GCP - Security Enum

Basiese Inligting

Google Cloud Platform (GCP) Sekuriteit sluit 'n omvattende stel gereedskap en praktyke in wat ontwerp is om die sekuriteit van hulpbronne en data binne die Google Cloud omgewing te verseker, verdeel in vier hoofafdelings: Sekuriteitsopdrag Sentrum, Ontdekkings en Beheer, Data Beskerming en Zero Trust.

Sekuriteitsopdrag Sentrum

Die Google Cloud Platform (GCP) Sekuriteitsopdrag Sentrum (SCC) is 'n sekuriteits- en risiko bestuur gereedskap vir GCP hulpbronne wat organisasies in staat stel om sigbaarheid en beheer oor hul wolk bates te verkry. Dit help om bedreigings te ontdek en daarop te reageer deur omvattende sekuriteitsanalises aan te bied, foutiewe konfigurasies te identifiseer, nakoming met sekuriteitsstandaarde te verseker, en te integreer met ander sekuriteitsgereedskap vir geoutomatiseerde bedreigingsontdekking en -reaksie.

• Oorsig: Paneel om 'n oorsig te visualiseer van al die resultate van die Sekuriteitsopdrag Sentrum.

• Bedreigings: [Premium Vereis] Paneel om al die ontdekte bedreigings te visualiseer. Kyk meer oor Bedreigings hieronder

• Kwetsbaarhede: Paneel om gevonde foutiewe konfigurasies in die GCP rekening te visualiseer.

• Nakoming: [Premium vereis] Hierdie afdeling laat jou toe om jou GCP omgewing teen verskeie nakomingskontroles te toets (soos PCI-DSS, NIST 800-53, CIS benchmarks...) oor die organisasie.

• Bates: Hierdie afdeling wys al die bates wat gebruik word, baie nuttig vir stelselsadministrateurs (en miskien aanvallers) om te sien wat op 'n enkele bladsy loop.

• Vondste: Hierdie aggregates in 'n tabel bevindings van verskillende afdelings van GCP Sekuriteit (nie net Opdrag Sentrum nie) om bevindings wat saak maak maklik te visualiseer.

• Bronne: Wys 'n opsomming van bevindings van al die verskillende afdelings van GCP sekuriteit per afdeling.

• Posisie: [Premium Vereis] Sekuriteitsposisie laat jou toe om die sekuriteit van die GCP omgewing te definieer, te evalueer en te monitor. Dit werk deur 'n beleid te skep wat beperkings of beperkings definieer wat die hulpbronne in GCP beheer/monitor. Daar is verskeie vooraf gedefinieerde posisie sjablone wat gevind kan word in https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Bedreigings

Van die perspektief van 'n aanvaller, is dit waarskynlik die mees interessante kenmerk aangesien dit die aanvaller kan opspoor. Let egter daarop dat hierdie kenmerk Premium vereis (wat beteken dat die maatskappy meer sal moet betaal), so dit mag dalk nie eers geaktiveer wees nie.

Daar is 3 tipes bedreigingsontdekking meganismes:

• Gebeurtenis Bedreigings: Bevindings wat geproduseer word deur gebeurtenisse van Cloud Logging te pas by reëls wat intern deur Google geskep is. Dit kan ook Google Workspace logs skandeer.

• Dit is moontlik om die beskrywing van al die ontdekkingsreëls in die dokumentasie te vind.

• Container Bedreigings: Bevindings wat geproduseer word na die analise van lae-vlak gedrag van die kern van houers.

• Pasgemaakte Bedreigings: Reëls wat deur die maatskappy geskep is.

Dit is moontlik om aanbevole reaksies op ontdekte bedreigings van beide tipes te vind in https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumerasie

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: 'n Gevorderde sekuriteitsbedrywighede-suite wat ontwerp is om spanne te help om hul spoed en impak van sekuriteitsbedrywighede te verhoog, insluitend bedreigingsdetectie, ondersoek en reaksie.

• reCAPTCHA Enterprise: 'n Diens wat webwerwe beskerm teen bedrogagtige aktiwiteite soos scraping, credential stuffing, en outomatiese aanvalle deur te onderskei tussen menslike gebruikers en bots.

