Informações gerais

O Gemini para Google Cloud atua como um colaborador de IA sempre ativo que ajuda usuários de todos os níveis de habilidade, onde eles precisam. Neste laboratório, você vai aprender a identificar e corrigir configurações de segurança incorretas no seu ambiente do Google Cloud usando os recursos do Gemini do Security Command Center.

Observação: a Duet AI agora é o Gemini, nosso modelo de última geração. Este laboratório foi atualizado para refletir essa mudança. Ao seguir as instruções dele, as referências à Duet AI na interface do usuário ou na documentação devem ser tratadas como referentes ao Gemini. Observação: como uma tecnologia em estágio inicial, o Gemini pode gerar uma saída plausível, mas que é factualmente incorreta. Recomendamos que você valide todas as saídas antes de usá-las. Para mais informações, consulte Gemini para o Google Cloud e IA responsável.

Objetivos

Neste laboratório, você vai aprender a:

• Ativar o Gemini em um projeto do Google Cloud
• Implantar exemplos de cargas de trabalho em um ambiente no Google Cloud
• Identificar configurações de segurança incorretas com o Gemini
• Corrigir configurações de segurança incorretas com o Gemini

Cenário

À medida que você monitora sua infraestrutura para buscar maneiras de melhorar sua postura de segurança, o Gemini pode ajudar a identificar mudanças na infraestrutura ou na configuração que evitem problemas no futuro.

Neste exemplo, suponha que você é um engenheiro de segurança de uma empresa de e-commerce que implanta regularmente clusters do Kubernetes gerenciados. Você precisa de uma maneira de ver se há configurações incorretas e quer instruções rápidas para corrigir esses problemas no seu ambiente de nuvem.

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período sem custo financeiro.

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:

   • O botão Abrir console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Nome de usuário"}}}

   Você também encontra o Nome de usuário no painel Detalhes do laboratório.

4. Clique em Seguinte.

5. Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.

   {{{user_0.password | "Senha"}}}

   Você também encontra a Senha no painel Detalhes do laboratório.

6. Clique em Seguinte.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: clique em Menu de navegação no canto superior esquerdo para acessar uma lista de produtos e serviços do Google Cloud.

Tarefa 1: ativar o Gemini

Primeiro, você ativa o Gemini no seu projeto do Google Cloud e configura as permissões necessárias para a conta de usuário do Qwiklabs do Google Cloud.

1. Clique no ícone do Cloud Shell () na parte superior direita da barra de ferramentas do console do Google Cloud.

2. Para definir as variáveis de ambiente da região e do ID do projeto, execute os seguintes comandos:

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. Para armazenar a conta de usuário do Google que está conectada em uma variável de ambiente, execute o seguinte comando:

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. Clique em Autorizar se solicitado.

5. Ative a API Cloud AI Companion para o Gemini:

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Para usar o Gemini, conceda os papéis necessários do IAM à conta de usuário do Qwiklabs do Google Cloud:

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

Ao adicionar esses papéis, o usuário pode contar com o suporte do Gemini.

Clique em Verificar meu progresso para conferir a tarefa realizada. Ativar o Gemini

Tarefa 2: criar um cluster do GKE e implantar um app da Web

Agora, você vai criar um cluster do Google Kubernetes Engine (GKE) executando alguns microsserviços.

1. Execute o seguinte comando para criar um cluster do GKE chamado test:

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

Isso deve levar alguns minutos. Após a conclusão, o resultado será parecido com este:

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. Agora, clone um repositório que contém código para um app da Web:

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. Use o kubectl para implantar um conjunto de microsserviços para o cluster do GKE:

kubectl apply -f ./release/kubernetes-manifests.yaml

4. Após alguns minutos, execute o seguinte comando para obter o endereço IP público para acessar seu app da Web em um navegador:

kubectl get service frontend-external | awk '{print $4}'

5. Copie o endereço IP da saída do comando acima e cole em uma nova guia do navegador.

Deve aparecer um app da Web parecido com este:

Clique em Verificar meu progresso para conferir a tarefa realizada. Criar um cluster do GKE e implantar um app da Web

Tarefa 3: identificar configurações de segurança incorretas com o Gemini

Agora que você tem um cluster do GKE executando um app de e-commerce, pode identificar áreas de melhoria da postura de segurança com o Gemini.

1. Retorne à guia do console do Google Cloud.

2. Atualize a página do console do Google Cloud.

3. Minimize o painel do Cloud Shell.

4. Clique no ícone do Gemini () na parte superior direita da barra de ferramentas do console do Google Cloud.

5. Clique em Iniciar a conversa.

6. Insira o seguinte comando:

Quais serviços no Google Cloud podem me ajudar a identificar áreas de melhoria na segurança de um conjunto de microsserviços em execução em um cluster do GKE?

O Gemini deve dar uma resposta parecida com esta:

Há diversos serviços no Google Cloud que podem ajudar você a identificar áreas de melhoria da segurança para um conjunto de microsserviços em execução em um cluster do GKE. São eles:

• O Security Command Center pode ajudar você a identificar e priorizar riscos de segurança em seu ambiente do Google Cloud, incluindo clusters do GKE.
• O Inventário de recursos do Cloud pode ajudar você a rastrear e gerenciar seus recursos do Google Cloud, incluindo clusters do GKE.
• O Cloud Logging pode ajudar você a coletar e analisar logs dos clusters do GKE.
• O Cloud Monitoring pode ajudar você a monitorar o desempenho e a integridade dos clusters do GKE.

