GCP - Security Enum
Información Básica
Google Cloud Platform (GCP) Security abarca una amplia suite de herramientas y prácticas diseñadas para garantizar la seguridad de los recursos y datos dentro del entorno de Google Cloud, dividida en cuatro secciones principales: Centro de Seguridad, Detecciones y Controles, Protección de Datos y Confianza Cero.
Centro de Seguridad
El Centro de Seguridad de Google Cloud Platform (GCP) (SCC) es una herramienta de gestión de seguridad y riesgos para los recursos de GCP que permite a las organizaciones obtener visibilidad y control sobre sus activos en la nube. Ayuda a detectar y responder a amenazas ofreciendo análisis de seguridad exhaustivos, identificando configuraciones incorrectas, asegurando cumplimiento con estándares de seguridad e integrándose con otras herramientas de seguridad para la detección y respuesta automatizadas de amenazas.
Resumen: Panel para visualizar una descripción general de todos los resultados del Centro de Seguridad.
Amenazas: [Se requiere Premium] Panel para visualizar todas las amenazas detectadas. Consulta más sobre Amenazas a continuación
Vulnerabilidades: Panel para visualizar configuraciones incorrectas encontradas en la cuenta de GCP.
Cumplimiento: [Se requiere Premium] Esta sección permite probar tu entorno de GCP contra varios controles de cumplimiento (como PCI-DSS, NIST 800-53, CIS benchmarks...) sobre la organización.
Activos: Esta sección muestra todos los activos en uso, muy útil para los administradores de sistemas (y tal vez para un atacante) para ver qué se está ejecutando en una sola página.
Hallazgos: Esto agrega en una tabla hallazgos de diferentes secciones de Seguridad de GCP (no solo del Centro de Seguridad) para poder visualizar fácilmente hallazgos que importan.
Fuentes: Muestra un resumen de hallazgos de todas las diferentes secciones de seguridad de GCP por sección.
Postura: [Se requiere Premium] La Postura de Seguridad permite definir, evaluar y monitorear la seguridad del entorno de GCP. Funciona creando políticas que definen restricciones o limitaciones que controlan/monitorean los recursos en GCP. Hay varias plantillas de postura predefinidas que se pueden encontrar en https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy
Amenazas
Desde la perspectiva de un atacante, esta es probablemente la característica más interesante ya que podría detectar al atacante. Sin embargo, ten en cuenta que esta característica requiere Premium (lo que significa que la empresa deberá pagar más), por lo que es posible que ni siquiera esté habilitada.
Existen 3 tipos de mecanismos de detección de amenazas:
Amenazas de Eventos: Hallazgos producidos al coincidir eventos de Cloud Logging basados en reglas creadas internamente por Google. También puede escanear logs de Google Workspace.
Es posible encontrar la descripción de todas las reglas de detección en la documentación
Amenazas de Contenedores: Hallazgos producidos después de analizar el comportamiento a bajo nivel del kernel de contenedores.
Amenazas Personalizadas: Reglas creadas por la empresa.
Es posible encontrar respuestas recomendadas a las amenazas detectadas de ambos tipos en https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response
Enumeración
Post Explotación
pageGCP - Security Post ExploitationDetecciones y Controles
Chronicle SecOps: Una suite avanzada de operaciones de seguridad diseñada para ayudar a los equipos a aumentar su velocidad e impacto en las operaciones de seguridad, incluyendo la detección, investigación y respuesta a amenazas.
reCAPTCHA Enterprise: Un servicio que protege los sitios web de actividades fraudulentas como el scraping, el stuffing de credenciales y los ataques automatizados al distinguir entre usuarios humanos y bots.
Web Security Scanner: Herramienta de escaneo de seguridad automatizado que detecta vulnerabilidades y problemas de seguridad comunes en aplicaciones web alojadas en Google Cloud u otro servicio web.
Risk Manager: Una herramienta de gobierno, riesgo y cumplimiento (GRC) que ayuda a las organizaciones a evaluar, documentar y comprender su postura de riesgo en Google Cloud.
Binary Authorization: Un control de seguridad para contenedores que garantiza que solo se implementen imágenes de contenedores confiables en clústeres de Kubernetes Engine de acuerdo con las políticas establecidas por la empresa.
Notificaciones de Asesoramiento: Un servicio que proporciona alertas y avisos sobre posibles problemas de seguridad, vulnerabilidades y acciones recomendadas para mantener seguros los recursos.
Aprobación de Acceso: Una función que permite a las organizaciones requerir aprobación explícita antes de que los empleados de Google puedan acceder a sus datos o configuraciones, proporcionando una capa adicional de control y auditabilidad.
Managed Microsoft AD: Un servicio que ofrece Active Directory (AD) de Microsoft administrado que permite a los usuarios utilizar sus aplicaciones y cargas de trabajo existentes dependientes de Microsoft AD en Google Cloud.
Protección de Datos
Protección de Datos Sensibles: Herramientas y prácticas destinadas a proteger datos sensibles, como información personal o propiedad intelectual, contra accesos o exposiciones no autorizados.
Prevención de Pérdida de Datos (DLP): Un conjunto de herramientas y procesos utilizados para identificar, monitorear y proteger datos en uso, en movimiento y en reposo mediante inspección profunda de contenido y la aplicación de un conjunto completo de reglas de protección de datos.
Servicio de Autoridad de Certificación: Un servicio escalable y seguro que simplifica y automatiza la gestión, implementación y renovación de certificados SSL/TLS para servicios internos y externos.
Gestión de Claves: Un servicio basado en la nube que le permite gestionar claves criptográficas para sus aplicaciones, incluida la creación, importación, rotación, uso y destrucción de claves de cifrado. Más información en:
Gestor de Certificados: Un servicio que gestiona e implementa certificados SSL/TLS, garantizando conexiones seguras y cifradas a sus servicios y aplicaciones web.
Gestor de Secretos: Un sistema de almacenamiento seguro y conveniente para claves API, contraseñas, certificados y otros datos sensibles, que permite el acceso y la gestión fáciles y seguros de estos secretos en aplicaciones. Más información en:
Confianza Cero
BeyondCorp Enterprise: Una plataforma de seguridad de confianza cero que permite el acceso seguro a aplicaciones internas sin la necesidad de una VPN tradicional, confiando en la verificación de la confianza del usuario y del dispositivo antes de otorgar acceso.
Solucionador de Problemas de Políticas: Una herramienta diseñada para ayudar a los administradores a comprender y resolver problemas de acceso en su organización identificando por qué un usuario tiene acceso a ciertos recursos o por qué se denegó el acceso, ayudando así en la aplicación de políticas de confianza cero.
Proxy con Conciencia de Identidad (IAP): Un servicio que controla el acceso a aplicaciones en la nube y máquinas virtuales que se ejecutan en Google Cloud, localmente u en otras nubes, basándose en la identidad y el contexto de la solicitud en lugar de en la red desde la que se origina la solicitud.
Controles de Servicio de VPC: Perímetros de seguridad que proporcionan capas adicionales de protección a recursos y servicios alojados en la Virtual Private Cloud (VPC) de Google Cloud, evitando la exfiltración de datos y proporcionando un control de acceso granular.
Gestor de Contexto de Acceso: Parte de BeyondCorp Enterprise de Google Cloud, esta herramienta ayuda a definir y hacer cumplir políticas de control de acceso detalladas basadas en la identidad del usuario y el contexto de su solicitud, como el estado de seguridad del dispositivo, la dirección IP y más.
Última actualización