untuk setiap lab, Anda akan memperoleh project Google Cloud baru serta serangkaian resource selama jangka waktu tertentu, tanpa biaya.

1. Klik tombol Start Lab. Jika Anda perlu membayar lab, jendela pop-up akan terbuka untuk memilih metode pembayaran. Di sebelah kiri adalah panel Lab Details yang memuat sebagai berikut:

   • Tombol Open Google Cloud console
   • Waktu tersisa
   • Kredensial sementara yang harus Anda gunakan untuk lab ini
   • Informasi lain, jika diperlukan, untuk menyelesaikan lab ini

2. Klik Open Google Cloud console (atau klik kanan dan pilih Open Link in Incognito Window jika Anda menjalankan browser Chrome).

   Lab akan menjalankan resource, lalu membuka tab lain yang menampilkan halaman Sign in.

   Tips: Atur tab di jendela terpisah secara berdampingan.

   Catatan: Jika Anda melihat dialog Choose an account, klik Use Another Account.

3. Jika perlu, salin Username di bawah dan tempel ke dialog Sign in.

   {{{user_0.username | "Username"}}}

   Anda juga dapat menemukan Username di panel Lab Details.

4. Klik Next.

5. Salin Password di bawah dan tempel ke dialog Welcome.

   {{{user_0.password | "Password"}}}

   Anda juga dapat menemukan Password di panel Lab Details.

6. Klik Next.

   Penting: Anda harus menggunakan kredensial yang diberikan lab. Jangan menggunakan kredensial akun Google Cloud Anda. Catatan: Menggunakan akun Google Cloud sendiri untuk lab ini dapat dikenai biaya tambahan.

7. Klik halaman berikutnya:

   • Setujui persyaratan dan ketentuan.
   • Jangan tambahkan opsi pemulihan atau autentikasi 2 langkah (karena ini akun sementara).
   • Jangan mendaftar uji coba gratis.

Setelah beberapa saat, Konsol Google Cloud akan terbuka di tab ini.

Catatan: Untuk melihat menu dengan daftar produk dan layanan Google Cloud, klik Navigation menu di kiri atas.

Tugas 1. Mengaktifkan Gemini

Pertama-tama, aktifkan Gemini di project Google Cloud Anda dan konfigurasikan izin yang diperlukan untuk akun pengguna Qwiklabs Google Cloud Anda.

1. Klik ikon Cloud Shell () di sudut kanan atas toolbar Konsol Google Cloud.

2. Untuk menetapkan project ID dan variabel lingkungan region, jalankan perintah berikut:

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. Untuk menyimpan akun pengguna Google yang sudah login di variabel lingkungan, jalankan perintah berikut:

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. Klik Authorize, jika diminta.

5. Aktifkan Cloud AI Companion API untuk Gemini:

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Untuk menggunakan Gemini, berikan peran IAM yang diperlukan ke akun pengguna Qwiklabs Google Cloud Anda:

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

Dengan menambahkan peran ini, pengguna dapat menggunakan bantuan Gemini.

Klik Check my progress untuk memverifikasi tugas yang telah diselesaikan. Mengaktifkan Gemini

Tugas 2. Membuat cluster GKE dan men-deploy aplikasi web

Sekarang Anda akan membuat cluster Google Kubernetes Engine (GKE) yang menjalankan beberapa microservice.

1. Jalankan perintah berikut untuk membuat cluster GKE bernama test:

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

Tindakan ini memerlukan waktu beberapa menit. Setelah selesai, Anda mungkin akan melihat hasil yang mirip dengan contoh berikut:

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. Sekarang, buat clone repositori yang berisi kode untuk aplikasi web:

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. Gunakan kubectl untuk men-deploy serangkaian microservice ke cluster GKE:

kubectl apply -f ./release/kubernetes-manifests.yaml

4. Setelah beberapa menit, jalankan perintah berikut untuk mendapatkan alamat IP publik guna mengakses aplikasi web Anda di browser:

kubectl get service frontend-external | awk '{print $4}'

5. Salin alamat IP dari output perintah di atas dan tempel ke tab browser baru.

Anda akan melihat aplikasi web yang mirip dengan contoh berikut:

Klik Check my progress untuk memverifikasi tugas yang telah diselesaikan. Membuat cluster GKE dan men-deploy aplikasi web

Tugas 3. Mengidentifikasi kesalahan konfigurasi keamanan dengan Gemini

Setelah cluster GKE yang ada menjalankan aplikasi e-commerce, Anda akan mengidentifikasi area yang postur keamanannya dapat Anda tingkatkan dengan Gemini.

1. Kembali ke tab Anda dengan Konsol Google Cloud.

2. Muat ulang halaman Konsol Google Cloud.

3. Perkecil panel Cloud Shell.

4. Klik ikon Gemini () di sudut kanan atas toolbar Konsol Google Cloud.

5. Klik Start Chatting.

6. Masukkan perintah berikut:

What services in Google Cloud can help me identify areas to improve security for a set of microservices running in a GKE cluster?

Respons Gemini yang ditampilkan akan mirip dengan contoh berikut:

There are a number of services in Google Cloud that can help you identify areas to improve security for a set of microservices running in a GKE cluster. These include:

• Security Command Center can help you identify and prioritize security risks across your Google Cloud environment, including GKE clusters.
• Cloud Asset Inventory can help you track and manage your Google Cloud resources, including GKE clusters.
• Cloud Logging can help you collect and analyze logs from your GKE clusters.
• Cloud Monitoring can help you monitor the performance and health of your GKE clusters.

