Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Platform (GCP) セキュリティは、Google Cloud環境内のリソースとデータのセキュリティを確保するために設計された包括的なツールと実践のスイートを含み、主に4つのセクションに分かれています:セキュリティコマンドセンター、検出と制御、データ保護、ゼロトラスト。
Google Cloud Platform (GCP) セキュリティコマンドセンター (SCC) は、GCPリソースのためのセキュリティおよびリスク管理ツールであり、組織がクラウド資産を可視化し、制御することを可能にします。これは、包括的なセキュリティ分析を提供し、脅威を検出し、対応するのに役立ち、誤設定を特定し、セキュリティ基準への準拠を確保し、他のセキュリティツールと統合して自動化された脅威検出と対応を行います。
概要:セキュリティコマンドセンターのすべての結果を可視化するパネル。
脅威:[プレミアム必要] すべての検出された脅威を可視化するパネル。脅威についての詳細は下記を確認してください。
脆弱性:GCPアカウント内の誤設定を可視化するパネル。
コンプライアンス:[プレミアム必要] このセクションでは、組織全体のGCP環境をいくつかのコンプライアンスチェック(PCI-DSS、NIST 800-53、CISベンチマークなど)に対してテストできます。
資産:このセクションは、使用されているすべての資産を表示し、システム管理者(おそらく攻撃者)にとって、単一のページで何が稼働しているかを確認するのに非常に便利です。
発見:これは、GCPセキュリティの異なるセクション(コマンドセンターだけでなく)の発見をテーブルに集約し、重要な発見を簡単に可視化できるようにします。
ソース:GCPセキュリティのすべての異なるセクションの発見の概要をセクションごとに表示します。
ポスチャー:[プレミアム必要] セキュリティポスチャーは、GCP環境のセキュリティを定義、評価、監視することを可能にします。これは、GCP内のリソースを制御/監視する制約や制限を定義するポリシーを作成することによって機能します。いくつかの事前定義されたポスチャーテンプレートは、https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policyで見つけることができます。
攻撃者の視点から見ると、これはおそらく攻撃者を検出できる最も興味深い機能です。ただし、この機能はプレミアムを必要とするため(つまり、会社は追加料金を支払う必要があります)、有効になっていない可能性もあります。
脅威検出メカニズムには3種類あります:
イベント脅威:Googleが内部で作成したルールに基づいて、Cloud Loggingからのイベントを照合することによって生成された発見。Google Workspaceログをスキャンすることもできます。
コンテナ脅威:コンテナのカーネルの低レベルの動作を分析した後に生成された発見。
カスタム脅威:会社が作成したルール。
両方のタイプの検出された脅威に対する推奨される対応は、https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_responseで見つけることができます。
Chronicle SecOps: 脅威検出、調査、対応を含むセキュリティオペレーションの速度と影響を高めるためにチームを支援するために設計された高度なセキュリティオペレーションスイート。
reCAPTCHA Enterprise: 人間のユーザーとボットを区別することによって、スクレイピング、資格情報の詰め込み、自動攻撃などの不正行為からウェブサイトを保護するサービス。
Web Security Scanner: Google Cloudまたは他のウェブサービス上でホストされているウェブアプリケーションの脆弱性や一般的なセキュリティ問題を検出する自動セキュリティスキャンツール。
Risk Manager: 組織がGoogle Cloudのリスク姿勢を評価、文書化、理解するのを助けるガバナンス、リスク、コンプライアンス(GRC)ツール。
Binary Authorization: エンタープライズによって設定されたポリシーに従って、信頼されたコンテナイメージのみがKubernetes Engineクラスターにデプロイされることを保証するコンテナ用のセキュリティ制御。
Advisory Notifications: 潜在的なセキュリティ問題、脆弱性、およびリソースを安全に保つための推奨アクションに関するアラートと通知を提供するサービス。
Access Approval: Googleの従業員がデータや設定にアクセスする前に明示的な承認を要求することを組織が可能にする機能で、追加の制御と監査可能性を提供します。
Managed Microsoft AD: ユーザーがGoogle Cloud上で既存のMicrosoft AD依存のアプリケーションやワークロードを使用できるようにする、管理されたMicrosoft Active Directory(AD)を提供するサービス。
Sensitive Data Protection: 個人情報や知的財産などの機密データを不正アクセスや露出から保護することを目的としたツールと実践。
Data Loss Prevention (DLP): 使用中、移動中、静止中のデータを特定、監視、保護するために使用されるツールとプロセスのセットで、深いコンテンツ検査を通じて包括的なデータ保護ルールを適用します。
Certificate Authority Service: 内部および外部サービスのSSL/TLS証明書の管理、デプロイ、および更新を簡素化し、自動化するスケーラブルで安全なサービス。
Key Management: アプリケーションの暗号鍵を管理するためのクラウドベースのサービスで、暗号化鍵の作成、インポート、ローテーション、使用、破棄を含みます。詳細は以下を参照してください:
Certificate Manager: SSL/TLS証明書を管理およびデプロイし、ウェブサービスやアプリケーションへの安全で暗号化された接続を確保するサービス。
Secret Manager: APIキー、パスワード、証明書、その他の機密データのための安全で便利なストレージシステムで、これらの秘密をアプリケーション内で簡単かつ安全にアクセスおよび管理できます。詳細は以下を参照してください:
BeyondCorp Enterprise: 従来のVPNを必要とせず、ユーザーとデバイスの信頼性の検証に基づいて内部アプリケーションへの安全なアクセスを可能にするゼロトラストセキュリティプラットフォーム。
Policy Troubleshooter: 管理者が組織内のアクセス問題を理解し解決するのを助けるために設計されたツールで、ユーザーが特定のリソースにアクセスできる理由やアクセスが拒否された理由を特定し、ゼロトラストポリシーの施行を支援します。
Identity-Aware Proxy (IAP): Google Cloud、オンプレミス、または他のクラウド上で実行されているクラウドアプリケーションやVMへのアクセスを、リクエストの発信元のネットワークではなく、ユーザーのアイデンティティとリクエストのコンテキストに基づいて制御するサービス。
VPC Service Controls: Google Cloudの仮想プライベートクラウド(VPC)にホストされているリソースやサービスに追加の保護層を提供し、データの流出を防ぎ、詳細なアクセス制御を提供するセキュリティ境界。
Access Context Manager: Google CloudのBeyondCorp Enterpriseの一部で、このツールはユーザーのアイデンティティとリクエストのコンテキスト(デバイスのセキュリティステータス、IPアドレスなど)に基づいて、詳細なアクセス制御ポリシーを定義および施行するのを助けます。
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
