Podstawowe informacje

Google Cloud Platform (GCP) Security obejmuje kompleksowy zestaw narzędzi i praktyk zaprojektowanych w celu zapewnienia bezpieczeństwa zasobów i danych w środowisku Google Cloud, podzielonych na cztery główne sekcje: Centrum Dowodzenia Bezpieczeństwem, Wykrywanie i Kontrole, Ochrona Danych i Zero Trust.

Centrum Dowodzenia Bezpieczeństwem

Centrum Dowodzenia Bezpieczeństwem (SCC) Google Cloud Platform (GCP) to narzędzie zarządzania bezpieczeństwem i ryzykiem dla zasobów GCP, które umożliwia organizacjom uzyskanie widoczności i kontroli nad ich zasobami w chmurze. Pomaga wykrywać i reagować na zagrożenia, oferując kompleksową analizę bezpieczeństwa, identyfikując błędy konfiguracji, zapewniając zgodność ze standardami bezpieczeństwa oraz integrację z innymi narzędziami bezpieczeństwa do automatycznego wykrywania i reagowania na zagrożenia.

• Przegląd: Panel do wizualizacji przeglądu wszystkich wyników Centrum Dowodzenia Bezpieczeństwem.

• Zagrożenia: [Wymagane Premium] Panel do wizualizacji wszystkich wykrytych zagrożeń. Sprawdź więcej o Zagrożeniach poniżej

• Usterki: Panel do wizualizacji znalezionych błędów konfiguracji w koncie GCP.

• Zgodność: [Wymagane Premium] Ta sekcja pozwala testować środowisko GCP pod kątem kilku sprawdzeń zgodności (takich jak PCI-DSS, NIST 800-53, normy CIS...) w organizacji.

• Zasoby: Ta sekcja pokazuje wszystkie używane zasoby, bardzo przydatne dla administratorów systemu (i być może dla atakującego), aby zobaczyć, co działa na jednej stronie.

• Wyniki: To agreguje w tabeli wyniki różnych sekcji bezpieczeństwa GCP (nie tylko Centrum Dowodzenia) umożliwiając łatwe wizualizowanie istotnych wyników.

• Źródła: Pokazuje podsumowanie wyników wszystkich różnych sekcji bezpieczeństwa GCP według sekcji.

• Postawa: [Wymagane Premium] Postawa Bezpieczeństwa pozwala na definiowanie, ocenę i monitorowanie bezpieczeństwa środowiska GCP. Działa poprzez tworzenie polityki, która definiuje ograniczenia lub restrykcje kontrolujące/monitorujące zasoby w GCP. Istnieje kilka predefiniowanych szablonów postawy, które można znaleźć na stronie https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Zagrożenia

Z perspektywy atakującego, jest to prawdopodobnie najbardziej interesująca funkcja, ponieważ może wykryć atakującego. Należy jednak zauważyć, że ta funkcja wymaga Premium (co oznacza, że firma będzie musiała zapłacić więcej), więc może nawet nie być włączona.

Istnieją 3 rodzaje mechanizmów wykrywania zagrożeń:

• Zagrożenia Zdarzeń: Wyniki generowane przez dopasowanie zdarzeń z Cloud Logging na podstawie reguł utworzonych wewnętrznie przez Google. Może również skanować logi Google Workspace.

• Można znaleźć opis wszystkich reguł wykrywania w dokumentacji

• Zagrożenia Kontenerów: Wyniki generowane po analizie zachowania na niskim poziomie jądra kontenerów.

• Zagrożenia Niestandardowe: Reguły utworzone przez firmę.

Można znaleźć zalecane odpowiedzi na wykryte zagrożenia obu typów pod adresem https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Wyliczenie

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Detekcje i Kontrole

• Chronicle SecOps: Zaawansowany pakiet operacji bezpieczeństwa zaprojektowany w celu pomocy zespołom zwiększyć szybkość i wpływ operacji bezpieczeństwa, w tym wykrywanie zagrożeń, dochodzenie i reakcję.

• reCAPTCHA Enterprise: Usługa chroniąca strony internetowe przed oszustwami takimi jak scrapowanie, stuffing poświadczeń i ataki automatyczne, rozróżniająca między użytkownikami ludzkimi a botami.

• Skaner Bezpieczeństwa Sieci Web: Zautomatyzowane narzędzie do skanowania bezpieczeństwa, które wykrywa podatności i powszechne problemy z bezpieczeństwem w aplikacjach internetowych hostowanych w Google Cloud lub innej usłudze internetowej.

