PProfessNet Academy
Google Cloud (GCP) — fundamenty/03core12 min

Compute Engine i Cloud Storage

Compute Engine i Cloud Storage to podstawa większości obciążeń w GCP — odpowiedniki EC2/S3 z AWS i VM/Blob z Azure. Ta lekcja pokazuje ich rolę i kontrole, które ZEUS weryfikuje.

Compute Engine — maszyny wirtualne

Compute Engine (GCE) to IaaS: wirtualne serwery z dużą elastycznością typów maszyn. Wybierasz obraz, typ maszyny (np. e2-standard-2, n2-standard-4) i sieć.

gcloud compute instances create vm-zeus-01 \
  --zone=europe-central2-a \
  --machine-type=e2-standard-2 \
  --image-family=debian-12 --image-project=debian-cloud \
  --no-address   # bez publicznego IP

Kluczowe kontrole bezpieczeństwa:

  • brak publicznego IP tam, gdzie zbędne (--no-address),
  • Shielded VM (Secure Boot, vTPM) — ochrona przed rootkitami,
  • OS Login zamiast kluczy SSH w metadanych,
  • szyfrowanie dysków (domyślne, opcjonalnie własne klucze CMEK).

Wskazówka: dostęp do VM bez publicznego IP realizuj przez IAP TCP forwarding (gcloud compute ssh --tunnel-through-iap) — odpowiednik Bastiona, bez otwierania portów do internetu.

Cloud Storage — storage obiektowy

Cloud Storage trzyma obiekty w bucketach z klasami magazynu (Standard, Nearline, Coldline, Archive) dla optymalizacji kosztów. Jak w każdej chmurze — najczęstsze źródło wycieków, więc kontrole są krytyczne:

  • Uniform bucket-level access (jednolity dostęp, bez ACL per obiekt),
  • Public Access Prevention włączony,
  • szyfrowanie (domyślne Google-managed lub CMEK).
gcloud storage buckets create gs://zeus-data-4471 \
  --location=europe-central2 \
  --uniform-bucket-level-access \
  --public-access-prevention=enforced

Porównanie z innymi chmurami

GCPAWSAzure
Compute EngineEC2Virtual Machines
Cloud StorageS3Blob Storage
Shielded VMNitro/IMDSv2Trusted Launch
IAP TCP forwardingSSM Session ManagerBastion

Najczęstsze misconfigi

  1. Bucket z Public Access Prevention wyłączonym → ryzyko wycieku.
  2. VM z publicznym IP i otwartym SSH w regule firewall.
  3. Service account przypisany do VM z rolą editor zamiast wąskiej.

Jak to widzi ZEUS

Przez Cloud Asset Inventory i API usług ZEUS odczytuje wszystkie instancje Compute Engine (publiczne IP, Shielded VM, przypisane konta usług) i buckety Cloud Storage (Public Access Prevention, uniform access, szyfrowanie). Te kontrole zasilają zarówno posture, jak i frameworki compliance — szyfrowanie i brak publicznej ekspozycji to bezpośrednie wymagania ISO 27001 i NIS2.

W następnej lekcji: sieci VPC i firewall.