GCP - Security Enum

Basic Information

Η ασφάλεια της Google Cloud Platform (GCP) περιλαμβάνει μια συνολική σουίτα εργαλείων και πρακτικών που έχουν σχεδιαστεί για να διασφαλίσουν την ασφάλεια των πόρων και των δεδομένων στο περιβάλλον της Google Cloud, χωρισμένη σε τέσσερις κύριες ενότητες: Κέντρο Ελέγχου Ασφαλείας, Ανιχνεύσεις και Έλεγχοι, Προστασία Δεδομένων και Μηδενική Εμπιστοσύνη.

Κέντρο Ελέγχου Ασφαλείας

Το Κέντρο Ελέγχου Ασφαλείας της Google Cloud Platform (GCP) είναι ένα εργαλείο διαχείρισης ασφάλειας και κινδύνου για τους πόρους GCP που επιτρέπει στις οργανώσεις να αποκτούν ορατότητα και έλεγχο πάνω στα περιουσιακά τους στοιχεία στο cloud. Βοηθά στην ανίχνευση και αντίδραση σε απειλές προσφέροντας ολοκληρωμένη ανάλυση ασφάλειας, εντοπίζοντας κακοδιαμορφώσεις, διασφαλίζοντας τη συμμόρφωση με τα πρότυπα ασφάλειας και ενσωματώνοντας άλλα εργαλεία ασφάλειας για αυτοματοποιημένη ανίχνευση και αντίδραση σε απειλές.

• Επισκόπηση: Πίνακας για να οπτικοποιήσετε μια επισκόπηση όλων των αποτελεσμάτων του Κέντρου Ελέγχου Ασφαλείας.

• Απειλές: [Απαιτείται Premium] Πίνακας για να οπτικοποιήσετε όλες τις ανιχνευμένες απειλές. Δείτε περισσότερα για τις Απειλές παρακάτω

• Ευπάθειες: Πίνακας για να οπτικοποιήσετε τις κακοδιαμορφώσεις που βρέθηκαν στον λογαριασμό GCP.

• Συμμόρφωση: [Απαιτείται Premium] Αυτή η ενότητα επιτρέπει να δοκιμάσετε το περιβάλλον GCP σας σε διάφορους ελέγχους συμμόρφωσης (όπως PCI-DSS, NIST 800-53, CIS benchmarks...) σε όλη την οργάνωση.

• Περιουσιακά Στοιχεία: Αυτή η ενότητα δείχνει όλα τα περιουσιακά στοιχεία που χρησιμοποιούνται, πολύ χρήσιμη για τους διαχειριστές συστημάτων (και ίσως τους επιτιθέμενους) για να δουν τι τρέχει σε μία μόνο σελίδα.

• Ευρήματα: Αυτή συγκεντρώνει σε έναν πίνακα ευρήματα από διάφορες ενότητες της ασφάλειας GCP (όχι μόνο του Κέντρου Ελέγχου) για να μπορείτε να οπτικοποιήσετε εύκολα τα ευρήματα που έχουν σημασία.

• Πηγές: Δείχνει μια σύνοψη ευρημάτων από όλες τις διαφορετικές ενότητες της ασφάλειας GCP κατά ενότητα.

• Θέση: [Απαιτείται Premium] Η Θέση Ασφαλείας επιτρέπει να ορίσετε, να αξιολογήσετε και να παρακολουθήσετε την ασφάλεια του περιβάλλοντος GCP. Λειτουργεί δημιουργώντας πολιτική που ορίζει περιορισμούς ή περιορισμούς που ελέγχουν/παρακολουθούν τους πόρους στο GCP. Υπάρχουν αρκετά προ-καθορισμένα πρότυπα θέσης που μπορείτε να βρείτε στο https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Απειλές

Από την προοπτική ενός επιτιθέμενου, αυτή είναι πιθανώς η πιο ενδιαφέρουσα δυνατότητα καθώς θα μπορούσε να ανιχνεύσει τον επιτιθέμενο. Ωστόσο, σημειώστε ότι αυτή η δυνατότητα απαιτεί Premium (που σημαίνει ότι η εταιρεία θα χρειαστεί να πληρώσει περισσότερα), οπότε μπορεί να μην είναι καν ενεργοποιημένη.