• Web Security Scanner: Outomatiese sekuriteitskanderingstoestel wat kwesbaarhede en algemene sekuriteitskwessies in webtoepassings wat op Google Cloud of 'n ander webdiens gehos is, opspoor.

• Risk Manager: 'n Bestuurs-, risiko- en nakomings (GRC) hulpmiddel wat organisasies help om hul Google Cloud risiko-houding te evalueer, dokumenteer en verstaan.

• Binary Authorization: 'n Sekuriteitsbeheer vir houers wat verseker dat slegs vertroude houerbeelde op Kubernetes Engine-klusters ontplooi word volgens beleide wat deur die onderneming gestel is.

• Advisory Notifications: 'n Diens wat waarskuwings en advies verskaf oor potensiële sekuriteitskwessies, kwesbaarhede, en aanbevole aksies om hulpbronne veilig te hou.

• Access Approval: 'n Kenmerk wat organisasies toelaat om eksplisiete goedkeuring te vereis voordat Google werknemers toegang tot hul data of konfigurasies kan kry, wat 'n addisionele laag van beheer en ouditbaarheid bied.

• Managed Microsoft AD: 'n Diens wat bestuurde Microsoft Active Directory (AD) bied wat gebruikers toelaat om hul bestaande Microsoft AD-afhanklike toepassings en werklas op Google Cloud te gebruik.

Data Protection

• Sensitive Data Protection: Hulpmiddels en praktyke wat daarop gemik is om sensitiewe data, soos persoonlike inligting of intellektuele eiendom, teen ongemagtigde toegang of blootstelling te beskerm.

• Data Loss Prevention (DLP): 'n Stel hulpmiddels en prosesse wat gebruik word om data in gebruik, in beweging, en in rus te identifiseer, monitor, en beskerm deur middel van diep inhoudinspeksie en deur 'n omvattende stel data-beskermingsreëls toe te pas.

• Certificate Authority Service: 'n Skaalbare en veilige diens wat die bestuur, ontplooiing, en hernuwing van SSL/TLS-sertifikate vir interne en eksterne dienste vereenvoudig en outomatiseer.

• Key Management: 'n Wolk-gebaseerde diens wat jou toelaat om kriptografiese sleutels vir jou toepassings te bestuur, insluitend die skepping, invoer, rotasie, gebruik, en vernietiging van enkripsiesleutels. Meer inligting in:

• Certificate Manager: 'n Diens wat SSL/TLS-sertifikate bestuur en ontplooi, wat veilige en versleutelde verbindings na jou webdienste en toepassings verseker.

• Secret Manager: 'n Veilige en gerieflike stoorstelsel vir API-sleutels, wagwoorde, sertifikate, en ander sensitiewe data, wat maklike en veilige toegang en bestuur van hierdie geheime in toepassings toelaat. Meer inligting in:

Zero Trust

• BeyondCorp Enterprise: 'n zero-trust sekuriteitsplatform wat veilige toegang tot interne toepassings moontlik maak sonder die behoefte aan 'n tradisionele VPN, deur te staatmaak op die verifikasie van gebruiker- en toestelvertroue voordat toegang verleen word.

• Policy Troubleshooter: 'n Hulpmiddel wat ontwerp is om administrateurs te help om toegangskwessies in hul organisasie te verstaan en op te los deur te identifiseer waarom 'n gebruiker toegang tot sekere hulpbronne het of waarom toegang geweier is, en sodoende te help met die afdwinging van zero-trust beleide.

• Identity-Aware Proxy (IAP): 'n Diens wat toegang tot wolktoepassings en VM's wat op Google Cloud, op die perseel, of ander wolke loop, beheer, gebaseer op die identiteit en die konteks van die versoek eerder as deur die netwerk waaruit die versoek ontstaan.

• VPC Service Controls: Sekuriteitsperke wat addisionele lae van beskerming aan hulpbronne en dienste wat in Google Cloud se Virtuele Privaatskyf (VPC) gehos is, bied, wat data-uitvloei voorkom en fyn toegangbeheer bied.

• Access Context Manager: Deel van Google Cloud se BeyondCorp Enterprise, hierdie hulpmiddel help om fyn-gegradeerde toegangbeheerbeleide te definieer en af te dwing gebaseer op 'n gebruiker se identiteit en die konteks van hul versoek, soos toestel-sekuriteitsstatus, IP-adres, en meer.