Menedżer sekretów

Google Secret Manager to rozwiązanie przypominające skarbiec do przechowywania haseł, kluczy API, certyfikatów, plików (maksymalnie 64 KB) i innych danych poufnych.

Sekret może mieć różne wersje przechowujące różne dane.

Sekrety są domyślnie szyfrowane za pomocą zarządzanego przez Google klucza, ale można wybrać klucz z KMS do szyfrowania sekretu.

Jeśli chodzi o rotację, można skonfigurować wiadomości do wysyłania do pub-sub co określoną liczbę dni, kod nasłuchujący tych wiadomości może rotować sekret.

Można skonfigurować dzień automatycznego usuwania, gdy osiągnięty zostanie wskazany dzień, sekret zostanie automatycznie usunięty.

Wymienianie

# First, list the entries
gcloud secrets list
gcloud secrets get-iam-policy <secret_name>

# Then, pull the clear-text of any version of any secret
gcloud secrets versions list <secret_name>
gcloud secrets versions access 1 --secret="<secret_name>"

Eskalacja uprawnień

Na następnej stronie możesz sprawdzić, jak wykorzystać uprawnienia secretmanager do eskalacji uprawnień.

Po eksploatacji

Trwałość

Nadużycie rotacji

Atakujący mógłby zaktualizować sekret, aby zatrzymać rotacje (aby nie był modyfikowany), lub wykonywać rotacje znacznie rzadziej (aby sekret nie był modyfikowany) lub opublikować komunikat o rotacji w innym pub/sub, lub zmienić kod rotacji, który jest wykonywany (to dzieje się w innej usłudze, prawdopodobnie w funkcji Cloud, więc atakujący będzie potrzebował uprzywilejowanego dostępu do funkcji Cloud lub innej usługi)