Υπάρχουν 3 τύποι μηχανισμών ανίχνευσης απειλών:

• Απειλές Συμβάντων: Ευρήματα που παράγονται από την αντιστοίχιση συμβάντων από το Cloud Logging με βάση κανόνες που δημιουργούνται εσωτερικά από την Google. Μπορεί επίσης να σαρώσει τα αρχεία καταγραφής Google Workspace.

• Είναι δυνατόν να βρείτε την περιγραφή όλων των κανόνων ανίχνευσης στα docs

• Απειλές Κοντέινερ: Ευρήματα που παράγονται μετά την ανάλυση της χαμηλού επιπέδου συμπεριφοράς του πυρήνα των κοντέινερ.

• Προσαρμοσμένες Απειλές: Κανόνες που δημιουργούνται από την εταιρεία.

Είναι δυνατόν να βρείτε προτεινόμενες αντιδράσεις σε ανιχνευμένες απειλές και των δύο τύπων στο https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeration

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Μετά την Εκμετάλλευση

Ανιχνεύσεις και Έλεγχοι

• Chronicle SecOps: Μια προηγμένη σουίτα επιχειρήσεων ασφαλείας σχεδιασμένη για να βοηθά τις ομάδες να αυξάνουν την ταχύτητα και την επίδραση των επιχειρήσεων ασφαλείας, συμπεριλαμβανομένης της ανίχνευσης απειλών, της έρευνας και της αντίδρασης.

• reCAPTCHA Enterprise: Μια υπηρεσία που προστατεύει τους ιστότοπους από δόλιες δραστηριότητες όπως η συλλογή δεδομένων, η εισαγωγή διαπιστευτηρίων και οι αυτοματοποιημένες επιθέσεις, διακρίνοντας μεταξύ ανθρώπινων χρηστών και ρομπότ.

• Web Security Scanner: Αυτοματοποιημένο εργαλείο σάρωσης ασφαλείας που ανιχνεύει ευπάθειες και κοινά ζητήματα ασφαλείας σε διαδικτυακές εφαρμογές που φιλοξενούνται στο Google Cloud ή σε άλλη διαδικτυακή υπηρεσία.

• Risk Manager: Ένα εργαλείο διακυβέρνησης, κινδύνου και συμμόρφωσης (GRC) που βοηθά τους οργανισμούς να αξιολογούν, να τεκμηριώνουν και να κατανοούν τη στάση κινδύνου τους στο Google Cloud.

• Binary Authorization: Ένας έλεγχος ασφαλείας για κοντέινερ που διασφαλίζει ότι μόνο αξιόπιστες εικόνες κοντέινερ αναπτύσσονται σε κλάστερ Kubernetes Engine σύμφωνα με τις πολιτικές που έχει ορίσει η επιχείρηση.

• Advisory Notifications: Μια υπηρεσία που παρέχει ειδοποιήσεις και συμβουλές σχετικά με πιθανά ζητήματα ασφαλείας, ευπάθειες και προτεινόμενες ενέργειες για τη διατήρηση της ασφάλειας των πόρων.

• Access Approval: Μια δυνατότητα που επιτρέπει στους οργανισμούς να απαιτούν ρητή έγκριση πριν οι υπάλληλοι της Google αποκτήσουν πρόσβαση στα δεδομένα ή τις ρυθμίσεις τους, παρέχοντας ένα επιπλέον επίπεδο ελέγχου και ελέγχου.

• Managed Microsoft AD: Μια υπηρεσία που προσφέρει διαχειριζόμενο Microsoft Active Directory (AD) που επιτρέπει στους χρήστες να χρησιμοποιούν τις υπάρχουσες εφαρμογές και φόρτους εργασίας που εξαρτώνται από το Microsoft AD στο Google Cloud.

Προστασία Δεδομένων

• Sensitive Data Protection: Εργαλεία και πρακτικές που στοχεύουν στην προστασία ευαίσθητων δεδομένων, όπως προσωπικές πληροφορίες ή πνευματική ιδιοκτησία, από μη εξουσιοδοτημένη πρόσβαση ή έκθεση.