• Menedżer Ryzyka: Narzędzie do zarządzania ryzykiem, zgodnością i zgodnością (GRC), które pomaga organizacjom ocenić, udokumentować i zrozumieć ich pozycję ryzyka w Google Cloud.

• Autoryzacja Binarna: Kontrola bezpieczeństwa dla kontenerów, która zapewnia, że na klastrach silnika Kubernetes są wdrażane tylko zaufane obrazy kontenerów zgodnie z zasadami ustanowionymi przez przedsiębiorstwo.

• Powiadomienia Doradcze: Usługa dostarczająca alertów i porad dotyczących potencjalnych problemów z bezpieczeństwem, podatności i zalecanych działań w celu zapewnienia bezpieczeństwa zasobów.

• Zatwierdzenie Dostępu: Funkcja, która pozwala organizacjom wymagać wyraźnej zgody przed dostępem pracowników Google do ich danych lub konfiguracji, zapewniając dodatkową warstwę kontroli i audytowalności.

• Zarządzany Microsoft AD: Usługa oferująca zarządzany Microsoft Active Directory (AD), która pozwala użytkownikom korzystać z istniejących aplikacji i obciążeń zależnych od Microsoft AD w Google Cloud.

Ochrona Danych

• Ochrona Danych Wrażliwych: Narzędzia i praktyki mające na celu ochronę danych wrażliwych, takich jak dane osobowe lub własność intelektualna, przed nieautoryzowanym dostępem lub ujawnieniem.

• Zapobieganie Utracie Danych (DLP): Zestaw narzędzi i procesów służących do identyfikowania, monitorowania i ochrony danych w użyciu, w ruchu i w spoczynku poprzez głęboką inspekcję treści i stosowanie kompleksowego zestawu reguł ochrony danych.

• Usługa Certyfikatu Władzy Certyfikującej: Skalowalna i bezpieczna usługa, która upraszcza i automatyzuje zarządzanie, wdrażanie i odnawianie certyfikatów SSL/TLS dla usług wewnętrznych i zewnętrznych.

• Zarządzanie Kluczami: Usługa oparta na chmurze, która pozwala zarządzać kluczami kryptograficznymi dla aplikacji, w tym tworzenie, importowanie, rotację, użycie i niszczenie kluczy szyfrowania. Więcej informacji w:

• Menedżer Certyfikatów: Usługa zarządzająca i wdrażająca certyfikaty SSL/TLS, zapewniająca bezpieczne i zaszyfrowane połączenia do usług internetowych i aplikacji.

• Menedżer Sekretów: Bezpieczny i wygodny system przechowywania kluczy API, haseł, certyfikatów i innych danych wrażliwych, który umożliwia łatwy i bezpieczny dostęp oraz zarządzanie tymi sekretami w aplikacjach. Więcej informacji w:

Zero Trust

• BeyondCorp Enterprise: Platforma bezpieczeństwa zero trust umożliwiająca bezpieczny dostęp do aplikacji wewnętrznych bez konieczności tradycyjnego VPN, polegając na weryfikacji zaufania użytkownika i urządzenia przed udzieleniem dostępu.

• Narzędzie Rozwiązywania Problemów z Polityką: Narzędzie zaprojektowane w celu pomocy administratorom zrozumieć i rozwiązać problemy z dostępem w ich organizacji poprzez identyfikację dlaczego użytkownik ma dostęp do określonych zasobów lub dlaczego dostęp został odmówiony, co pomaga w egzekwowaniu polityk zero trust.

• Proxy Uwierzytelniania Tożsamości (IAP): Usługa kontrolująca dostęp do aplikacji chmurowych i maszyn wirtualnych działających w Google Cloud, lokalnie lub w innych chmurach, na podstawie tożsamości i kontekstu żądania, a nie sieci, z której pochodzi żądanie.

• Kontrole Usługi VPC: Granice bezpieczeństwa zapewniające dodatkowe warstwy ochrony zasobom i usługom hostowanym w Prywatnej Chmurze Wirtualnej (VPC) Google Cloud, zapobiegając wyciekom danych i zapewniając kontrolę dostępu.

• Menedżer Kontekstu Dostępu: Część platformy BeyondCorp Enterprise Google Cloud, to narzędzie pomaga zdefiniować i egzekwować polityki kontroli dostępu o drobnej granulacji na podstawie tożsamości użytkownika i kontekstu jego żądania, takich jak status bezpieczeństwa urządzenia, adres IP i inne.