Italian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - Compute Instances

Impara l'hacking di AWS da zero a eroe con htARTE (Esperto Red Team di HackTricks AWS)!

Altri modi per supportare HackTricks:

Informazioni di Base

Le Istampe di Calcolo di Google Cloud sono macchine virtuali personalizzabili sull'infrastruttura cloud di Google, offrendo potenza di calcolo scalabile e on-demand per una vasta gamma di applicazioni. Forniscono funzionalità come distribuzione globale, archiviazione persistente, scelta flessibile del sistema operativo e integrazioni di rete e sicurezza avanzate, rendendole una scelta versatile per ospitare siti web, elaborare dati ed eseguire applicazioni in modo efficiente nel cloud.

VM Confidenziali

Le VM Confidenziali utilizzano funzionalità di sicurezza basate sull'hardware offerte dalla generazione più recente di processori AMD EPYC, che includono crittografia della memoria e virtualizzazione crittografata sicura. Queste funzionalità consentono alla VM di proteggere i dati elaborati e memorizzati al suo interno persino dal sistema operativo host e dall'ipervisore.

Per eseguire una VM Confidenziale potrebbe essere necessario modificare cose come il tipo della macchina, l'interfaccia di rete, l'immagine del disco di avvio.

Disco e Crittografia del Disco

È possibile selezionare il disco da utilizzare o creare un nuovo disco. Se si seleziona un nuovo disco è possibile:

  • Selezionare la dimensione del disco

  • Selezionare il SO

  • Indicare se si desidera eliminare il disco quando l'istanza viene eliminata

  • Crittografia: Per default verrà utilizzata una chiave gestita da Google, ma è anche possibile selezionare una chiave da KMS o indicare una chiave grezza da utilizzare.

Distribuire un Contenitore

È possibile distribuire un contenitore all'interno della macchina virtuale. È possibile configurare l'immagine da utilizzare, impostare il comando da eseguire all'interno, argomenti, montare un volume e variabili d'ambiente (informazioni sensibili?) e configurare diverse opzioni per questo contenitore come eseguire come privilegiato, stdin e pseudo TTY.

Account del Servizio

Per default verrà utilizzato l'account del servizio predefinito di Compute Engine. L'email di questo SA è simile a: <proj-num>-compute@developer.gserviceaccount.com Questo account del servizio ha il ruolo di Editore sull'intero progetto (alti privilegi).

E gli ambiti di accesso predefiniti sono i seguenti:

  • https://www.googleapis.com/auth/devstorage.read_only -- Accesso in lettura ai bucket :)

  • https://www.googleapis.com/auth/logging.write

  • https://www.googleapis.com/auth/monitoring.write

  • https://www.googleapis.com/auth/servicecontrol

  • https://www.googleapis.com/auth/service.management.readonly

  • https://www.googleapis.com/auth/trace.append

Tuttavia, è possibile concedere cloud-platform con un clic o specificare personalizzati.

Firewall

È possibile consentire il traffico HTTP e HTTPS.

Rete

  • Inoltro IP: È possibile abilitare l'inoltro IP dalla creazione dell'istanza.

  • Nome host: È possibile assegnare all'istanza un nome host permanente.

  • Interfaccia: È possibile aggiungere un'interfaccia di rete

Sicurezza Aggiuntiva

Queste opzioni aumenteranno la sicurezza della VM e sono raccomandate:

  • Avvio sicuro: L'avvio sicuro aiuta a proteggere le istanze VM contro malware a livello di avvio e rootkit a livello di kernel.

  • Abilita vTPM: Il modulo di piattaforma fidata virtuale (vTPM) convalida l'integrità del pre-avvio e dell'avvio della tua VM guest e offre generazione e protezione delle chiavi.

  • Supervisione dell'integrità: Il monitoraggio dell'integrità consente di monitorare e verificare l'integrità dell'avvio in esecuzione delle istanze VM protette utilizzando i report di Stackdriver. Richiede che vTPM sia abilitato.

Accesso alla VM

Il modo comune per abilitare l'accesso alla VM è consentire a determinate chiavi pubbliche SSH di accedere alla VM. Tuttavia, è anche possibile abilitare l'accesso alla VM tramite il servizio os-config utilizzando IAM. Inoltre, è possibile abilitare l'autenticazione a due fattori per accedere alla VM utilizzando questo servizio. Quando questo servizio è abilitato, l'accesso tramite chiavi SSH è disabilitato.

Metadati

È possibile definire automazioni (userdata in AWS) che sono comandi shell che verranno eseguiti ogni volta che la macchina si accende o si riavvia.

È anche possibile aggiungere valori chiave-valore di metadati aggiuntivi che saranno accessibili dal punto finale dei metadati. Queste informazioni sono comunemente utilizzate per variabili d'ambiente e script di avvio/arresto. Questo può essere ottenuto utilizzando il metodo describe da un comando nella sezione di enumerazione, ma potrebbe anche essere recuperato dall'interno dell'istanza accedendo al punto finale dei metadati.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Inoltre, il token di autenticazione per il service account allegato e informazioni generali sull'istanza, sulla rete e sul progetto saranno disponibili anche dal punto di accesso dei metadati. Per ulteriori informazioni controlla:

Crittografia

Viene utilizzata una chiave di crittografia gestita da Google per impostazione predefinita, ma è possibile configurare una chiave di crittografia gestita dal cliente (CMEK). È inoltre possibile configurare cosa fare quando la CMEF utilizzata viene revocata: Niente o spegnere la VM.

Impara l'hacking AWS da zero a esperto con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks:

PreviousGCP - Compute EnumNextGCP - VPC & Networking

Last updated