• Data Loss Prevention (DLP): Ένα σύνολο εργαλείων και διαδικασιών που χρησιμοποιούνται για την αναγνώριση, παρακολούθηση και προστασία δεδομένων σε χρήση, σε κίνηση και σε αδράνεια μέσω βαθιάς επιθεώρησης περιεχομένου και εφαρμόζοντας ένα ολοκληρωμένο σύνολο κανόνων προστασίας δεδομένων.

• Certificate Authority Service: Μια κλιμακούμενη και ασφαλής υπηρεσία που απλοποιεί και αυτοματοποιεί τη διαχείριση, την ανάπτυξη και την ανανέωση SSL/TLS πιστοποιητικών για εσωτερικές και εξωτερικές υπηρεσίες.

• Key Management: Μια υπηρεσία cloud που σας επιτρέπει να διαχειρίζεστε κρυπτογραφικά κλειδιά για τις εφαρμογές σας, συμπεριλαμβανομένης της δημιουργίας, εισαγωγής, περιστροφής, χρήσης και καταστροφής κλειδιών κρυπτογράφησης. Περισσότερες πληροφορίες στο:

• Certificate Manager: Μια υπηρεσία που διαχειρίζεται και αναπτύσσει SSL/TLS πιστοποιητικά, διασφαλίζοντας ασφαλείς και κρυπτογραφημένες συνδέσεις στις διαδικτυακές υπηρεσίες και εφαρμογές σας.

• Secret Manager: Ένα ασφαλές και βολικό σύστημα αποθήκευσης για API κλειδιά, κωδικούς πρόσβασης, πιστοποιητικά και άλλα ευαίσθητα δεδομένα, που επιτρέπει την εύκολη και ασφαλή πρόσβαση και διαχείριση αυτών των μυστικών στις εφαρμογές. Περισσότερες πληροφορίες στο:

Zero Trust

• BeyondCorp Enterprise: Μια πλατφόρμα ασφαλείας μηδενικής εμπιστοσύνης που επιτρέπει ασφαλή πρόσβαση σε εσωτερικές εφαρμογές χωρίς την ανάγκη παραδοσιακού VPN, βασιζόμενη στην επαλήθευση της εμπιστοσύνης του χρήστη και της συσκευής πριν από την παροχή πρόσβασης.

• Policy Troubleshooter: Ένα εργαλείο σχεδιασμένο να βοηθά τους διαχειριστές να κατανοούν και να επιλύουν ζητήματα πρόσβασης στον οργανισμό τους, προσδιορίζοντας γιατί ένας χρήστης έχει πρόσβαση σε συγκεκριμένους πόρους ή γιατί η πρόσβαση απορρίφθηκε, βοηθώντας έτσι στην επιβολή πολιτικών μηδενικής εμπιστοσύνης.

• Identity-Aware Proxy (IAP): Μια υπηρεσία που ελέγχει την πρόσβαση σε διαδικτυακές εφαρμογές και VM που εκτελούνται στο Google Cloud, τοπικά ή σε άλλες υποδομές, με βάση την ταυτότητα και το πλαίσιο του αιτήματος αντί για το δίκτυο από το οποίο προέρχεται το αίτημα.

• VPC Service Controls: Ασφαλή περιθώρια που παρέχουν επιπλέον επίπεδα προστασίας στους πόρους και τις υπηρεσίες που φιλοξενούνται στο Virtual Private Cloud (VPC) του Google Cloud, αποτρέποντας την εξαγωγή δεδομένων και παρέχοντας λεπτομερή έλεγχο πρόσβασης.

• Access Context Manager: Μέρος του BeyondCorp Enterprise του Google Cloud, αυτό το εργαλείο βοηθά στον καθορισμό και την επιβολή πολιτικών λεπτομερούς ελέγχου πρόσβασης με βάση την ταυτότητα ενός χρήστη και το πλαίσιο του αιτήματός τους, όπως η κατάσταση ασφάλειας της συσκευής, η διεύθυνση IP και άλλα.