GCP - Security Enum

Support HackTricks

Información Básica

La seguridad de Google Cloud Platform (GCP) abarca un conjunto integral de herramientas y prácticas diseñadas para garantizar la seguridad de los recursos y datos dentro del entorno de Google Cloud, dividido en cuatro secciones principales: Centro de Comando de Seguridad, Detecciones y Controles, Protección de Datos y Zero Trust.

Centro de Comando de Seguridad

El Centro de Comando de Seguridad de Google Cloud Platform (GCP) es una herramienta de gestión de seguridad y riesgos para los recursos de GCP que permite a las organizaciones obtener visibilidad y control sobre sus activos en la nube. Ayuda a detectar y responder a amenazas al ofrecer análisis de seguridad integrales, identificando configuraciones incorrectas, asegurando el cumplimiento con estándares de seguridad y integrándose con otras herramientas de seguridad para la detección y respuesta automatizada a amenazas.

  • Descripción general: Panel para visualizar una visión general de todos los resultados del Centro de Comando de Seguridad.

  • Amenazas: [Se requiere Premium] Panel para visualizar todas las amenazas detectadas. Consulta más sobre Amenazas a continuación

  • Vulnerabilidades: Panel para visualizar configuraciones incorrectas encontradas en la cuenta de GCP.

  • Cumplimiento: [Se requiere Premium] Esta sección permite probar tu entorno de GCP contra varias verificaciones de cumplimiento (como PCI-DSS, NIST 800-53, benchmarks de CIS...) sobre la organización.

  • Activos: Esta sección muestra todos los activos que se están utilizando, muy útil para administradores de sistemas (y tal vez atacantes) para ver qué está funcionando en una sola página.

  • Hallazgos: Esto agrega en una tabla hallazgos de diferentes secciones de la Seguridad de GCP (no solo del Centro de Comando) para poder visualizar fácilmente los hallazgos que importan.

  • Fuentes: Muestra un resumen de hallazgos de todas las diferentes secciones de la seguridad de GCP por sección.

  • Postura: [Se requiere Premium] La Postura de Seguridad permite definir, evaluar y monitorear la seguridad del entorno de GCP. Funciona creando políticas que definen restricciones o limitaciones que controlan/monitorean los recursos en GCP. Hay varias plantillas de postura predefinidas que se pueden encontrar en https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Amenazas

Desde la perspectiva de un atacante, esta es probablemente la característica más interesante ya que podría detectar al atacante. Sin embargo, ten en cuenta que esta función requiere Premium (lo que significa que la empresa necesitará pagar más), por lo que podría no estar habilitada.

Hay 3 tipos de mecanismos de detección de amenazas:

  • Amenazas de Eventos: Hallazgos producidos al coincidir eventos de Cloud Logging basados en reglas creadas internamente por Google. También puede escanear registros de Google Workspace.

  • Es posible encontrar la descripción de todas las reglas de detección en la documentación

  • Amenazas de Contenedores: Hallazgos producidos después de analizar el comportamiento de bajo nivel del núcleo de los contenedores.

  • Amenazas Personalizadas: Reglas creadas por la empresa.

Es posible encontrar respuestas recomendadas a amenazas detectadas de ambos tipos en https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeración

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Explotación

Detecciones y Controles

  • Chronicle SecOps: Una suite avanzada de operaciones de seguridad diseñada para ayudar a los equipos a aumentar su velocidad e impacto en las operaciones de seguridad, incluyendo la detección de amenazas, investigación y respuesta.

  • reCAPTCHA Enterprise: Un servicio que protege sitios web de actividades fraudulentas como scraping, credential stuffing y ataques automatizados al distinguir entre usuarios humanos y bots.

  • Web Security Scanner: Herramienta de escaneo de seguridad automatizada que detecta vulnerabilidades y problemas de seguridad comunes en aplicaciones web alojadas en Google Cloud u otro servicio web.

  • Risk Manager: Una herramienta de gobernanza, riesgo y cumplimiento (GRC) que ayuda a las organizaciones a evaluar, documentar y entender su postura de riesgo en Google Cloud.

  • Binary Authorization: Un control de seguridad para contenedores que asegura que solo se desplieguen imágenes de contenedores de confianza en los clústeres de Kubernetes Engine de acuerdo con las políticas establecidas por la empresa.

  • Advisory Notifications: Un servicio que proporciona alertas y avisos sobre posibles problemas de seguridad, vulnerabilidades y acciones recomendadas para mantener los recursos seguros.

  • Access Approval: Una función que permite a las organizaciones requerir aprobación explícita antes de que los empleados de Google puedan acceder a sus datos o configuraciones, proporcionando una capa adicional de control y auditoría.

  • Managed Microsoft AD: Un servicio que ofrece Microsoft Active Directory (AD) administrado que permite a los usuarios utilizar sus aplicaciones y cargas de trabajo dependientes de Microsoft AD existentes en Google Cloud.

Protección de Datos

  • Protección de Datos Sensibles: Herramientas y prácticas destinadas a salvaguardar datos sensibles, como información personal o propiedad intelectual, contra el acceso no autorizado o la exposición.

  • Prevención de Pérdida de Datos (DLP): Un conjunto de herramientas y procesos utilizados para identificar, monitorear y proteger datos en uso, en movimiento y en reposo a través de una inspección profunda del contenido y aplicando un conjunto integral de reglas de protección de datos.

  • Servicio de Autoridad de Certificación: Un servicio escalable y seguro que simplifica y automatiza la gestión, despliegue y renovación de certificados SSL/TLS para servicios internos y externos.

  • Gestión de Claves: Un servicio basado en la nube que permite gestionar claves criptográficas para sus aplicaciones, incluyendo la creación, importación, rotación, uso y destrucción de claves de cifrado. Más información en:

  • Gestor de Certificados: Un servicio que gestiona y despliega certificados SSL/TLS, asegurando conexiones seguras y encriptadas a sus servicios y aplicaciones web.

  • Gestor de Secretos: Un sistema de almacenamiento seguro y conveniente para claves API, contraseñas, certificados y otros datos sensibles, que permite el acceso y gestión fácil y segura de estos secretos en aplicaciones. Más información en:

Zero Trust

  • BeyondCorp Enterprise: Una plataforma de seguridad de cero confianza que permite el acceso seguro a aplicaciones internas sin necesidad de una VPN tradicional, confiando en la verificación de la confianza del usuario y del dispositivo antes de conceder acceso.

  • Policy Troubleshooter: Una herramienta diseñada para ayudar a los administradores a entender y resolver problemas de acceso en su organización al identificar por qué un usuario tiene acceso a ciertos recursos o por qué se denegó el acceso, ayudando así en la aplicación de políticas de cero confianza.

  • Identity-Aware Proxy (IAP): Un servicio que controla el acceso a aplicaciones en la nube y VMs que se ejecutan en Google Cloud, en las instalaciones o en otras nubes, basado en la identidad y el contexto de la solicitud en lugar de la red de la que proviene la solicitud.

  • Controles de Servicio VPC: Perímetros de seguridad que proporcionan capas adicionales de protección a recursos y servicios alojados en la Nube Privada Virtual (VPC) de Google Cloud, previniendo la exfiltración de datos y proporcionando control de acceso granular.

  • Gestor de Contexto de Acceso: Parte de BeyondCorp Enterprise de Google Cloud, esta herramienta ayuda a definir y hacer cumplir políticas de control de acceso detalladas basadas en la identidad de un usuario y el contexto de su solicitud, como el estado de seguridad del dispositivo, dirección IP y más.

Support HackTricks

Last updated