Esses são apenas alguns dos diversos serviços no Google Cloud que podem ajudar você a melhorar a segurança dos seus microsserviços. Ao usar esses serviços, você ajuda a proteger seus dados contra o acesso não autorizado e pode melhorar sua postura de segurança ao longo do tempo.

Nesse cenário, você decide que o Security Command Center parece um bom ponto de partida.

7. Abra o menu de navegação e selecione Segurança > Visão geral de riscos.

Com várias visualizações discutindo vulnerabilidades, você quer pedir ajuda ao Gemini para entender de modo geral o que é classificado como vulnerabilidade no Security Command Center.

8. Insira o seguinte comando:

Como o Security Command Center define uma vulnerabilidade?

A resposta do Gemini precisa ser parecida com esta:

O Security Command Center define uma vulnerabilidade como uma falha ou exposição em um programa de software que um invasor poderia usar para ganhar acesso ou comprometer de outra forma seu ambiente do Google Cloud.

Fonte: https://cloud.google.com/security-command-center/docs/finding-classes

9. Clique no link da documentação para diferenciar melhor as classes das descobertas.

10. Depois de ler sobre elas, feche a guia e volte ao console do Google Cloud.

11. Clique em Descobertas na barra lateral do console do Google Cloud.

12. Para ver as descobertas do seu cluster do GKE, procure a seção "Filtros rápidos" e selecione Cluster do contêiner do Google em Tipo de recurso.

Você vai encontrar uma série de descobertas de gravidade média.

13. Clique na descoberta Criptografia de Secrets no cluster desativada.

Na parte de cima do painel dessa descoberta, você vai encontrar uma seção chamada "Descrição" com um resumo semelhante ao seguinte:

A criptografia de Secrets na camada de aplicativos reforça a segurança dos dados sensíveis, como Secrets definidos pelo usuário e Secrets necessários para a operação do cluster, como chaves de conta de serviço, que ficam armazenadas no etcd...

14. Saia deste painel de informações.

15. Em seguida, clique na descoberta Por uma conta privilegiada e confira o resumo na descrição, que é semelhante ao seguinte:

Esse nó do GKE usa o nó de serviço padrão do Compute Engine, que tem amplo acesso por padrão e possivelmente privilégios demais para executar seu cluster do Kubernetes Engine....

16. Saia deste painel de informações.

17. Por fim, clique na descoberta Redes mestres autorizadas desativadas. Você verá uma descrição semelhante à seguinte.

Redes autorizadas do plano de controle melhoram a segurança do cluster de contêiner bloqueando o acesso de endereços IP especificados ao plano de controle do cluster…

18. Saia deste painel de informações.

Agora que você já entendeu algumas das configurações de segurança incorretas no seu ambiente, você vai aproveitar as recomendações do Gemini para corrigi-las.

Tarefa 4: Corrigir uma configuração de segurança incorreta

Agora que você teve a chance de revisar várias áreas para começar a melhorar a segurança do seu cluster do GKE, pode corrigir a descoberta "Redes mestres autorizadas desativadas" usando as instruções fornecidas pelo resumo do Gemini no Security Command Center.

1. Abra o menu de navegação e selecione Kubernetes Engine > Clusters.

2. Clique no nome do cluster que você criou antes ("test").

3. Role para baixo até a seção Rede do plano de controle.

4. Clique no ícone de lápis para editar a rede do plano de controle.

5. Marque a caixa ao lado de Ativar redes autorizadas.

6. Marque a caixa abaixo de Adicionar endereços IP externos do Google Cloud a redes autorizadas.

7. Clique em Salvar.

8. Clique em Clusters na barra lateral.

O cluster vai sendo atualizado, conforme mostra o ícone de roda ou de meio círculo verde na seção "Status".

9. Durante as atualizações da política de rede para o plano de controle, abra o Gemini pela barra de ferramentas do console do Google Cloud.

10. Insira o seguinte comando:

Como as redes autorizadas do plano de controle funcionam no GKE?

A resposta do Gemini precisa ser parecida com esta:

As redes autorizadas do plano de controle precisam que você restrinja o acesso ao plano de controle do cluster do GKE. Por padrão, o plano de controle pode ser acessado por qualquer endereço. No entanto, você pode adicionar uma ou mais redes autorizadas para restringir o acesso a apenas essas redes.

Para adicionar uma rede autorizada, acesse a página do Google Kubernetes Engine no console do Google Cloud. Clique no nome do cluster que você quer modificar. Em "Rede", no campo "Redes autorizadas do plano de controle", clique em "Editar redes autorizadas do plano de controle"...

A aplicação da política atualizada do plano de controle pode levar alguns minutos.

11. Quando aparecer uma marca de seleção verde na coluna Status, ao lado do seu cluster, você terá terminado de atualizar sua configuração de cluster.

Clique em Verificar meu progresso para conferir a tarefa realizada. Corrija uma configuração de segurança incorreta

Finalize o laboratório

Após terminar seu laboratório, clique em End Lab. O Qwiklabs removerá os recursos usados e limpará a conta para você.

Você poderá avaliar sua experiência neste laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Submit.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Support.

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.