Εάν θέλετε να κάνετε ένα pentest σε ένα περιβάλλον GCP, πρέπει να ζητήσετε αρκετά δικαιώματα για να ελέγξετε όλες ή τις περισσότερες υπηρεσίες που χρησιμοποιούνται στο GCP. Ιδανικά, θα πρέπει να ζητήσετε από τον πελάτη να δημιουργήσει:
Δημιουργία ενός νέου project
Δημιουργία ενός Λογαριασμού Υπηρεσίας μέσα σε αυτό το project (πάρτε τα json διαπιστευτήρια) ή δημιουργήστε έναν νέο χρήστη.
Δώστε στον Λογαριασμό Υπηρεσίας ή στον χρήστη τους ρόλους που αναφέρονται παρακάτω στον ΟΡΓΑΝΙΣΜΟ
Ενεργοποιήστε τις APIs που αναφέρονται παρακάτω σε αυτό το project που δημιουργήθηκε
Σύνολο δικαιωμάτων για να χρησιμοποιήσετε τα εργαλεία που προτείνονται αργότερα:
Το ScoutSuite είναι ένα εργαλείο ανοικτού κώδικα που χρησιμοποιείται για την αξιολόγηση της ασφάλειας των περιβαλλόντων Google Cloud Platform (GCP). Το εργαλείο αυτό ελέγχει τις άδειες που έχουν ανατεθεί στους χρήστες και τους ρόλους στο GCP και παρέχει αναφορές για τυχόν ευπάθειες ασφάλειας που μπορεί να υπάρχουν. Μπορεί να χρησιμοποιηθεί κατά τη διάρκεια μιας δοκιμαστικής επίθεσης για να εντοπιστούν ενδεχόμενες ευπάθειες στις άδειες του GCP.
From https://github.com/nccgroup/ScoutSuite/wiki/Google-Cloud-Platform#permissions
roles/Viewer
roles/iam.securityReviewer
roles/stackdriver.accounts.viewer
CloudSploit is an open-source security scanner designed specifically for cloud environments. It helps identify security risks and misconfigurations in your cloud infrastructure. CloudSploit supports various cloud providers, including Google Cloud Platform (GCP).
To use CloudSploit with GCP, you need to configure the cloud provider settings. Here's how you can do it:
Install CloudSploit by following the instructions provided in the official documentation.
Set up the necessary permissions for CloudSploit to access your GCP resources. This includes granting the required IAM roles to the service account used by CloudSploit. Refer to the IAM permissions section in the CloudSploit documentation for the specific roles needed.
Configure the GCP provider in CloudSploit by providing the required credentials. This typically involves creating a service account key file and specifying its path in the CloudSploit configuration. Detailed instructions can be found in the GCP provider configuration section of the CloudSploit documentation.
Once you have completed these steps, you can run CloudSploit scans against your GCP environment to identify any security vulnerabilities or misconfigurations.
From https://lyft.github.io/cartography/modules/gcp/config.html
roles/iam.securityReviewer
roles/resourcemanager.organizationViewer
roles/resourcemanager.folderViewer
From https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md
roles/iam.securityReviewer
roles/iam.organizationRoleViewer
roles/bigquery.metadataViewer