GCP - Security Enum

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Basiese Inligting

Google Cloud Platform (GCP) Sekuriteit behels 'n omvattende stel gereedskap en praktyke wat ontwerp is om die sekuriteit van hulpbronne en data binne die Google Cloud-omgewing te verseker, verdeel in vier hoofafdelings: Sekuriteitbevelsentrum, Opmerkings en Beheer, Data Beskerming en Zero Trust.

Sekuriteitbevelsentrum

Die Google Cloud Platform (GCP) Sekuriteitbevelsentrum (SCC) is 'n sekuriteit- en risikobestuurstool vir GCP hulpbronne wat organisasies in staat stel om sigbaarheid te verkry en beheer oor hul wolkbates te hê. Dit help om dreigings op te spoor en te reageer deur omvattende sekuriteitsanalise te bied, misconfiguraties te identifiseer, te verseker dat dit voldoen aan sekuriteitsstandaarde, en te integreer met ander sekuriteitsgereedskap vir geoutomatiseerde dreigingsopsporing en -reaksie.

  • Oorsig: Paneel om 'n oorsig te visualiseer van al die resultate van die Sekuriteitbevelsentrum.

  • Dreigings: [Premium Vereis] Paneel om alle opgespoorde dreigings te visualiseer. Kyk meer oor Dreigings hieronder

  • Kwesbaarhede: Paneel om gevonde misconfiguraties in die GCP-rekening te visualiseer.

  • Voldoening: [Premium vereis] Hierdie afdeling maak dit moontlik om jou GCP-omgewing teen verskeie voldoeningstoetse te toets (soos PCI-DSS, NIST 800-53, CIS-standaarde...) oor die organisasie.

  • Bates: Hierdie afdeling wys al die bates wat gebruik word, baie nuttig vir sisteemadministrateurs (en miskien aanvallers) om te sien wat op 'n enkele bladsy hardloop.

  • Vindings: Dit aggregeer in 'n tabel bevindings van verskillende afdelings van GCP-sekuriteit (nie net Bevelsentrum nie) om bevindings wat saak maak maklik te visualiseer.

  • Bronne: Wys 'n opsomming van bevindings van al die verskillende afdelings van GCP-sekuriteit per afdeling.

  • Houding: [Premium Vereis] Sekuriteitshouding maak dit moontlik om die sekuriteit van die GCP-omgewing te definieer, assesseer en monitor. Dit werk deur beleid te skep wat beperkings of beperkings definieer wat die hulpbronne in GCP beheer/monitor. Daar is verskeie voorafbepaalde houdingstempates wat gevind kan word in https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Dreigings

Vanuit die perspektief van 'n aanvaller is hierdie waarskynlik die mees interessante kenmerk omdat dit die aanvaller kan opspoor. Let egter daarop dat hierdie kenmerk Premium vereis (wat beteken dat die maatskappy meer sal moet betaal), sodat dit moontlik nie eens geaktiveer is nie.

Daar is 3 tipes dreigingsopsporingsmeganismes:

  • Gebeurtenis Dreigings: Bevindings wat geproduseer word deur gebeurtenisse van Cloud Logging te vergelyk op grond van reëls wat intern deur Google geskep is. Dit kan ook Google Workspace-logboeke skandeer.

  • Dit is moontlik om die beskrywing van al die opsporingsreëls in die dokumentasie te vind

  • Houer Dreigings: Bevindings wat geproduseer word na die analise van laevlakgedrag van die kernel van houers.

  • Aangepaste Dreigings: Reëls wat deur die maatskappy geskep is.

Dit is moontlik om aanbevole reaksies op opgespoorde dreigings van beide tipes te vind in https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumerasie

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Opmerking

GCP - Security Post Exploitation

Opmerkings en Beheer

  • Chronicle SecOps: 'n Gevorderde sekuriteitsoperasiesuite wat ontwerp is om spanne te help om hul spoed en impak van sekuriteitsoperasies te verhoog, insluitend dreigingsopsporing, ondersoek, en reaksie.

  • reCAPTCHA Enterprise: 'n Diens wat webwerwe beskerm teen bedrieglike aktiwiteite soos skraping, geloofsbewaring, en geoutomatiseerde aanvalle deur onderskeid te maak tussen menslike gebruikers en bots.

  • Web Security Scanner: Geoutomatiseerde sekuriteitsskanderingwerktuig wat kwesbaarhede en algemene sekuriteitsprobleme in webtoepassings wat op Google Cloud of 'n ander webdiens gehuisves word, opspoor.

  • Risk Manager: 'n Beheer-, risiko-, en nakomings (GRC) werktuig wat organisasies help om hul Google Cloud-risikohouding te assesseer, dokumenteer, en verstaan.

  • Binary Authorization: 'n Sekuriteitsbeheer vir houers wat verseker dat slegs vertroude houerbeelde op Kubernetes Engine-klusters geïmplementeer word volgens beleide wat deur die onderneming vasgestel is.

  • Raadgewende Kennisgewings: 'n Diens wat waarskuwings en raadgewings oor potensiële sekuriteitskwessies, kwesbaarhede, en aanbevole aksies verskaf om hulpbronne veilig te hou.

  • Toegangsgoedkeuring: 'n Funksie wat organisasies toelaat om uitdruklike goedkeuring te vereis voordat Google-werknemers toegang tot hul data of opsette kan verkry, wat 'n addisionele laag van beheer en ouditeerbaarheid bied.

  • Bestuurde Microsoft AD: 'n Diens wat bestuurde Microsoft Active Directory (AD) bied wat gebruikers in staat stel om hul bestaande Microsoft AD-afhanklike programme en werklaste op Google Cloud te gebruik.

Data Beskerming

  • Sensitiewe Data Beskerming: Gereedskap en praktyke wat gemik is op die beskerming van sensitiewe data, soos persoonlike inligting of intellektuele eiendom, teen ongemagtigde toegang of blootstelling.

  • Data Verlies Voorkoming (DLP): 'n stel gereedskap en prosesse wat gebruik word om data in gebruik, in beweging, en in rus te identifiseer, monitor, en beskerm deur diep inhoudinspeksie en deur die toepassing van 'n omvattende stel data beskermingsreëls.

  • Sertifikaatowerheiddiens: 'n skaalbare en veilige diens wat die bestuur, implementering, en hernuwing van SSL/TLS-sertifikate vir interne en eksterne dienste vereenvoudig en outomatiseer.

  • Sleutelbestuur: 'n wolkgebaseerde diens wat jou toelaat om kriptografiese sleutels vir jou toepassings te bestuur, insluitend die skepping, invoer, rotasie, gebruik, en vernietiging van versleutelingssleutels. Meer inligting in:

GCP - KMS Enum
  • Sertifikaatbestuurder: 'n diens wat SSL/TLS-sertifikate bestuur en implementeer, wat verseker dat daar veilige en versleutelde verbindinge na jou webdiens en -toepassings is.

  • Geheimbestuurder: 'n veilige en gerieflike bergingstelsel vir API-sleutels, wagwoorde, sertifikate, en ander sensitiewe data, wat die maklike en veilige toegang en bestuur van hierdie geheime in toepassings moontlik maak. Meer inligting in:

GCP - Secrets Manager Enum

Zero Trust

  • BeyondCorp Enterprise: 'n nul-vertroue sekuriteitsplatform wat veilige toegang tot interne toepassings moontlik maak sonder die behoefte aan 'n tradisionele VPN, deur te staatmaak op verifikasie van gebruiker- en toestelvertroue voordat toegang verleen word.

  • Beleid Probleemoplosser: 'n werktuig wat ontwerp is om administrateurs te help om toegangsprobleme in hul organisasie te verstaan en op te los deur te identifiseer waarom 'n gebruiker toegang tot sekere bronne het of waarom toegang ontken is, wat help om die afdwinging van nul-vertroue beleide te ondersteun.

  • Identiteit-Bewuste Proksi (IAP): 'n diens wat beheer oor toegang tot wolktoepassings en VM's wat op Google Cloud, plaaslik, of ander wolke hardloop, gebaseer op die identiteit en konteks van die versoek eerder as die netwerk waarvandaan die versoek afkomstig is.

  • VPC Diensbeheerders: Sekuriteitsperimeters wat addisionele beskermingslae aan hulpbronne en dienste wat in Google Cloud se Virtuele Privaatwolk (VPC) gehuisves word, voorsien, wat data-uitvoer voorkom en fynkorrelige toegangsbeheer bied.

  • Toegangs Konteksbestuurder: Deel van Google Cloud se BeyondCorp Enterprise, hierdie werktuig help om fynkorrelige toegangsbeheerbeleide te definieer en af te dwing gebaseer op 'n gebruiker se identiteit en die konteks van hul versoek, soos toestelsekuriteitsstatus, IP-adres, en meer.

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated