GCP - Security Enum

Google Cloud Platform (GCP) Security obuhvata kompletni set alata i praksi dizajniranih da osiguraju bezbednost resursa i podataka unutar Google Cloud okruženja, podeljenih u četiri glavne sekcije: Security Command Center, Detections and Controls, Data Protection i Zero Trust.

Security Command Center

Google Cloud Platform (GCP) Security Command Center (SCC) je alat za upravljanje bezbednošću i rizicima za GCP resurse koji omogućava organizacijama da steknu uvid i kontrolu nad svojim cloud resursima. Pomaže u otkrivanju i reagovanju na pretnje pružajući sveobuhvatnu bezbednosnu analitiku, identifikujući konfiguracije, osiguravajući usaglašenost sa bezbednosnim standardima i integraciju sa drugim bezbednosnim alatima za automatizovano otkrivanje i reagovanje na pretnje.

  • Pregled: Panel za vizualizaciju pregleda svih rezultata Security Command Center-a.

  • Pretnje: [Potreban Premium] Panel za vizualizaciju svih detektovanih pretnji. Pročitajte više o Pretnjama ispod

  • Ranjivosti: Panel za vizualizaciju pronađenih konfiguracija u GCP nalogu.

  • Usaglašenost: [Potreban Premium] Ova sekcija omogućava testiranje GCP okruženja protiv različitih provera usaglašenosti (kao što su PCI-DSS, NIST 800-53, CIS benchmarks...) u okviru organizacije.

  • Resursi: Ova sekcija prikazuje sve korišćene resurse, veoma korisno za sistem administratore (i možda napadače) da vide šta se izvršava na jednoj stranici.

  • Nalazi: Ovo agregira u tabelu nalaze različitih sekcija GCP Security (ne samo Command Center) kako bi se lako vizualizovali bitni nalazi.

  • Izvori: Prikazuje rezime nalaza svih različitih sekcija GCP bezbednosti po sekcijama.

  • Pozicija: [Potreban Premium] Bezbednosna Pozicija omogućava definisanje, procenu i praćenje bezbednosti GCP okruženja. Radi kreiranjem politike koja definiše ograničenja ili restrikcije koje kontrolišu/prate resurse u GCP. Postoje nekoliko unapred definisanih šablona pozicije koje se mogu pronaći na https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Pretnje

Sa perspektive napadača, ovo je verovatno najinteresantnija funkcija jer može otkriti napadača. Međutim, imajte na umu da ova funkcija zahteva Premium (što znači da će kompanija morati da plati više), pa možda čak nije ni omogućena.

Postoje 3 vrste mehanizama za otkrivanje pretnji:

  • Pretnje događaja: Nalazi proizvedeni podudaranjem događaja iz Cloud Logging na osnovu pravila kreiranih interno od strane Google-a. Takođe može skenirati Google Workspace logove.

  • Moguće je pronaći opis svih pravila otkrivanja u dokumentaciji

  • Pretnje kontejnera: Nalazi proizvedeni nakon analize ponašanja jezgra kontejnera.

  • Prilagođene pretnje: Pravila kreirana od strane kompanije.

Moguće je pronaći preporučene odgovore na detektovane pretnje oba tipa na https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeracija

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Otkrivanje i Kontrole

  • Chronicle SecOps: Napredni skup alata za bezbednost dizajniran da pomogne timovima da povećaju brzinu i uticaj operacija bezbednosti, uključujući otkrivanje pretnji, istragu i odgovor.

  • reCAPTCHA Enterprise: Servis koji štiti veb sajtove od prevara poput skrejpinga, napada sa ukradenim podacima i automatizovanih napada razlikujući između ljudskih korisnika i botova.

  • Web Security Scanner: Automatizovani alat za skeniranje bezbednosti koji otkriva ranjivosti i uobičajene bezbednosne probleme u veb aplikacijama koje se hostuju na Google Cloud-u ili drugom veb servisu.

  • Risk Manager: Alat za upravljanje rizicima, usaglašenošću i upravljanje (GRC) koji pomaže organizacijama da procene, dokumentuju i razumeju svoj rizični položaj na Google Cloud-u.

