GCP - Security Enum
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Grundlegende Informationen
Die Sicherheit der Google Cloud Platform (GCP) umfasst eine umfassende Suite von Tools und Praktiken, die darauf abzielen, die Sicherheit von Ressourcen und Daten innerhalb der Google Cloud-Umgebung zu gewährleisten, unterteilt in vier Hauptbereiche: Security Command Center, Detections and Controls, Data Protection und Zero Trust.
Security Command Center
Das Security Command Center (SCC) der Google Cloud Platform (GCP) ist ein Sicherheits- und Risikomanagement-Tool für GCP-Ressourcen, das es Organisationen ermöglicht, Sichtbarkeit und Kontrolle über ihre Cloud-Assets zu gewinnen. Es hilft, Bedrohungen zu erkennen und darauf zu reagieren, indem es umfassende Sicherheitsanalysen bietet, Fehlkonfigurationen identifiziert, die Einhaltung von Sicherheitsstandards sicherstellt und sich mit anderen Sicherheits-Tools zur automatisierten Bedrohungserkennung und -reaktion integriert.
Überblick: Panel zur Visualisierung eines Überblicks über alle Ergebnisse des Security Command Centers.
Bedrohungen: [Premium erforderlich] Panel zur Visualisierung aller erkannten Bedrohungen. Weitere Informationen zu Bedrohungen finden Sie unten
Schwachstellen: Panel zur Visualisierung gefundener Fehlkonfigurationen im GCP-Konto.
Compliance: [Premium erforderlich] Dieser Abschnitt ermöglicht es, die GCP-Umgebung gegen mehrere Compliance-Prüfungen (wie PCI-DSS, NIST 800-53, CIS-Benchmarks...) über die Organisation zu testen.
Assets: Dieser Abschnitt zeigt alle verwendeten Assets, sehr nützlich für Sysadmins (und vielleicht Angreifer), um zu sehen, was auf einer einzigen Seite läuft.
Ergebnisse: Dies aggregiert in einer Tabelle Ergebnisse aus verschiedenen Abschnitten der GCP-Sicherheit (nicht nur Command Center), um wichtige Ergebnisse leicht visualisieren zu können.
Quellen: Zeigt eine Zusammenfassung der Ergebnisse aller verschiedenen Abschnitte der GCP-Sicherheit nach Abschnitt.
Posture: [Premium erforderlich] Die Sicherheitslage ermöglicht es, die Sicherheit der GCP-Umgebung zu definieren, zu bewerten und zu überwachen. Sie funktioniert, indem sie Richtlinien erstellt, die Einschränkungen oder Beschränkungen definieren, die die Ressourcen in GCP steuern/überwachen. Es gibt mehrere vordefinierte Vorlagen für die Sicherheitslage, die unter https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy zu finden sind.
Bedrohungen
Aus der Perspektive eines Angreifers ist dies wahrscheinlich die interessanteste Funktion, da sie den Angreifer erkennen könnte. Beachten Sie jedoch, dass diese Funktion Premium erfordert (was bedeutet, dass das Unternehmen mehr bezahlen muss), sodass sie vielleicht nicht einmal aktiviert ist.
Es gibt 3 Arten von Bedrohungserkennungsmechanismen:
Ereignisbedrohungen: Ergebnisse, die durch das Abgleichen von Ereignissen aus Cloud Logging basierend auf intern von Google erstellten Regeln erzeugt werden. Es kann auch Google Workspace-Protokolle scannen.
Es ist möglich, die Beschreibung aller Erkennungsregeln in den Dokumenten zu finden.
Containerbedrohungen: Ergebnisse, die nach der Analyse des Verhaltens des Kernels von Containern auf niedriger Ebene erzeugt werden.
Benutzerdefinierte Bedrohungen: Regeln, die vom Unternehmen erstellt wurden.
Es ist möglich, empfohlene Reaktionen auf erkannte Bedrohungen beider Typen unter https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response zu finden.
Enumeration
Post-Exploitation
GCP - Security Post ExploitationErkennungen und Kontrollen
Chronicle SecOps: Eine fortschrittliche Sicherheitsoperationssuite, die Teams dabei hilft, die Geschwindigkeit und den Einfluss ihrer Sicherheitsoperationen, einschließlich Bedrohungserkennung, Untersuchung und Reaktion, zu erhöhen.
reCAPTCHA Enterprise: Ein Dienst, der Websites vor betrügerischen Aktivitäten wie Scraping, Credential Stuffing und automatisierten Angriffen schützt, indem er zwischen menschlichen Benutzern und Bots unterscheidet.
Web Security Scanner: Automatisiertes Sicherheitsscanning-Tool, das Schwachstellen und häufige Sicherheitsprobleme in Webanwendungen erkennt, die auf Google Cloud oder einem anderen Webdienst gehostet werden.