These are just a few of the many services in Google Cloud that can help you improve the security of your microservices. By using these services, you can help protect your data from unauthorized access, and you can also help improve your security posture over time.

Dalam skenario ini, Anda memutuskan bahwa Security Command Center sepertinya merupakan tempat yang tepat untuk memulai.

7. Buka Navigation menu, lalu pilih Security > Risk Overview.

Dengan berbagai visualisasi yang membahas kerentanan, Anda dapat meminta Gemini untuk membantu Anda agar cepat memahami apa yang diklasifikasikan sebagai kerentanan di Security Command Center.

8. Masukkan perintah berikut:

How does Security Command Center define a vulnerability?

Respons Gemini akan mirip dengan contoh berikut:

Security Command Center defines a vulnerability as a flaw or weakness in software programs that an attacker could use to gain access to or otherwise compromise your Google Cloud environment.

Sumber: https://cloud.google.com/security-command-center/docs/finding-classes

9. Klik link dokumentasi untuk membedakan kelas yang ditemukan dengan lebih baik.

10. Setelah membacanya, tutup tab dan kembali ke Konsol Google Cloud.

11. Klik Findings dari sidebar Konsol Google Cloud.

12. Untuk melihat temuan cluster GKE, temukan bagian "Quick Filters", lalu pilih Google container cluster di Resource Type.

Anda akan melihat sejumlah temuan dengan tingkat keparahan Medium.

13. Klik temuan Cluster secrets encryption disabled.

Di bagian atas panel temuan ini, Anda akan melihat bagian berjudul "Description" dengan ringkasan yang mirip dengan yang berikut:

Application-layer secrets encryption provides an additional layer of security for sensitive data, such as user-defined secrets and secrets required for the operation of the cluster, such as service account keys, which are all stored in etcd...

14. Keluar dari panel informasi ini.

15. Selanjutnya, klik Over privileged account untuk menemukan dan melihat ringkasan dalam deskripsi yang mirip dengan yang berikut:

This GKE node uses the Compute Engine default service node, which has broad access by default and may be over privileged for running your Kubernetes Engine cluster....

16. Keluar dari panel informasi ini.

17. Terakhir, klik temuan Master authorized networks disabled. Anda akan melihat deskripsi yang mirip dengan yang berikut:

Control plane authorized networks improve security for your container cluster by blocking specified IP addresses from accessing your cluster's control plane...

18. Keluar dari panel informasi ini.

Setelah memahami beberapa kesalahan konfigurasi keamanan lingkungan Anda, manfaatkan rekomendasi dari Gemini untuk memperbaikinya.

Tugas 4. Memperbaiki kesalahan konfigurasi keamanan

Setelah dapat meninjau beberapa area untuk mulai meningkatkan keamanan cluster GKE, Anda dapat memperbaiki temuan "Master authorized networks disabled" menggunakan petunjuk yang diberikan dalam ringkasan Gemini di Security Command Center.

1. Buka Navigation menu, lalu pilih Kubernetes Engine > Clusters.

2. Klik nama cluster yang Anda buat sebelumnya ("test").

3. Scroll ke bawah ke bagian Control Plane Networking.

4. Klik ikon pensil untuk mengedit Control plane networking.

5. Centang kotak di samping Enable authorized networks.

6. Centang kotak di bawah Add Google Cloud external IP addresses to authorized networks.

7. Klik Save changes.

8. Klik Clusters di sidebar.

Anda akan melihat cluster sedang diupdate, yang ditunjukkan dengan roda yang berputar atau ikon setengah lingkaran berwarna hijau di bagian Status.

9. Saat dilakukan pembaruan kebijakan jaringan untuk bidang kontrol, buka Gemini dari toolbar Konsol Google Cloud.

10. Masukkan perintah berikut:

How do control plane authorized networks work in GKE?

Respons Gemini akan mirip dengan contoh berikut:

Control plane authorized networks allow you to restrict access to the control plane of your GKE cluster. By default, the control plane is accessible from any address. However, you can add one or more authorized networks to restrict access to only those networks.

To add an authorized network, go to the Google Kubernetes Engine page in the Google Cloud console. Click the name of the cluster you want to modify. Under Networking, in the Control plane authorized networks field, click edit Edit control plane authorized networks...

Menerapkan kebijakan bidang kontrol yang diperbarui mungkin memerlukan waktu beberapa menit sampai berlaku.

11. Jika Anda melihat tanda centang hijau di kolom Status di samping cluster, berarti Anda berhasil memperbarui konfigurasi cluster.

Klik Check my progress untuk memverifikasi tugas yang telah diselesaikan. Memperbaiki kesalahan konfigurasi keamanan

Mengakhiri lab Anda

Setelah Anda menyelesaikan lab, klik Akhiri Lab. Qwiklabs menghapus resource yang telah Anda gunakan dan menghapus akun.

Anda akan diberi kesempatan untuk menilai pengalaman menggunakan lab. Pilih jumlah bintang yang sesuai, ketik komentar, lalu klik Submit.

Makna jumlah bintang:

• 1 bintang = Sangat tidak puas
• 2 bintang = Tidak puas
• 3 bintang = Netral
• 4 bintang = Puas
• 5 bintang = Sangat puas

Anda dapat menutup kotak dialog jika tidak ingin memberikan masukan.

Untuk masukan, saran, atau koreksi, gunakan tab Dukungan.

Hak cipta 2024 Google LLC. Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.