GCP - Security Enum

Basic Information

Google Cloud Platform (GCP) Security охоплює всеосяжний набір інструментів та практик, призначених для забезпечення безпеки ресурсів та даних у середовищі Google Cloud, поділених на чотири основні секції: Центр команд безпеки, Виявлення та контроль, Захист даних та Нульова довіра.

Центр команд безпеки

Центр команд безпеки Google Cloud Platform (GCP) є інструментом управління безпекою та ризиками для ресурсів GCP, який дозволяє організаціям отримувати видимість та контроль над своїми хмарними активами. Він допомагає виявляти та реагувати на загрози, пропонуючи всебічну аналітику безпеки, виявляючи неправильні налаштування, забезпечуючи дотримання стандартів безпеки та інтегруючись з іншими інструментами безпеки для автоматизованого виявлення загроз та реагування.

• Огляд: Панель для візуалізації огляду всіх результатів Центру команд безпеки.

• Загрози: [Потрібен Premium] Панель для візуалізації всіх виявлених загроз. Дивіться більше про Загрози нижче

• Вразливості: Панель для візуалізації знайдених неправильних налаштувань у обліковому записі GCP.

• Дотримання: [Потрібен Premium] Ця секція дозволяє перевірити ваше середовище GCP на відповідність кільком перевіркам дотримання (таким як PCI-DSS, NIST 800-53, CIS benchmarks...) в організації.

• Активи: Ця секція показує всі використовувані активи, дуже корисно для системних адміністраторів (і, можливо, зловмисників), щоб побачити, що працює на одній сторінці.

• Висновки: Це агрегує у таблиці висновки з різних секцій безпеки GCP (не тільки Центру команд) для легшої візуалізації важливих висновків.

• Джерела: Показує резюме висновків з усіх різних секцій безпеки GCP по секціях.

• Позиція: [Потрібен Premium] Позиція безпеки дозволяє визначати, оцінювати та моніторити безпеку середовища GCP. Це працює шляхом створення політики, яка визначає обмеження або заборони, що контролюють/моніторять ресурси в GCP. Є кілька попередньо визначених шаблонів позицій, які можна знайти за адресою https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Загрози

З точки зору зловмисника, це, напевно, найцікавіша функція, оскільки вона може виявити зловмисника. Однак зверніть увагу, що ця функція вимагає Premium (що означає, що компанії потрібно буде платити більше), тому вона може навіть не бути активована.

Існує 3 типи механізмів виявлення загроз:

• Загрози подій: Висновки, отримані шляхом зіставлення подій з Cloud Logging на основі правил, створених всередині Google. Також може сканувати журнали Google Workspace.

• Можна знайти опис усіх правил виявлення в документації

• Загрози контейнерів: Висновки, отримані після аналізу поведінки ядра контейнерів на низькому рівні.

• Користувацькі загрози: Правила, створені компанією.

Можна знайти рекомендовані відповіді на виявлені загрози обох типів за адресою https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Перерахування

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Постексплуатація

Виявлення та контроль

• Chronicle SecOps: Розширений набір операцій безпеки, розроблений для допомоги командам у підвищенні швидкості та впливу операцій безпеки, включаючи виявлення загроз, розслідування та реагування.

• reCAPTCHA Enterprise: Сервіс, який захищає веб-сайти від шахрайських дій, таких як скрапінг, заповнення облікових даних та автоматизовані атаки, розрізняючи людських користувачів і ботів.

• Web Security Scanner: Автоматизований інструмент сканування безпеки, який виявляє вразливості та загальні проблеми безпеки в веб-додатках, розміщених на Google Cloud або іншому веб-сервісі.

• Risk Manager: Інструмент управління, ризику та відповідності (GRC), який допомагає організаціям оцінювати, документувати та розуміти свою позицію ризику в Google Cloud.

• Binary Authorization: Контроль безпеки для контейнерів, який забезпечує, що лише довірені образи контейнерів розгортаються на кластерах Kubernetes Engine відповідно до політик, встановлених підприємством.

• Advisory Notifications: Сервіс, який надає сповіщення та рекомендації щодо потенційних проблем безпеки, вразливостей та рекомендованих дій для забезпечення безпеки ресурсів.

• Access Approval: Функція, яка дозволяє організаціям вимагати явного схвалення перед тим, як співробітники Google можуть отримати доступ до їхніх даних або конфігурацій, забезпечуючи додатковий рівень контролю та аудиту.

• Managed Microsoft AD: Сервіс, що пропонує керовану Microsoft Active Directory (AD), який дозволяє користувачам використовувати свої існуючі програми та навантаження, залежні від Microsoft AD, на Google Cloud.

Захист даних

• Захист чутливих даних: Інструменти та практики, спрямовані на захист чутливих даних, таких як особиста інформація або інтелектуальна власність, від несанкціонованого доступу або витоку.

• Data Loss Prevention (DLP): Набір інструментів і процесів, які використовуються для ідентифікації, моніторингу та захисту даних у використанні, в русі та в спокої через глибоку перевірку вмісту та застосування комплексного набору правил захисту даних.

• Certificate Authority Service: Масштабований і безпечний сервіс, який спрощує та автоматизує управління, розгортання та оновлення SSL/TLS сертифікатів для внутрішніх та зовнішніх сервісів.

• Key Management: Хмарний сервіс, який дозволяє вам керувати криптографічними ключами для ваших додатків, включаючи створення, імпорт, ротацію, використання та знищення ключів шифрування. Більше інформації в:

• Certificate Manager: Сервіс, який управляє та розгортає SSL/TLS сертифікати, забезпечуючи безпечні та зашифровані з'єднання з вашими веб-сервісами та додатками.

• Secret Manager: Безпечна та зручна система зберігання для API ключів, паролів, сертифікатів та інших чутливих даних, яка дозволяє легко та безпечно отримувати доступ і управляти цими секретами в додатках. Більше інформації в:

Нульова довіра

• BeyondCorp Enterprise: Платформа безпеки з нульовою довірою, яка забезпечує безпечний доступ до внутрішніх додатків без необхідності в традиційному VPN, покладаючись на перевірку довіри користувача та пристрою перед наданням доступу.

• Policy Troubleshooter: Інструмент, розроблений для допомоги адміністраторам у розумінні та вирішенні проблем доступу в їхній організації, ідентифікуючи, чому користувач має доступ до певних ресурсів або чому доступ був відмовлений, тим самим сприяючи виконанню політик нульової довіри.

• Identity-Aware Proxy (IAP): Сервіс, який контролює доступ до хмарних додатків та ВМ, що працюють на Google Cloud, на місці або в інших хмарах, на основі особи та контексту запиту, а не за мережею, з якої запит походить.

• VPC Service Controls: Безпекові периметри, які забезпечують додаткові рівні захисту для ресурсів та сервісів, розміщених у Віртуальному приватному хмарі (VPC) Google Cloud, запобігаючи витоку даних та забезпечуючи детальний контроль доступу.

• Access Context Manager: Частина Google Cloud's BeyondCorp Enterprise, цей інструмент допомагає визначити та виконати політики контролю доступу з тонкою настройкою на основі особи користувача та контексту їх запиту, таких як статус безпеки пристрою, IP-адреса та інше.