Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Compute Instances ni mashine za virtual zinazoweza kubadilishwa kwenye miundombinu ya wingu ya Google, zinazotoa nguvu za kompyuta zinazoweza kupanuliwa na zinazohitajika kwa matumizi mbalimbali. Zinatoa vipengele kama vile usambazaji wa kimataifa, uhifadhi wa kudumu, chaguzi za OS zinazoweza kubadilishwa, na ushirikiano mzuri wa mtandao na usalama, na kuifanya kuwa chaguo bora kwa kuhost tovuti, kuchakata data, na kuendesha programu kwa ufanisi katika wingu.
Confidential VMs hutumia vipengele vya usalama vinavyotegemea vifaa vinavyotolewa na kizazi kipya cha AMD EPYC processors, ambacho kinajumuisha usimbuaji wa kumbukumbu na uhalisia wa usimbuaji salama. Vipengele hivi vinamwezesha VM kulinda data inayochakatwa na kuhifadhiwa ndani yake hata kutoka kwa mfumo wa uendeshaji wa mwenyeji na hypervisor.
Ili kuendesha Confidential VM inaweza kuhitaji kubadilisha mambo kama vile aina ya mashine, kiunganishi cha mtandao, picha ya diski ya kuanzisha.
Inawezekana kuchagua diski ya kutumia au kuunda mpya. Ikiwa unachagua mpya unaweza:
Kuchagua ukubwa wa diski
Kuchagua OS
Kuonyesha ikiwa unataka kufuta diski wakati mfano unafutwa
Usimbuaji: Kwa kawaida funguo za Google zinazodhibitiwa zitatumika, lakini unaweza pia kuchagua funguo kutoka KMS au kuonyesha funguo za kawaida za kutumia.
Inawezekana kupeleka konteina ndani ya mashine ya virtual. Inawezekana kusanidi picha ya kutumia, kuweka amri ya kuendesha ndani, hoja, kuunganisha kiasi, na mabadiliko ya mazingira (habari nyeti?) na kusanidi chaguzi kadhaa kwa ajili ya konteina hii kama kuendesha kama mwenye mamlaka, stdin na pseudo TTY.
Kwa kawaida, akaunti ya huduma ya Compute Engine itatumika. Barua pepe ya SA hii ni kama: <proj-num>-compute@developer.gserviceaccount.com
Akaunti hii ya huduma ina nafasi ya Mhariri juu ya mradi mzima (mamlaka ya juu).
Na mipaka ya ufikiaji wa kawaida ni zifuatazo:
https://www.googleapis.com/auth/devstorage.read_only -- Ufikiaji wa kusoma kwenye ndoo :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append
Hata hivyo, inawezekana kutoa cloud-platform kwa kubonyeza au kubainisha za kawaida.
Inawezekana kuruhusu trafiki ya HTTP na HTTPS.
IP Forwarding: Inawezekana kuwezesha IP forwarding kutoka kwa uundaji wa mfano.
Hostname: Inawezekana kutoa mfano jina la kudumu.
Kiunganishi: Inawezekana kuongeza kiunganishi cha mtandao
Chaguzi hizi zitafanya kuongeza usalama wa VM na zinapendekezwa:
Secure boot: Secure boot husaidia kulinda mfano wako wa VM dhidi ya malware na rootkits za kiwango cha kuanzisha na kiwango cha kernel.
Enable vTPM: Moduli ya Kuaminika ya Kijadi (vTPM) inathibitisha uhalali wa VM yako ya wageni kabla ya kuanzisha na uhalali wa kuanzisha, na inatoa uzalishaji wa funguo na ulinzi.
Ufuatiliaji wa uaminifu: Ufuatiliaji wa uaminifu unakuwezesha kufuatilia na kuthibitisha uhalali wa kuanzisha wa mfano wako wa VM uliohifadhiwa kwa kutumia ripoti za Stackdriver. Inahitaji vTPM iwe imewezeshwa.
Njia ya kawaida ya kuwezesha ufikiaji kwa VM ni kwa kuruhusu funguo fulani za SSH za umma kuingia kwenye VM.
Hata hivyo, inawezekana pia kuwezesha ufikiaji kwa VM kupitia huduma ya os-config kwa kutumia IAM. Aidha, inawezekana kuwezesha 2FA ili kufikia VM kwa kutumia huduma hii.
Wakati huduma hii ime wezesha, ufikiaji kupitia funguo za SSH umezuiliwa.
Inawezekana kufafanua automatisering (userdata katika AWS) ambazo ni amri za shell ambazo zitatekelezwa kila wakati mashine inapoanzishwa au kuanzishwa upya.
Pia inawezekana kuongeza funguo za metadata za ziada ambazo zitapatikana kutoka kwa kiunganishi cha metadata. Habari hii kwa kawaida hutumiwa kwa mabadiliko ya mazingira na scripts za kuanzisha/kuzima. Hii inaweza kupatikana kwa kutumia describe method kutoka kwa amri katika sehemu ya uainishaji, lakini pia inaweza kupatikana kutoka ndani ya mfano kwa kufikia kiunganishi cha metadata.
Moreover, auth token for the attached service account and general info about the instance, network and project is also going to be available from the metadata endpoint. For more info check:
Kifunguo cha usimbuaji kinachosimamiwa na Google kinatumika kama chaguo-msingi lakini kifunguo cha usimbuaji kinachosimamiwa na Mteja (CMEK) kinaweza kuwekwa. Unaweza pia kuweka kile cha kufanya wakati CMEK inayotumika inabatilishwa: Kurekodi au kuzima VM.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
