GCP - Security Enum

Podstawowe informacje

Bezpieczeństwo Google Cloud Platform (GCP) obejmuje kompleksowy zestaw narzędzi i praktyk zaprojektowanych w celu zapewnienia bezpieczeństwa zasobów i danych w środowisku Google Cloud, podzielony na cztery główne sekcje: Centrum Dowodzenia Bezpieczeństwem, Wykrywanie i Kontrole, Ochrona Danych oraz Zero Trust.

Centrum Dowodzenia Bezpieczeństwem

Centrum Dowodzenia Bezpieczeństwem Google Cloud Platform (GCP) to narzędzie do zarządzania bezpieczeństwem i ryzykiem dla zasobów GCP, które umożliwia organizacjom uzyskanie wglądu i kontroli nad ich zasobami w chmurze. Pomaga wykrywać i reagować na zagrożenia, oferując kompleksową analizę bezpieczeństwa, identyfikując błędne konfiguracje, zapewniając zgodność z normami bezpieczeństwa oraz integrując się z innymi narzędziami bezpieczeństwa w celu automatycznego wykrywania i reagowania na zagrożenia.

• Przegląd: Panel do wizualizacji przeglądu wszystkich wyników Centrum Dowodzenia Bezpieczeństwem.

• Zagrożenia: [Wymagana subskrypcja Premium] Panel do wizualizacji wszystkich wykrytych zagrożeń. Sprawdź więcej o zagrożeniach poniżej

• Luki: Panel do wizualizacji znalezionych błędnych konfiguracji w koncie GCP.

• Zgodność: [Wymagana subskrypcja Premium] Ta sekcja pozwala na testowanie środowiska GCP pod kątem różnych kontroli zgodności (takich jak PCI-DSS, NIST 800-53, benchmarki CIS...) w całej organizacji.

• Zasoby: Ta sekcja pokazuje wszystkie używane zasoby, bardzo przydatne dla administratorów systemów (a może i atakujących), aby zobaczyć, co działa na jednej stronie.

• Wyniki: To agreguje w tabeli wyniki z różnych sekcji bezpieczeństwa GCP (nie tylko Centrum Dowodzenia) w celu łatwego wizualizowania istotnych wyników.

• Źródła: Pokazuje podsumowanie wyników ze wszystkich różnych sekcji bezpieczeństwa GCP według sekcji.

• Postura: [Wymagana subskrypcja Premium] Postura bezpieczeństwa pozwala na definiowanie, ocenę i monitorowanie bezpieczeństwa środowiska GCP. Działa poprzez tworzenie polityki, która definiuje ograniczenia lub restrykcje kontrolujące/monitorujące zasoby w GCP. Istnieje kilka predefiniowanych szablonów postury, które można znaleźć na https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Zagrożenia

Z perspektywy atakującego, to prawdopodobnie najciekawsza funkcja, ponieważ może wykryć atakującego. Należy jednak zauważyć, że ta funkcja wymaga Premium (co oznacza, że firma będzie musiała zapłacić więcej), więc może być nawet nieaktywna.

Istnieją 3 typy mechanizmów wykrywania zagrożeń:

• Zagrożenia zdarzeń: Wyniki uzyskane przez dopasowanie zdarzeń z Cloud Logging na podstawie reguł stworzonych wewnętrznie przez Google. Może również skanować logi Google Workspace.

• Można znaleźć opis wszystkich reguł wykrywania w dokumentacji

• Zagrożenia kontenerów: Wyniki uzyskane po analizie niskopoziomowego zachowania jądra kontenerów.

• Zagrożenia niestandardowe: Reguły stworzone przez firmę.

Można znaleźć zalecane odpowiedzi na wykryte zagrożenia obu typów w https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeracja

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: Zaawansowany zestaw operacji bezpieczeństwa zaprojektowany, aby pomóc zespołom zwiększyć ich szybkość i wpływ operacji bezpieczeństwa, w tym wykrywanie zagrożeń, dochodzenia i reakcje.

• reCAPTCHA Enterprise: Usługa, która chroni strony internetowe przed oszukańczymi działaniami, takimi jak scraping, credential stuffing i ataki automatyczne, rozróżniając użytkowników ludzkich i boty.

