GCP - Security Enum

基本信息

Google Cloud Platform (GCP) 安全性涵盖了一套全面的工具和实践，旨在确保 Google Cloud 环境中资源和数据的安全性，分为四个主要部分：安全指挥中心、检测与控制、数据保护和零信任。

安全指挥中心

Google Cloud Platform (GCP) 安全指挥中心 (SCC) 是一个用于 GCP 资源的安全和风险管理工具，使组织能够获得对其云资产的可见性和控制。它通过提供全面的安全分析、识别错误配置、确保与安全标准的合规性以及与其他安全工具的集成来帮助检测和响应威胁。

• 概述：面板用于可视化安全指挥中心的所有结果。

• 威胁：[需要高级版] 面板用于可视化所有检测到的威胁。有关威胁的更多信息，请查看下面的内容

• 漏洞：面板用于可视化在 GCP 账户中发现的错误配置。

• 合规性：[需要高级版] 此部分允许对您的 GCP 环境进行多项合规性检查（如 PCI-DSS、NIST 800-53、CIS 基准等）。

• 资产：此部分显示所有正在使用的资产，对系统管理员（也许是攻击者）非常有用，可以在单一页面上查看正在运行的内容。

• 发现：此部分汇总了 GCP 安全的不同部分（不仅仅是指挥中心）的发现，以便轻松可视化重要的发现。

• 来源：显示 GCP 安全的所有不同部分的发现摘要。

• 态势：[需要高级版] 安全态势允许定义、评估和监控 GCP 环境的安全性。它通过创建定义约束或限制的政策来控制/监控 GCP 中的资源。可以在 https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy 找到多个预定义的态势模板。

威胁

从攻击者的角度来看，这可能是最有趣的功能，因为它可以检测到攻击者。但是，请注意，此功能需要高级版（这意味着公司需要支付更多费用），因此可能甚至未启用。

有三种类型的威胁检测机制：

• 事件威胁：通过根据 Google 内部创建的规则匹配来自Cloud Logging的事件生成的发现。它还可以扫描Google Workspace 日志。

• 可以在文档中找到所有检测规则的描述

• 容器威胁：在分析容器内核的低级行为后生成的发现。

• 自定义威胁：由公司创建的规则。

可以在 https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response 找到对两种类型检测到的威胁的推荐响应。

枚举

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

后期利用

检测与控制

• Chronicle SecOps：一个先进的安全运营套件，旨在帮助团队提高安全运营的速度和影响力，包括威胁检测、调查和响应。

• reCAPTCHA Enterprise：一种保护网站免受抓取、凭证填充和自动攻击等欺诈活动的服务，通过区分人类用户和机器人来实现。

• Web Security Scanner：自动化安全扫描工具，检测托管在Google Cloud或其他网络服务上的Web应用程序中的漏洞和常见安全问题。

• Risk Manager：一个治理、风险和合规（GRC）工具，帮助组织评估、记录和理解其Google Cloud风险状况。

• Binary Authorization：一种容器安全控制，确保仅根据企业设定的政策在Kubernetes Engine集群上部署受信任的容器镜像。

• Advisory Notifications：提供潜在安全问题、漏洞和推荐行动的警报和建议的服务，以保持资源安全。

• Access Approval：一个功能，允许组织在Google员工访问其数据或配置之前要求明确的批准，提供额外的控制和审计层。

• Managed Microsoft AD：提供托管Microsoft Active Directory（AD）的服务，允许用户在Google Cloud上使用现有的依赖Microsoft AD的应用程序和工作负载。

数据保护

• 敏感数据保护：旨在保护敏感数据（如个人信息或知识产权）免受未经授权访问或泄露的工具和实践。

• 数据丢失防护（DLP）：一套用于识别、监控和保护使用中、传输中和静态数据的工具和流程，通过深度内容检查和应用全面的数据保护规则。

• 证书授权服务：一个可扩展和安全的服务，简化和自动化内部和外部服务的SSL/TLS证书的管理、部署和续订。

• 密钥管理：一个基于云的服务，允许您管理应用程序的加密密钥，包括创建、导入、轮换、使用和销毁加密密钥。更多信息请参见：

• 证书管理器：管理和部署SSL/TLS证书的服务，确保与您的Web服务和应用程序的安全和加密连接。

• 秘密管理器：一个安全且方便的存储系统，用于API密钥、密码、证书和其他敏感数据，允许在应用程序中轻松和安全地访问和管理这些秘密。更多信息请参见：

零信任

• BeyondCorp Enterprise：一个零信任安全平台，允许安全访问内部应用程序，而无需传统VPN，通过在授予访问权限之前验证用户和设备的信任。

• Policy Troubleshooter：一个旨在帮助管理员理解和解决组织中访问问题的工具，通过识别用户为何可以访问某些资源或为何访问被拒绝，从而帮助执行零信任政策。

• 身份感知代理（IAP）：一个控制对在Google Cloud、内部或其他云上运行的云应用程序和虚拟机的访问的服务，基于请求的身份和上下文，而不是请求来源的网络。

• VPC服务控制：为托管在Google Cloud虚拟私有云（VPC）中的资源和服务提供额外保护层的安全边界，防止数据外泄并提供细粒度访问控制。

• 访问上下文管理器：作为Google Cloud的BeyondCorp Enterprise的一部分，该工具帮助定义和执行基于用户身份和请求上下文（如设备安全状态、IP地址等）的细粒度访问控制策略。