AntoniWnek/GCP-Security-DFIR-Lab

# GCP 企业安全实验室与 DFIR Pipeline 本项目使用 Infrastructure as Code (Terraform) 模拟 Enterprise 环境，包含独立于 BigQuery 的 SOC 遥测层 (Decoupled State) 以及配置为 Egress DENY ALL 的防火墙。 ## 网络架构  ### 安全与“吊桥模式” 鉴于 Google Cloud AUP (Acceptable Use Policy) 的严格政策，本环境部署了 100% 安全的 Honeypot 架构。 为了防止环境被僵尸网络用于发起外部攻击（如 DDoS、C2、垃圾邮件等），我们采用了带有 DENY ALL 规则的有状态 Egress 防火墙。 **部署流程：** 由于出站流量被封锁，通过启动脚本安装易受攻击的应用程序 (DVWA) 需要临时降下吊桥： 1. 使用 `allow_egress_updates` 规则（端口 80/443）部署架构。 2. 等待 2 分钟，以便 Bastion 主机下载 Docker 镜像。 3. 删除 Egress 规则并再次执行 `terraform apply`。 4. 吊桥随之关闭。来自容器内部的恶意流量将冲击防火墙并被拦截，但攻击尝试的日志仍会被记录下来，以供 SOC 进行分析。 *详细的部署过程及完整的事件报告（SANS/NIST）即将发布。*

标签：BigQuery, CISA项目, ECS, GCP, IP 地址批量处理, Terraform, 域环境安全, 安全实验环境, 蜜罐, 证书利用, 请求拦截