• Web Security Scanner: Zautomatyzowane narzędzie skanowania bezpieczeństwa, które wykrywa luki i powszechne problemy bezpieczeństwa w aplikacjach internetowych hostowanych na Google Cloud lub innej usłudze internetowej.

• Risk Manager: Narzędzie do zarządzania, ryzyka i zgodności (GRC), które pomaga organizacjom oceniać, dokumentować i rozumieć ich postawę ryzyka w Google Cloud.

• Binary Authorization: Kontrola bezpieczeństwa dla kontenerów, która zapewnia, że tylko zaufane obrazy kontenerów są wdrażane na klastrach Kubernetes Engine zgodnie z politykami ustalonymi przez przedsiębiorstwo.

• Advisory Notifications: Usługa, która dostarcza powiadomienia i porady dotyczące potencjalnych problemów bezpieczeństwa, luk i zalecanych działań w celu zabezpieczenia zasobów.

• Access Approval: Funkcja, która pozwala organizacjom wymagać wyraźnej zgody przed tym, jak pracownicy Google mogą uzyskać dostęp do ich danych lub konfiguracji, zapewniając dodatkową warstwę kontroli i audytowalności.

• Managed Microsoft AD: Usługa oferująca zarządzane Microsoft Active Directory (AD), która pozwala użytkownikom korzystać z istniejących aplikacji i obciążeń zależnych od Microsoft AD na Google Cloud.

Data Protection

• Sensitive Data Protection: Narzędzia i praktyki mające na celu ochronę wrażliwych danych, takich jak informacje osobiste czy własność intelektualna, przed nieautoryzowanym dostępem lub ujawnieniem.

• Data Loss Prevention (DLP): Zestaw narzędzi i procesów używanych do identyfikacji, monitorowania i ochrony danych w użyciu, w ruchu i w spoczynku poprzez głęboką inspekcję treści i stosowanie kompleksowego zestawu zasad ochrony danych.

• Certificate Authority Service: Skalowalna i bezpieczna usługa, która upraszcza i automatyzuje zarządzanie, wdrażanie i odnawianie certyfikatów SSL/TLS dla usług wewnętrznych i zewnętrznych.

• Key Management: Usługa w chmurze, która pozwala zarządzać kluczami kryptograficznymi dla aplikacji, w tym tworzeniem, importem, rotacją, używaniem i niszczeniem kluczy szyfrujących. Więcej informacji w:

• Certificate Manager: Usługa, która zarządza i wdraża certyfikaty SSL/TLS, zapewniając bezpieczne i szyfrowane połączenia z usługami internetowymi i aplikacjami.

• Secret Manager: Bezpieczny i wygodny system przechowywania kluczy API, haseł, certyfikatów i innych wrażliwych danych, który umożliwia łatwy i bezpieczny dostęp oraz zarządzanie tymi sekretami w aplikacjach. Więcej informacji w:

Zero Trust

• BeyondCorp Enterprise: Platforma bezpieczeństwa zero-trust, która umożliwia bezpieczny dostęp do aplikacji wewnętrznych bez potrzeby tradycyjnego VPN, polegając na weryfikacji zaufania użytkownika i urządzenia przed przyznaniem dostępu.

• Policy Troubleshooter: Narzędzie zaprojektowane, aby pomóc administratorom zrozumieć i rozwiązywać problemy z dostępem w ich organizacji, identyfikując, dlaczego użytkownik ma dostęp do określonych zasobów lub dlaczego dostęp został odmówiony, co wspiera egzekwowanie polityk zero-trust.

• Identity-Aware Proxy (IAP): Usługa, która kontroluje dostęp do aplikacji w chmurze i VM działających na Google Cloud, lokalnie lub w innych chmurach, na podstawie tożsamości i kontekstu żądania, a nie sieci, z której pochodzi żądanie.

• VPC Service Controls: Perimetry bezpieczeństwa, które zapewniają dodatkowe warstwy ochrony dla zasobów i usług hostowanych w Wirtualnej Chmurze Prywatnej (VPC) Google Cloud, zapobiegając exfiltracji danych i zapewniając szczegółową kontrolę dostępu.

• Access Context Manager: Część BeyondCorp Enterprise Google Cloud, to narzędzie pomaga definiować i egzekwować szczegółowe zasady kontroli dostępu na podstawie tożsamości użytkownika i kontekstu jego żądania, takiego jak status bezpieczeństwa urządzenia, adres IP i inne.