GCP - Security Enum

Basic Information

Google Cloud Platform (GCP) Security inajumuisha seti kamili ya zana na mbinu zilizoundwa kuhakikisha usalama wa rasilimali na data ndani ya mazingira ya Google Cloud, iliyogawanywa katika sehemu kuu nne: Kituo cha Amri za Usalama, Ugunduzi na Udhibiti, Ulinzi wa Data na Zero Trust.

Kituo cha Amri za Usalama

Kituo cha Amri za Usalama cha Google Cloud Platform (GCP) ni chombo cha usalama na usimamizi wa hatari kwa rasilimali za GCP ambacho kinawawezesha mashirika kupata mwonekano na udhibiti wa mali zao za wingu. Kinasaidia gundua na kujibu vitisho kwa kutoa uchambuzi wa usalama wa kina, kubaini makosa ya usanidi, kuhakikisha kuzingatia viwango vya usalama, na kuunganishwa na zana nyingine za usalama kwa ajili ya ugunduzi wa vitisho na majibu ya kiotomatiki.

• Muonekano: Paneli ya kuonyesha muonekano wa matokeo yote ya Kituo cha Amri za Usalama.

• Vitisho: [Premium Required] Paneli ya kuonyesha vitisho vilivyogunduliwa. Angalia zaidi kuhusu Vitisho hapa chini

• Uthibitisho: Paneli ya kuonyesha makosa ya usanidi yaliyopatikana katika akaunti ya GCP.

• Kuzingatia: [Premium required] Sehemu hii inaruhusu kujaribu mazingira yako ya GCP dhidi ya ukaguzi mbalimbali wa kuzingatia (kama vile PCI-DSS, NIST 800-53, viwango vya CIS...) juu ya shirika.

• Mali: Sehemu hii inaonyesha mali zote zinazotumika, muhimu sana kwa wasimamizi wa mifumo (na labda mshambuliaji) kuona kinachoendelea katika ukurasa mmoja.

• Matokeo: Hii inaunganisha katika meza matokeo ya sehemu tofauti za Usalama wa GCP (sio tu Kituo cha Amri) ili kuwa na uwezo wa kuona kwa urahisi matokeo muhimu.

• Vyanzo: Inaonyesha muhtasari wa matokeo ya sehemu zote tofauti za usalama wa GCP kwa sehemu.

• Msimamo: [Premium Required] Msimamo wa Usalama unaruhusu kufafanua, kutathmini, na kufuatilia usalama wa mazingira ya GCP. Inafanya kazi kwa kuunda sera inayofafanua vikwazo au vizuizi vinavyodhibiti/kufuatilia rasilimali katika GCP. Kuna templeti kadhaa za msimamo zilizowekwa tayari ambazo zinaweza kupatikana katika https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Vitisho

Kutoka kwa mtazamo wa mshambuliaji, hii huenda ikawa kipengele cha kuvutia zaidi kwani inaweza kugundua mshambuliaji. Hata hivyo, kumbuka kwamba kipengele hiki kinahitaji Premium (ambacho kinamaanisha kwamba kampuni itahitaji kulipa zaidi), hivyo huenda kisifanywe kazi.

Kuna aina 3 za mitambo ya ugunduzi wa vitisho:

• Vitisho vya Matukio: Matokeo yanayozalishwa kwa kulinganisha matukio kutoka Cloud Logging kulingana na kanuni zilizoundwa ndani na Google. Inaweza pia kuchanganua Google Workspace logs.

• Inawezekana kupata maelezo ya kanuni zote za ugunduzi katika nyaraka

• Vitisho vya Kontena: Matokeo yanayozalishwa baada ya kuchambua tabia ya kiwango cha chini ya kernel ya kontena.

• Vitisho vya Kawaida: Kanuni zilizoundwa na kampuni.

Inawezekana kupata majibu yaliyopendekezwa kwa vitisho vilivyogunduliwa vya aina zote mbili katika https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeration

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: Suite ya hali ya juu ya operesheni za usalama iliyoundwa kusaidia timu kuongeza kasi na athari za operesheni za usalama, ikiwa ni pamoja na ugunduzi wa vitisho, uchunguzi, na majibu.

• reCAPTCHA Enterprise: Huduma inayolinda tovuti kutokana na shughuli za udanganyifu kama vile scraping, credential stuffing, na mashambulizi ya kiotomatiki kwa kutofautisha kati ya watumiaji wa kibinadamu na bots.

• Web Security Scanner: Chombo cha skanning ya usalama kiotomatiki kinachogundua udhaifu na masuala ya kawaida ya usalama katika programu za wavuti zinazohostiwa kwenye Google Cloud au huduma nyingine za wavuti.

• Risk Manager: Chombo cha utawala, hatari, na ufuatiliaji (GRC) kinachosaidia mashirika kutathmini, kuandika, na kuelewa hali yao ya hatari ya Google Cloud.

• Binary Authorization: Udhibiti wa usalama kwa ajili ya kontena unaohakikisha kuwa picha za kontena zinazotegemewa pekee ndizo zinazopelekwa kwenye vikundi vya Kubernetes Engine kulingana na sera zilizowekwa na biashara.

• Advisory Notifications: Huduma inayotoa arifa na ushauri kuhusu masuala ya usalama yanayoweza kutokea, udhaifu, na hatua zinazopendekezwa ili kuweka rasilimali salama.

• Access Approval: Kipengele kinachowezesha mashirika kutaka idhini wazi kabla ya wafanyakazi wa Google kuweza kufikia data zao au mipangilio, kutoa safu ya ziada ya udhibiti na ukaguzi.

• Managed Microsoft AD: Huduma inayotoa Microsoft Active Directory (AD) iliyosimamiwa ambayo inaruhusu watumiaji kutumia programu na mizigo inayotegemea Microsoft AD iliyopo kwenye Google Cloud.

Data Protection

• Sensitive Data Protection: Zana na mbinu zinazolenga kulinda data nyeti, kama vile taarifa za kibinafsi au mali ya akili, dhidi ya ufikiaji au kufichuliwa bila idhini.

• Data Loss Prevention (DLP): Seti ya zana na michakato inayotumika kutambua, kufuatilia, na kulinda data inayotumika, inayoenda, na iliyohifadhiwa kupitia ukaguzi wa kina wa maudhui na kwa kutumia seti kamili ya sheria za ulinzi wa data.

• Certificate Authority Service: Huduma inayoweza kupanuka na salama inayorahisisha na kuharakisha usimamizi, upelekaji, na upya wa vyeti vya SSL/TLS kwa huduma za ndani na nje.

• Key Management: Huduma ya msingi wa wingu inayokuruhusu kusimamia funguo za cryptographic kwa programu zako, ikiwa ni pamoja na uundaji, uagizaji, mzunguko, matumizi, na uharibifu wa funguo za usimbaji. Maelezo zaidi katika:

• Certificate Manager: Huduma inayosimamia na kupeleka vyeti vya SSL/TLS, kuhakikisha uhusiano salama na ulio na usimbaji kwa huduma zako za wavuti na programu.

• Secret Manager: Mfumo salama na rahisi wa kuhifadhi funguo za API, nywila, vyeti, na data nyeti nyingine, ambayo inaruhusu ufikiaji na usimamizi rahisi na salama wa siri hizi katika programu. Maelezo zaidi katika:

Zero Trust

• BeyondCorp Enterprise: Jukwaa la usalama la zero-trust linalowezesha ufikiaji salama kwa programu za ndani bila haja ya VPN ya jadi, kwa kutegemea uthibitisho wa uaminifu wa mtumiaji na kifaa kabla ya kutoa ufikiaji.

• Policy Troubleshooter: Chombo kilichoundwa kusaidia wasimamizi kuelewa na kutatua masuala ya ufikiaji katika shirika lao kwa kutambua kwa nini mtumiaji ana ufikiaji wa rasilimali fulani au kwa nini ufikiaji ulikataliwa, hivyo kusaidia katika utekelezaji wa sera za zero-trust.

• Identity-Aware Proxy (IAP): Huduma inayodhibiti ufikiaji wa programu za wingu na VMs zinazotembea kwenye Google Cloud, kwenye tovuti, au mawingu mengine, kulingana na utambulisho na muktadha wa ombi badala ya mtandao ambao ombi linatoka.

• VPC Service Controls: Mipaka ya usalama inayotoa safu za ziada za ulinzi kwa rasilimali na huduma zinazohostiwa katika Wingu la Kibinafsi la Google (VPC), kuzuia uhamasishaji wa data na kutoa udhibiti wa ufikiaji wa kina.

• Access Context Manager: Sehemu ya BeyondCorp Enterprise ya Google Cloud, chombo hiki husaidia kufafanua na kutekeleza sera za udhibiti wa ufikiaji wa kina kulingana na utambulisho wa mtumiaji na muktadha wa ombi lao, kama vile hali ya usalama wa kifaa, anwani ya IP, na zaidi.