Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Platform (GCP) 安全涵盖了一套 全面的工具 和实践,旨在确保 Google Cloud 环境中资源和数据的 安全性,分为四个主要部分:安全指挥中心、检测与控制、数据保护和零信任。
Google Cloud Platform (GCP) 安全指挥中心 (SCC) 是一个 用于 GCP 资源的安全和风险管理工具,使组织能够获得对其云资产的可见性和控制。它通过提供全面的安全分析、识别错误配置、确保与安全标准的 合规性,以及与其他安全工具的 集成 来帮助 检测和响应威胁。
概述:面板用于 可视化安全指挥中心的所有结果。
威胁:[需要高级版] 面板用于可视化所有 检测到的威胁。有关威胁的更多信息,请查看下面。
漏洞:面板用于 可视化在 GCP 账户中发现的错误配置。
合规性:[需要高级版] 此部分允许 对您的 GCP 环境进行多项合规性检查(如 PCI-DSS、NIST 800-53、CIS 基准等)。
资产:此部分 显示所有正在使用的资产,对系统管理员(也许是攻击者)非常有用,可以在单一页面上查看正在运行的内容。
发现:此部分 汇总 GCP 安全的不同部分(不仅仅是指挥中心)的 发现,以便轻松可视化重要的发现。
来源:按 部分 显示 GCP 安全的所有不同部分的 发现摘要。
态势:[需要高级版] 安全态势允许 定义、评估和监控 GCP 环境的安全性。它通过创建定义约束或限制的政策来控制/监控 GCP 中的资源。可以在 https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy 找到多个预定义的态势模板。
从攻击者的角度来看,这可能是 最有趣的功能,因为它可以检测到攻击者。但是,请注意,此功能需要 高级版(这意味着公司需要支付更多费用),因此 可能甚至未启用。
有三种类型的威胁检测机制:
事件威胁:通过根据 Google 内部创建的 规则 匹配 Cloud Logging 中的事件而产生的发现。它还可以扫描 Google Workspace 日志。
可以在 文档中找到所有检测规则的描述。
容器威胁:在分析容器内核的低级行为后产生的发现。
自定义威胁:由公司创建的规则。
可以在 https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response 找到对两种类型检测到的威胁的推荐响应。
Chronicle SecOps:一个先进的安全运营套件,旨在帮助团队提高安全运营的速度和影响力,包括威胁检测、调查和响应。
reCAPTCHA Enterprise:一种服务,通过区分人类用户和机器人,保护网站免受抓取、凭证填充和自动攻击等欺诈活动。
Web Security Scanner:自动化安全扫描工具,检测托管在Google Cloud或其他网络服务上的Web应用程序中的漏洞和常见安全问题。
Risk Manager:一个治理、风险和合规(GRC)工具,帮助组织评估、记录和理解其Google Cloud风险状况。
Binary Authorization:一种容器安全控制,确保仅根据企业设定的政策在Kubernetes Engine集群上部署受信任的容器镜像。
Advisory Notifications:一种服务,提供有关潜在安全问题、漏洞和推荐措施的警报和建议,以保持资源安全。
Access Approval:一种功能,允许组织在Google员工访问其数据或配置之前要求明确批准,从而提供额外的控制和审计层。
Managed Microsoft AD:一种提供托管Microsoft Active Directory(AD)的服务,允许用户在Google Cloud上使用现有的依赖Microsoft AD的应用程序和工作负载。
敏感数据保护:旨在保护敏感数据(如个人信息或知识产权)免受未经授权访问或泄露的工具和实践。
数据丢失防护(DLP):一套工具和流程,用于通过深度内容检查和应用全面的数据保护规则来识别、监控和保护使用中、传输中和静态的数据。
证书授权服务:一种可扩展和安全的服务,简化和自动化内部和外部服务的SSL/TLS证书的管理、部署和续订。
密钥管理:一种基于云的服务,允许您管理应用程序的加密密钥,包括加密密钥的创建、导入、轮换、使用和销毁。更多信息请参见:
证书管理器:一种管理和部署SSL/TLS证书的服务,确保与您的Web服务和应用程序的安全和加密连接。
秘密管理器:一种安全且方便的存储系统,用于API密钥、密码、证书和其他敏感数据,允许在应用程序中轻松和安全地访问和管理这些秘密。更多信息请参见:
BeyondCorp Enterprise:一种零信任安全平台,允许安全访问内部应用程序,而无需传统VPN,通过在授予访问权限之前验证用户和设备的信任。
Policy Troubleshooter:一种工具,旨在帮助管理员理解和解决组织中的访问问题,通过识别用户为何可以访问某些资源或为何访问被拒绝,从而帮助执行零信任政策。
身份感知代理(IAP):一种服务,根据请求的身份和上下文控制对在Google Cloud、内部或其他云上运行的云应用程序和虚拟机的访问,而不是根据请求来源的网络。
VPC服务控制:为托管在Google Cloud虚拟私有云(VPC)中的资源和服务提供额外保护层的安全边界,防止数据外泄并提供细粒度访问控制。
访问上下文管理器:作为Google Cloud的BeyondCorp Enterprise的一部分,该工具帮助定义和执行基于用户身份和请求上下文(如设备安全状态、IP地址等)的细粒度访问控制策略。
学习与实践AWS黑客技术:HackTricks培训AWS红队专家(ARTE) 学习与实践GCP黑客技术:HackTricks培训GCP红队专家(GRTE)