  • Binary Authorization: Bezbednosna kontrola za kontejnere koja osigurava da se samo pouzdane slike kontejnera implementiraju na Kubernetes Engine klasterima prema politikama postavljenim od strane preduzeća.

  • Obaveštenja o savetima: Servis koji pruža upozorenja i savete o potencijalnim bezbednosnim problemima, ranjivostima i preporučenim akcijama kako bi se resursi održali bezbednim.

  • Odobrenje pristupa: Funkcija koja omogućava organizacijama da zahtevaju eksplicitno odobrenje pre nego što zaposleni u Google-u mogu pristupiti njihovim podacima ili konfiguracijama, pružajući dodatni sloj kontrole i revizije.

  • Upravljani Microsoft AD: Servis koji nudi upravljani Microsoft Active Directory (AD) koji korisnicima omogućava korišćenje njihovih postojećih aplikacija i radnih opterećenja zavisnih od Microsoft AD-a na Google Cloud-u.

Zaštita Podataka

  • Zaštita Osetljivih Podataka: Alati i prakse usmereni na zaštitu osetljivih podataka, poput ličnih informacija ili intelektualne svojine, od neovlašćenog pristupa ili izlaganja.

  • Prevencija Gubitka Podataka (DLP): Skup alata i procesa koji se koriste za identifikaciju, praćenje i zaštitu podataka u upotrebi, u kretanju i u mirovanju putem dubinske inspekcije sadržaja i primenom sveobuhvatnog skupa pravila zaštite podataka.

  • Servis za Sertifikacione Autoritete: Razmeran i siguran servis koji pojednostavljuje i automatizuje upravljanje, implementaciju i obnavljanje SSL/TLS sertifikata za interne i eksterne servise.

  • Upravljanje Ključevima: Cloud servis koji vam omogućava upravljanje kriptografskim ključevima za vaše aplikacije, uključujući kreiranje, uvoz, rotaciju, korišćenje i uništavanje enkripcionih ključeva. Više informacija u:

GCP - KMS Enum
  • Menadžer Sertifikata: Servis koji upravlja i implementira SSL/TLS sertifikate, obezbeđujući sigurne i enkriptovane veze sa vašim veb servisima i aplikacijama.

  • Menadžer Tajni: Siguran i praktičan sistem za skladištenje API ključeva, lozinki, sertifikata i drugih osetljivih podataka, koji omogućava jednostavan i siguran pristup i upravljanje ovim tajnama u aplikacijama. Više informacija u:

GCP - Secrets Manager Enum

Nulta Poverenja

  • BeyondCorp Enterprise: Platforma za bezbednost nultog poverenja koja omogućava siguran pristup internim aplikacijama bez potrebe za tradicionalnim VPN-om, oslanjajući se na proveru poverenja korisnika i uređaja pre nego što se odobri pristup.

  • Alat za Rešavanje Problema sa Politikama: Alat dizajniran da pomogne administratorima da razumeju i reše probleme sa pristupom u njihovoj organizaciji identifikujući zašto korisnik ima pristup određenim resursima ili zašto je pristup odbijen, time pomažući u sprovođenju politika nultog poverenja.

  • Proxy sa Identitetom (IAP): Servis koji kontroliše pristup cloud aplikacijama i virtuelnim mašinama koje se izvršavaju na Google Cloud-u, lokalno ili na drugim oblakama, na osnovu identiteta i konteksta zahteva umesto na osnovu mreže sa koje zahtev potiče.

  • Kontrole Servisa VPC: Bezbednosni obod koji pruža dodatne slojeve zaštite resursima i servisima hostovanim u Virtualnom Privatnom Oblaku (VPC) Google Cloud-a, sprečavajući eksfiltraciju podataka i pružajući granularnu kontrolu pristupa.

  • Menadžer Konteksta Pristupa: Deo BeyondCorp Enterprise Google Cloud-a, ovaj alat pomaže u definisanju i sprovođenju politika kontrole pristupa sa finim granulama na osnovu identiteta korisnika i konteksta njihovog zahteva, poput statusa bezbednosti uređaja, IP adrese i više.

Last updated