Risk Manager: Ein Governance-, Risiko- und Compliance- (GRC) Tool, das Organisationen hilft, ihre Google Cloud-Risikolage zu bewerten, zu dokumentieren und zu verstehen.
Binary Authorization: Eine Sicherheitskontrolle für Container, die sicherstellt, dass nur vertrauenswürdige Container-Images auf Kubernetes Engine-Clustern gemäß den von der Unternehmenspolitik festgelegten Richtlinien bereitgestellt werden.
Advisory Notifications: Ein Dienst, der Warnungen und Hinweise zu potenziellen Sicherheitsproblemen, Schwachstellen und empfohlenen Maßnahmen bereitstellt, um Ressourcen sicher zu halten.
Access Approval: Eine Funktion, die es Organisationen ermöglicht, eine ausdrückliche Genehmigung zu verlangen, bevor Google-Mitarbeiter auf ihre Daten oder Konfigurationen zugreifen können, was eine zusätzliche Kontroll- und Prüfspur bietet.
Managed Microsoft AD: Ein Dienst, der verwaltetes Microsoft Active Directory (AD) anbietet, das es Benutzern ermöglicht, ihre bestehenden Microsoft AD-abhängigen Apps und Workloads auf Google Cloud zu nutzen.
Datenschutz
Sensitive Data Protection: Werkzeuge und Praktiken, die darauf abzielen, sensible Daten, wie persönliche Informationen oder geistiges Eigentum, vor unbefugtem Zugriff oder Offenlegung zu schützen.
Data Loss Prevention (DLP): Eine Reihe von Werkzeugen und Prozessen, die verwendet werden, um Daten im Einsatz, in Bewegung und im Ruhezustand durch tiefgehende Inhaltsinspektion zu identifizieren, zu überwachen und zu schützen, sowie durch die Anwendung eines umfassenden Satzes von Datenschutzregeln.
Certificate Authority Service: Ein skalierbarer und sicherer Dienst, der die Verwaltung, Bereitstellung und Erneuerung von SSL/TLS-Zertifikaten für interne und externe Dienste vereinfacht und automatisiert.
Key Management: Ein cloudbasierter Dienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Anwendungen zu verwalten, einschließlich der Erstellung, des Imports, der Rotation, der Nutzung und der Zerstörung von Verschlüsselungsschlüsseln. Weitere Informationen in:
Certificate Manager: Ein Dienst, der SSL/TLS-Zertifikate verwaltet und bereitstellt und sichere und verschlüsselte Verbindungen zu Ihren Webdiensten und Anwendungen gewährleistet.
Secret Manager: Ein sicheres und praktisches Speichersystem für API-Schlüssel, Passwörter, Zertifikate und andere sensible Daten, das den einfachen und sicheren Zugriff und die Verwaltung dieser Geheimnisse in Anwendungen ermöglicht. Weitere Informationen in:
Zero Trust
BeyondCorp Enterprise: Eine Zero-Trust-Sicherheitsplattform, die sicheren Zugriff auf interne Anwendungen ermöglicht, ohne dass ein traditionelles VPN erforderlich ist, indem sie sich auf die Überprüfung des Vertrauens von Benutzern und Geräten stützt, bevor der Zugriff gewährt wird.
Policy Troubleshooter: Ein Tool, das Administratoren hilft, Zugriffsprobleme in ihrer Organisation zu verstehen und zu lösen, indem es identifiziert, warum ein Benutzer Zugriff auf bestimmte Ressourcen hat oder warum der Zugriff verweigert wurde, und somit die Durchsetzung von Zero-Trust-Richtlinien unterstützt.
Identity-Aware Proxy (IAP): Ein Dienst, der den Zugriff auf Cloud-Anwendungen und VMs, die auf Google Cloud, vor Ort oder in anderen Clouds ausgeführt werden, basierend auf der Identität und dem Kontext der Anfrage steuert, anstatt auf dem Netzwerk, von dem die Anfrage stammt.
VPC Service Controls: Sicherheitsperimeter, die zusätzliche Schutzschichten für Ressourcen und Dienste bieten, die in Google Clouds Virtual Private Cloud (VPC) gehostet werden, um Datenexfiltration zu verhindern und granulare Zugriffskontrolle zu bieten.
Access Context Manager: Teil von Google Clouds BeyondCorp Enterprise, hilft dieses Tool, feingranulare Zugriffskontrollrichtlinien basierend auf der Identität eines Benutzers und dem Kontext seiner Anfrage zu definieren und durchzusetzen, wie z.B. den Sicherheitsstatus des Geräts, die IP-Adresse und mehr.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated