GCP - Security Enum

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFT
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

Informations de base

La sécurité de la plateforme Google Cloud (GCP) englobe une suite complète d'outils et de pratiques conçus pour garantir la sécurité des ressources et des données au sein de l'environnement Google Cloud, divisée en quatre sections principales : Centre de commandement de sécurité, Détections et contrôles, Protection des données et Confiance zéro.

Centre de commandement de sécurité

Le Centre de commandement de sécurité (SCC) de la plateforme Google Cloud (GCP) est un outil de gestion des risques et de la sécurité des ressources GCP qui permet aux organisations d'obtenir une visibilité et un contrôle sur leurs actifs cloud. Il aide à détecter et répondre aux menaces en offrant des analyses de sécurité complètes, en identifiant les mauvaises configurations, en assurant la conformité aux normes de sécurité, et en s'intégrant à d'autres outils de sécurité pour la détection et la réponse automatisées aux menaces.

Aperçu : Panneau pour visualiser un aperçu de tous les résultats du Centre de commandement de sécurité.
Menaces : [Premium requis] Panneau pour visualiser toutes les menaces détectées. Consultez plus d'informations sur les Menaces ci-dessous
Vulnérabilités : Panneau pour visualiser les mauvaises configurations trouvées dans le compte GCP.
Conformité : [Premium requis] Cette section permet de tester votre environnement GCP par rapport à plusieurs vérifications de conformité (telles que PCI-DSS, NIST 800-53, les benchmarks CIS...) au sein de l'organisation.
Actifs : Cette section affiche tous les actifs utilisés, très utile pour les administrateurs système (et peut-être les attaquants) pour voir ce qui est en cours d'exécution sur une seule page.
Résultats : Cela agrège dans un tableau les résultats des différentes sections de la sécurité GCP (pas seulement du Centre de commandement) pour pouvoir visualiser facilement les résultats importants.
Sources : Affiche un résumé des résultats de toutes les différentes sections de la sécurité GCP par section.
Posture : [Premium requis] La Posture de sécurité permet de définir, évaluer et surveiller la sécurité de l'environnement GCP. Elle fonctionne en créant une politique qui définit des contraintes ou des restrictions qui contrôlent/surveillent les ressources dans GCP. Il existe plusieurs modèles de posture prédéfinis qui peuvent être trouvés sur https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Menaces

Du point de vue d'un attaquant, il s'agit probablement de la fonctionnalité la plus intéressante car elle pourrait détecter l'attaquant. Cependant, notez que cette fonctionnalité nécessite un abonnement Premium (ce qui signifie que l'entreprise devra payer plus), donc elle pourrait ne pas même être activée.

Il existe 3 types de mécanismes de détection des menaces :

Menaces d'événements : Résultats produits en faisant correspondre des événements de Cloud Logging basés sur des règles créées en interne par Google. Il peut également analyser les logs de Google Workspace.
Il est possible de trouver la description de toutes les règles de détection dans la documentation
Menaces de conteneurs : Résultats produits après l'analyse du comportement de bas niveau du noyau des conteneurs.
Menaces personnalisées : Règles créées par l'entreprise.

Il est possible de trouver des réponses recommandées aux menaces détectées des deux types sur https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Énumération

