GCP - Security Enum

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegramm-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Grundlegende Informationen

Die Sicherheit von Google Cloud Platform (GCP) umfasst eine umfassende Suite von Tools und Praktiken, die entwickelt wurden, um die Sicherheit von Ressourcen und Daten innerhalb der Google Cloud-Umgebung zu gewährleisten, aufgeteilt in vier Hauptbereiche: Security Command Center, Erkennung und Kontrolle, Datenschutz und Zero Trust.

Security Command Center

Das Google Cloud Platform (GCP) Security Command Center (SCC) ist ein Sicherheits- und Risikomanagement-Tool für GCP-Ressourcen, das Organisationen ermöglicht, Einblick in ihre Cloud-Ressourcen zu gewinnen und Kontrolle darüber zu erlangen. Es hilft dabei, Bedrohungen zu erkennen und darauf zu reagieren, indem es umfassende Sicherheitsanalysen bietet, Fehlkonfigurationen identifiziert, die Einhaltung von Sicherheitsstandards sicherstellt und sich mit anderen Sicherheitstools integriert, um eine automatisierte Bedrohungserkennung und -reaktion zu ermöglichen.

Übersicht: Panel zur Visualisierung einer Übersicht aller Ergebnisse des Security Command Center.
Bedrohungen: [Premium erforderlich] Panel zur Visualisierung aller erkannten Bedrohungen. Weitere Informationen zu Bedrohungen finden Sie unten
Schwachstellen: Panel zur Visualisierung von gefundenen Fehlkonfigurationen im GCP-Konto.
Compliance: [Premium erforderlich] Dieser Abschnitt ermöglicht es, Ihre GCP-Umgebung gegen mehrere Compliance-Checks zu testen (wie PCI-DSS, NIST 800-53, CIS-Benchmarks...) über die Organisation.
Ressourcen: Dieser Abschnitt zeigt alle verwendeten Ressourcen an, sehr nützlich für Systemadministratoren (und möglicherweise Angreifer), um auf einer einzigen Seite zu sehen, was läuft.
Ergebnisse: Dies aggregiert in einer Tabelle Ergebnisse aus verschiedenen Bereichen der GCP-Sicherheit (nicht nur Command Center), um Ergebnisse, die wichtig sind, leicht visualisieren zu können.
Quellen: Zeigt eine Zusammenfassung der Ergebnisse aller verschiedenen Bereiche der GCP-Sicherheit nach Abschnitt.
Haltung: [Premium erforderlich] Die Sicherheitshaltung ermöglicht es, die Sicherheit der GCP-Umgebung zu definieren, zu bewerten und zu überwachen. Es funktioniert, indem Richtlinien erstellt werden, die Einschränkungen oder Beschränkungen definieren, die die Ressourcen in GCP steuern/überwachen. Es gibt mehrere vordefinierte Haltungsvorlagen, die unter https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy gefunden werden können.

Bedrohungen

Aus der Perspektive eines Angreifers ist dies wahrscheinlich das interessanteste Feature, da es den Angreifer erkennen könnte. Beachten Sie jedoch, dass dieses Feature Premium erfordert (was bedeutet, dass das Unternehmen mehr bezahlen muss), sodass es möglicherweise nicht einmal aktiviert ist.

Es gibt 3 Arten von Bedrohungserkennungsmechanismen:

Ereignisbedrohungen: Ergebnisse, die durch das Abgleichen von Ereignissen aus Cloud Logging basierend auf intern von Google erstellten Regeln erzeugt werden. Es kann auch Google Workspace-Protokolle scannen.
Es ist möglich, die Beschreibung aller Erkennungsregeln in der Dokumentation zu finden.
Containerbedrohungen: Ergebnisse, die nach Analyse des Verhaltens auf niedriger Ebene des Kernels von Containern erzeugt werden.
Benutzerdefinierte Bedrohungen: Von der Firma erstellte Regeln.

Es ist möglich, empfohlene Reaktionen auf erkannte Bedrohungen beider Typen unter https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response zu finden.

Aufzählung

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post-Exploitation

pageGCP - Security Post Exploitation

Erkennung und Kontrollen

Chronicle SecOps: Eine fortschrittliche Sicherheitssuite, die Teams dabei unterstützt, die Geschwindigkeit und den Einfluss ihrer Sicherheitsoperationen zu erhöhen, einschließlich Bedrohungserkennung, Untersuchung und Reaktion.
reCAPTCHA Enterprise: Ein Dienst, der Websites vor betrügerischen Aktivitäten wie Scraping, Credential Stuffing und automatisierten Angriffen schützt, indem er zwischen menschlichen Benutzern und Bots unterscheidet.
Web Security Scanner: Ein automatisiertes Sicherheits-Scanning-Tool, das Schwachstellen und häufige Sicherheitsprobleme in Webanwendungen erkennt, die auf Google Cloud oder einem anderen Webdienst gehostet werden.
Risk Manager: Ein Governance-, Risiko- und Compliance (GRC)-Tool, das Organisationen dabei hilft, ihre Google Cloud-Risikoposition zu bewerten, zu dokumentieren und zu verstehen.
Binary Authorization: Eine Sicherheitskontrolle für Container, die sicherstellt, dass nur vertrauenswürdige Container-Images gemäß den Richtlinien des Unternehmens auf Kubernetes Engine-Clustern bereitgestellt werden.
Beratungsbenachrichtigungen: Ein Dienst, der Benachrichtigungen und Ratschläge zu potenziellen Sicherheitsproblemen, Schwachstellen und empfohlenen Maßnahmen bereitstellt, um Ressourcen sicher zu halten.
Zugriffsgenehmigung: Eine Funktion, die Organisationen ermöglicht, eine ausdrückliche Genehmigung zu verlangen, bevor Google-Mitarbeiter auf ihre Daten oder Konfigurationen zugreifen können, um eine zusätzliche Kontroll- und Überprüfungsebene bereitzustellen.
Managed Microsoft AD: Ein Service, der ein verwaltetes Microsoft Active Directory (AD) anbietet, mit dem Benutzer ihre vorhandenen Microsoft AD-abhängigen Apps und Workloads in Google Cloud nutzen können.

Datenschutz

Schutz sensibler Daten: Tools und Praktiken zur Sicherung sensibler Daten, wie personenbezogener Informationen oder geistigem Eigentum, gegen unbefugten Zugriff oder Offenlegung.
Data Loss Prevention (DLP): Eine Reihe von Tools und Prozessen zur Identifizierung, Überwachung und zum Schutz von Daten in Verwendung, in Bewegung und im Ruhezustand durch eine gründliche Inhaltsprüfung und die Anwendung eines umfassenden Satzes von Datenschutzregeln.
Zertifizierungsstellen-Dienst: Ein skalierbarer und sicherer Dienst, der die Verwaltung, Bereitstellung und Erneuerung von SSL/TLS-Zertifikaten für interne und externe Dienste vereinfacht und automatisiert.
Schlüsselverwaltung: Ein cloudbasierter Dienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Anwendungen zu verwalten, einschließlich der Erstellung, des Imports, der Rotation, Verwendung und Vernichtung von Verschlüsselungsschlüsseln. Weitere Informationen unter:

pageGCP - KMS Enum

Zertifikatsmanager: Ein Dienst, der SSL/TLS-Zertifikate verwaltet und bereitstellt, um sichere und verschlüsselte Verbindungen zu Ihren Webdiensten und Anwendungen sicherzustellen.
Secret Manager: Ein sicheres und bequemes Speichersystem für API-Schlüssel, Passwörter, Zertifikate und andere sensible Daten, das einen einfachen und sicheren Zugriff und die Verwaltung dieser Secrets in Anwendungen ermöglicht. Weitere Informationen unter:

pageGCP - Secrets Manager Enum

Zero Trust

BeyondCorp Enterprise: Eine Zero-Trust-Sicherheitsplattform, die sicheren Zugriff auf interne Anwendungen ohne die Notwendigkeit eines traditionellen VPN ermöglicht, indem sie auf die Überprüfung des Benutzer- und Gerätevertrauens vor der Gewährung des Zugriffs setzt.
Policy Troubleshooter: Ein Tool, das Administratoren dabei unterstützt, Zugriffsprobleme in ihrer Organisation zu verstehen und zu lösen, indem es identifiziert, warum einem Benutzer Zugriff auf bestimmte Ressourcen gewährt wurde oder warum der Zugriff verweigert wurde, und somit bei der Durchsetzung von Zero-Trust-Richtlinien hilft.
Identity-Aware Proxy (IAP): Ein Dienst, der den Zugriff auf Cloud-Anwendungen und VMs, die auf Google Cloud, lokal oder in anderen Clouds ausgeführt werden, basierend auf der Identität und dem Kontext der Anfrage steuert, anstatt auf das Netzwerk, von dem die Anfrage stammt.
VPC Service Controls: Sicherheitsperimeter, die zusätzliche Schutzebenen für Ressourcen und Dienste bieten, die in der Virtual Private Cloud (VPC) von Google Cloud gehostet werden, um Datenabfluss zu verhindern und eine granulare Zugriffssteuerung zu bieten.
Access Context Manager: Teil von Googles BeyondCorp Enterprise, dieses Tool hilft dabei, feingranulare Zugriffssteuerungsrichtlinien basierend auf der Identität eines Benutzers und dem Kontext seiner Anfrage, wie Gerätesicherheitsstatus, IP-Adresse und mehr, zu definieren und durchzusetzen.

Erlernen Sie AWS-Hacking von Null auf Heldenniveau mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

PreviousGCP - Secrets Manager Enum NextGCP - Source Repositories Enum

Last updated 1 month ago