GCP - Security Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Platform (GCP) Security охоплює всеосяжний набір інструментів та практик, призначених для забезпечення безпеки ресурсів та даних у середовищі Google Cloud, поділений на чотири основні секції: Центр команд безпеки, Виявлення та контроль, Захист даних та Нульова довіра.
Центр команд безпеки Google Cloud Platform (GCP) є інструментом управління безпекою та ризиками для ресурсів GCP, який дозволяє організаціям отримувати видимість та контроль над своїми хмарними активами. Він допомагає виявляти та реагувати на загрози, пропонуючи всебічну аналітику безпеки, виявляючи неправильні налаштування, забезпечуючи дотримання стандартів безпеки та інтегруючись з іншими інструментами безпеки для автоматизованого виявлення загроз та реагування.
Огляд: Панель для візуалізації огляду всіх результатів Центру команд безпеки.
Загрози: [Потрібен Premium] Панель для візуалізації всіх виявлених загроз. Дивіться більше про Загрози нижче
Вразливості: Панель для візуалізації знайдених неправильних налаштувань у обліковому записі GCP.
Дотримання: [Потрібен Premium] Ця секція дозволяє перевірити ваше середовище GCP на відповідність кільком перевіркам дотримання (таким як PCI-DSS, NIST 800-53, CIS benchmarks...) в організації.
Активи: Ця секція показує всі використовувані активи, дуже корисно для системних адміністраторів (і, можливо, атакуючих), щоб побачити, що працює на одній сторінці.
Висновки: Це агрегує у таблиці висновки з різних секцій безпеки GCP (не тільки Центру команд) для легшої візуалізації важливих висновків.
Джерела: Показує резюме висновків з усіх різних секцій безпеки GCP по секціях.
Позиція: [Потрібен Premium] Позиція безпеки дозволяє визначати, оцінювати та моніторити безпеку середовища GCP. Це працює шляхом створення політики, яка визначає обмеження або обмеження, що контролюють/моніторять ресурси в GCP. Є кілька попередньо визначених шаблонів позиції, які можна знайти за https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy
З точки зору атакуючого, це, напевно, найцікавіша функція, оскільки вона може виявити атакуючого. Однак зверніть увагу, що ця функція вимагає Premium (що означає, що компанії потрібно буде платити більше), тому вона може навіть не бути активована.
Існує 3 типи механізмів виявлення загроз:
Загрози подій: Висновки, отримані шляхом зіставлення подій з Cloud Logging на основі правил, створених всередині Google. Також може сканувати журнали Google Workspace.
Можна знайти опис усіх правил виявлення в документації
Загрози контейнерів: Висновки, отримані після аналізу поведінки ядра контейнерів на низькому рівні.
Користувацькі загрози: Правила, створені компанією.
Можна знайти рекомендовані відповіді на виявлені загрози обох типів за https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response
Chronicle SecOps: Розширений набір операцій безпеки, призначений для допомоги командам у підвищенні швидкості та впливу операцій безпеки, включаючи виявлення загроз, розслідування та реагування.
reCAPTCHA Enterprise: Сервіс, який захищає веб-сайти від шахрайських дій, таких як сканування, заповнення облікових даних та автоматизовані атаки, розрізняючи людських користувачів і ботів.
Web Security Scanner: Автоматизований інструмент сканування безпеки, який виявляє вразливості та загальні проблеми безпеки в веб-додатках, розміщених на Google Cloud або іншому веб-сервісі.
Risk Manager: Інструмент управління, ризику та відповідності (GRC), який допомагає організаціям оцінювати, документувати та розуміти свою позицію ризику в Google Cloud.
Binary Authorization: Контроль безпеки для контейнерів, який забезпечує, щоб лише довірені образи контейнерів розгорталися на кластерах Kubernetes Engine відповідно до політик, встановлених підприємством.
Advisory Notifications: Сервіс, який надає сповіщення та рекомендації щодо потенційних проблем безпеки, вразливостей та рекомендованих дій для забезпечення безпеки ресурсів.
Access Approval: Функція, яка дозволяє організаціям вимагати явного схвалення перед тим, як співробітники Google можуть отримати доступ до їхніх даних або конфігурацій, забезпечуючи додатковий рівень контролю та аудиту.
Managed Microsoft AD: Сервіс, що пропонує керовану Microsoft Active Directory (AD), який дозволяє користувачам використовувати свої існуючі програми та навантаження, залежні від Microsoft AD, на Google Cloud.
Захист чутливих даних: Інструменти та практики, спрямовані на захист чутливих даних, таких як особиста інформація або інтелектуальна власність, від несанкціонованого доступу або витоку.
Запобігання втраті даних (DLP): Набір інструментів і процесів, що використовуються для ідентифікації, моніторингу та захисту даних у використанні, в русі та в спокої через глибоку перевірку вмісту та застосування комплексного набору правил захисту даних.
Сервіс сертифікаційного центру: Масштабований і безпечний сервіс, який спрощує та автоматизує управління, розгортання та оновлення SSL/TLS сертифікатів для внутрішніх та зовнішніх сервісів.
Управління ключами: Хмарний сервіс, який дозволяє вам управляти криптографічними ключами для ваших додатків, включаючи створення, імпорт, ротацію, використання та знищення ключів шифрування. Більше інформації в:
Менеджер сертифікатів: Сервіс, який управляє та розгортає SSL/TLS сертифікати, забезпечуючи безпечні та зашифровані з'єднання з вашими веб-сервісами та додатками.
Менеджер секретів: Безпечна та зручна система зберігання для API-ключів, паролів, сертифікатів та інших чутливих даних, яка дозволяє легко та безпечно отримувати доступ і управляти цими секретами в додатках. Більше інформації в:
BeyondCorp Enterprise: Платформа безпеки з нульовою довірою, яка забезпечує безпечний доступ до внутрішніх додатків без необхідності в традиційному VPN, покладаючись на перевірку довіри користувача та пристрою перед наданням доступу.
Policy Troubleshooter: Інструмент, призначений для допомоги адміністраторам у розумінні та вирішенні проблем доступу в їхній організації, ідентифікуючи, чому користувач має доступ до певних ресурсів або чому доступ був відмовлений, тим самим сприяючи виконанню політик нульової довіри.
Identity-Aware Proxy (IAP): Сервіс, який контролює доступ до хмарних додатків та віртуальних машин, що працюють на Google Cloud, на місці або в інших хмарах, на основі ідентичності та контексту запиту, а не за мережею, з якої походить запит.
VPC Service Controls: Безпекові периметри, які забезпечують додаткові рівні захисту для ресурсів та сервісів, розміщених у Віртуальному приватному хмарі (VPC) Google Cloud, запобігаючи витоку даних та забезпечуючи детальний контроль доступу.
Access Context Manager: Частина BeyondCorp Enterprise Google Cloud, цей інструмент допомагає визначити та виконати політики контролю доступу з тонкою настройкою на основі ідентичності користувача та контексту їх запиту, таких як статус безпеки пристрою, IP-адреса та інше.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)