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

pageGCP - Security Post Exploitation

Détections et Contrôles

Chronicle SecOps: Une suite avancée d'opérations de sécurité conçue pour aider les équipes à augmenter leur vitesse et leur impact dans les opérations de sécurité, y compris la détection des menaces, l'investigation et la réponse.
reCAPTCHA Enterprise: Un service qui protège les sites web contre les activités frauduleuses telles que le scraping, le bourrage d'informations d'identification et les attaques automatisées en distinguant les utilisateurs humains des bots.
Web Security Scanner: Outil d'analyse de sécurité automatisé qui détecte les vulnérabilités et les problèmes de sécurité courants dans les applications web hébergées sur Google Cloud ou un autre service web.
Risk Manager: Un outil de gouvernance, de gestion des risques et de conformité (GRC) qui aide les organisations à évaluer, documenter et comprendre leur posture de risque sur Google Cloud.
Binary Authorization: Un contrôle de sécurité pour les conteneurs qui garantit que seules des images de conteneurs de confiance sont déployées sur des clusters Kubernetes Engine selon les politiques définies par l'entreprise.
Notifications d'Avis: Un service qui fournit des alertes et des avis sur les problèmes de sécurité potentiels, les vulnérabilités et les actions recommandées pour maintenir la sécurité des ressources.
Approbation d'Accès: Une fonctionnalité qui permet aux organisations d'exiger une approbation explicite avant que les employés de Google puissent accéder à leurs données ou configurations, offrant ainsi une couche de contrôle et d'audit supplémentaire.
Managed Microsoft AD: Un service offrant une gestion active de Microsoft Active Directory (AD) qui permet aux utilisateurs d'utiliser leurs applications et charges de travail existantes dépendant de Microsoft AD sur Google Cloud.

Protection des Données

Protection des Données Sensibles: Outils et pratiques visant à protéger les données sensibles, telles que les informations personnelles ou la propriété intellectuelle, contre tout accès ou exposition non autorisés.
Prévention de la Perte de Données (DLP): Un ensemble d'outils et de processus utilisés pour identifier, surveiller et protéger les données en cours d'utilisation, en mouvement et au repos grâce à une inspection approfondie du contenu et à l'application d'un ensemble complet de règles de protection des données.
Service d'Autorité de Certificat: Un service évolutif et sécurisé qui simplifie et automatise la gestion, le déploiement et le renouvellement des certificats SSL/TLS pour les services internes et externes.
Gestion des Clés: Un service basé sur le cloud qui vous permet de gérer les clés cryptographiques de vos applications, y compris la création, l'importation, la rotation, l'utilisation et la destruction des clés de chiffrement. Plus d'informations dans:

pageGCP - KMS Enum

Gestionnaire de Certificats: Un service qui gère et déploie des certificats SSL/TLS, garantissant des connexions sécurisées et chiffrées à vos services web et applications.
Gestionnaire de Secrets: Un système de stockage sécurisé et pratique pour les clés API, les mots de passe, les certificats et d'autres données sensibles, qui permet un accès et une gestion faciles et sécurisés de ces secrets dans les applications. Plus d'informations dans:

pageGCP - Secrets Manager Enum

Confiance Zéro

BeyondCorp Enterprise: Une plateforme de sécurité de confiance zéro qui permet un accès sécurisé aux applications internes sans avoir besoin d'un VPN traditionnel, en se basant sur la vérification de la confiance de l'utilisateur et du périphérique avant d'accorder l'accès.
Résolveur de Problèmes de Politique: Un outil conçu pour aider les administrateurs à comprendre et résoudre les problèmes d'accès dans leur organisation en identifiant pourquoi un utilisateur a accès à certaines ressources ou pourquoi l'accès a été refusé, aidant ainsi à faire respecter les politiques de confiance zéro.
Proxy Aware d'Identité (IAP): Un service qui contrôle l'accès aux applications cloud et aux machines virtuelles exécutées sur Google Cloud, sur site ou sur d'autres clouds, en se basant sur l'identité et le contexte de la demande plutôt que sur le réseau d'origine de la demande.
Contrôles de Service VPC: Périmètres de sécurité qui fournissent des couches de protection supplémentaires aux ressources et services hébergés dans le Cloud Virtuel Privé (VPC) de Google Cloud, empêchant l'exfiltration de données et fournissant un contrôle d'accès granulaire.
Gestionnaire de Contexte d'Accès: Faisant partie de BeyondCorp Enterprise de Google Cloud, cet outil aide à définir et à appliquer des politiques de contrôle d'accès fines basées sur l'identité de l'utilisateur et le contexte de sa demande, tel que le statut de sécurité du périphérique, l'adresse IP, et plus encore.

PrécédentGCP - Secrets Manager Enum SuivantGCP - Source Repositories Enum

Dernière mise à jour il y a 1 mois