GCP - Security Enum

Informazioni di base

La sicurezza della Google Cloud Platform (GCP) comprende una suite completa di strumenti e pratiche progettate per garantire la sicurezza delle risorse e dei dati all'interno dell'ambiente Google Cloud, suddivisa in quattro sezioni principali: Security Command Center, Detections and Controls, Data Protection e Zero Trust.

Security Command Center

Il Security Command Center (SCC) della Google Cloud Platform (GCP) è uno strumento di gestione della sicurezza e dei rischi per le risorse GCP che consente alle organizzazioni di ottenere visibilità e controllo sui propri asset cloud. Aiuta a rilevare e rispondere alle minacce offrendo analisi di sicurezza complete, identificando le configurazioni errate, garantendo la conformità agli standard di sicurezza e integrandosi con altri strumenti di sicurezza per la rilevazione e risposta automatizzata alle minacce.

• Panoramica: Pannello per visualizzare una panoramica di tutti i risultati del Security Command Center.

• Minacce: [Premium Richiesto] Pannello per visualizzare tutte le minacce rilevate. Controlla di più sulle Minacce qui sotto

• Vulnerabilità: Pannello per visualizzare le configurazioni errate trovate nell'account GCP.

• Conformità: [Premium richiesto] Questa sezione consente di testare il tuo ambiente GCP rispetto a diversi controlli di conformità (come PCI-DSS, NIST 800-53, benchmark CIS...) sull'organizzazione.

• Asset: Questa sezione mostra tutti gli asset in uso, molto utile per gli amministratori di sistema (e forse per l'attaccante) per vedere cosa è in esecuzione in una sola pagina.

• Risultati: Questo aggregato in una tabella i risultati di diverse sezioni della sicurezza GCP (non solo Command Center) per poter visualizzare facilmente i risultati che contano.

• Fonti: Mostra un riassunto dei risultati di tutte le diverse sezioni della sicurezza GCP per sezione.

• Postura: [Premium Richiesto] La postura di sicurezza consente di definire, valutare e monitorare la sicurezza dell'ambiente GCP. Funziona creando politiche che definiscono vincoli o restrizioni che controllano/monitorano le risorse in GCP. Ci sono diversi modelli di postura predefiniti che possono essere trovati in https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Minacce

Dal punto di vista di un attaccante, questa è probabilmente la caratteristica più interessante poiché potrebbe rilevare l'attaccante. Tuttavia, nota che questa funzione richiede Premium (il che significa che l'azienda dovrà pagare di più), quindi potrebbe non essere nemmeno abilitata.

Ci sono 3 tipi di meccanismi di rilevamento delle minacce:

• Minacce agli eventi: Risultati prodotti abbinando eventi da Cloud Logging basati su regole create internamente da Google. Può anche scansionare i log di Google Workspace.

• È possibile trovare la descrizione di tutte le regole di rilevamento nella documentazione

• Minacce ai container: Risultati prodotti dopo aver analizzato il comportamento a basso livello del kernel dei container.

• Minacce personalizzate: Regole create dall'azienda.

È possibile trovare risposte raccomandate alle minacce rilevate di entrambi i tipi in https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumerazione

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: Una suite avanzata di operazioni di sicurezza progettata per aiutare i team ad aumentare la velocità e l'impatto delle operazioni di sicurezza, inclusa la rilevazione delle minacce, l'indagine e la risposta.

• reCAPTCHA Enterprise: Un servizio che protegge i siti web da attività fraudolente come scraping, credential stuffing e attacchi automatizzati distinguendo tra utenti umani e bot.

• Web Security Scanner: Strumento di scansione della sicurezza automatizzato che rileva vulnerabilità e problemi di sicurezza comuni nelle applicazioni web ospitate su Google Cloud o su un altro servizio web.

• Risk Manager: Uno strumento di governance, rischio e conformità (GRC) che aiuta le organizzazioni a valutare, documentare e comprendere la loro postura di rischio su Google Cloud.

• Binary Authorization: Un controllo di sicurezza per i container che garantisce che solo le immagini di container fidate siano distribuite nei cluster di Kubernetes Engine secondo le politiche stabilite dall'impresa.

• Advisory Notifications: Un servizio che fornisce avvisi e notifiche su potenziali problemi di sicurezza, vulnerabilità e azioni raccomandate per mantenere sicure le risorse.

• Access Approval: Una funzionalità che consente alle organizzazioni di richiedere un'approvazione esplicita prima che i dipendenti di Google possano accedere ai loro dati o configurazioni, fornendo un ulteriore livello di controllo e auditabilità.

• Managed Microsoft AD: Un servizio che offre Microsoft Active Directory (AD) gestito che consente agli utenti di utilizzare le loro app e carichi di lavoro esistenti dipendenti da Microsoft AD su Google Cloud.

Data Protection

• Sensitive Data Protection: Strumenti e pratiche mirati a proteggere i dati sensibili, come informazioni personali o proprietà intellettuale, contro accessi non autorizzati o esposizione.

• Data Loss Prevention (DLP): Un insieme di strumenti e processi utilizzati per identificare, monitorare e proteggere i dati in uso, in movimento e a riposo attraverso un'ispezione approfondita dei contenuti e applicando un insieme completo di regole di protezione dei dati.

• Certificate Authority Service: Un servizio scalabile e sicuro che semplifica e automatizza la gestione, distribuzione e rinnovo dei certificati SSL/TLS per servizi interni ed esterni.

• Key Management: Un servizio basato su cloud che consente di gestire le chiavi crittografiche per le proprie applicazioni, inclusa la creazione, importazione, rotazione, utilizzo e distruzione delle chiavi di crittografia. Maggiori informazioni in:

• Certificate Manager: Un servizio che gestisce e distribuisce certificati SSL/TLS, garantendo connessioni sicure e crittografate ai propri servizi web e applicazioni.

• Secret Manager: Un sistema di archiviazione sicuro e conveniente per chiavi API, password, certificati e altri dati sensibili, che consente un accesso e una gestione facili e sicure di questi segreti nelle applicazioni. Maggiori informazioni in:

Zero Trust

• BeyondCorp Enterprise: Una piattaforma di sicurezza zero-trust che consente l'accesso sicuro alle applicazioni interne senza la necessità di una VPN tradizionale, facendo affidamento sulla verifica della fiducia dell'utente e del dispositivo prima di concedere l'accesso.

• Policy Troubleshooter: Uno strumento progettato per aiutare gli amministratori a comprendere e risolvere problemi di accesso nella loro organizzazione identificando perché un utente ha accesso a determinate risorse o perché l'accesso è stato negato, contribuendo così all'applicazione delle politiche zero-trust.

• Identity-Aware Proxy (IAP): Un servizio che controlla l'accesso alle applicazioni cloud e alle VM in esecuzione su Google Cloud, on-premises o su altri cloud, basandosi sull'identità e sul contesto della richiesta piuttosto che sulla rete da cui proviene la richiesta.

• VPC Service Controls: Perimetri di sicurezza che forniscono ulteriori livelli di protezione alle risorse e ai servizi ospitati nel Virtual Private Cloud (VPC) di Google Cloud, prevenendo l'exfiltrazione dei dati e fornendo un controllo degli accessi granulare.

• Access Context Manager: Parte di BeyondCorp Enterprise di Google Cloud, questo strumento aiuta a definire e applicare politiche di controllo degli accessi dettagliate basate sull'identità di un utente e sul contesto della sua richiesta, come lo stato di sicurezza del dispositivo, l'indirizzo IP e altro.