GCP - Security Enum

Podstawowe Informacje

Google Cloud Platform (GCP) Security obejmuje kompleksowy zestaw narzędzi i praktyk zaprojektowanych w celu zapewnienia bezpieczeństwa zasobów i danych w środowisku Google Cloud, podzielonych na cztery główne sekcje: Security Command Center, Detections and Controls, Data Protection i Zero Trust.

Security Command Center

Google Cloud Platform (GCP) Security Command Center (SCC) to narzędzie do zarządzania bezpieczeństwem i ryzykiem dla zasobów GCP, które umożliwia organizacjom uzyskanie wglądu i kontroli nad ich zasobami w chmurze. Pomaga wykrywać i reagować na zagrożenia poprzez oferowanie kompleksowej analizy bezpieczeństwa, identyfikowanie błędnych konfiguracji, zapewnianie zgodności ze standardami bezpieczeństwa oraz integrację z innymi narzędziami bezpieczeństwa w celu automatycznego wykrywania i reagowania na zagrożenia.

• Przegląd: Panel do wizualizacji przeglądu wszystkich wyników Security Command Center.

• Zagrożenia: [Wymagany Premium] Panel do wizualizacji wszystkich wykrytych zagrożeń. Sprawdź więcej o Zagrożeniach poniżej

• Luki w zabezpieczeniach: Panel do wizualizacji znalezionych błędnych konfiguracji w koncie GCP.

• Zgodność: [Wymagany Premium] Ta sekcja pozwala na testowanie środowiska GCP pod kątem kilku kontroli zgodności (takich jak PCI-DSS, NIST 800-53, CIS benchmarks...) w całej organizacji.

• Zasoby: Ta sekcja pokazuje wszystkie używane zasoby, bardzo przydatne dla administratorów systemów (i może dla atakujących), aby zobaczyć, co działa na jednej stronie.

• Wyniki: To agreguje w tabeli wyniki z różnych sekcji bezpieczeństwa GCP (nie tylko Command Center), aby łatwo wizualizować istotne wyniki.

• Źródła: Pokazuje podsumowanie wyników z wszystkich różnych sekcji bezpieczeństwa GCP według sekcji.

• Postura: [Wymagany Premium] Security Posture pozwala na definiowanie, ocenianie i monitorowanie bezpieczeństwa środowiska GCP. Działa poprzez tworzenie polityki, która definiuje ograniczenia lub restrykcje kontrolujące/monitorujące zasoby w GCP. Istnieje kilka predefiniowanych szablonów postury, które można znaleźć na https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Zagrożenia

Z perspektywy atakującego, jest to prawdopodobnie najbardziej interesująca funkcja, ponieważ może wykryć atakującego. Jednak należy zauważyć, że ta funkcja wymaga Premium (co oznacza, że firma będzie musiała zapłacić więcej), więc może nawet nie być włączona.

Istnieją 3 typy mechanizmów wykrywania zagrożeń:

• Zagrożenia zdarzeń: Wyniki uzyskane przez dopasowanie zdarzeń z Cloud Logging na podstawie zasad tworzonych wewnętrznie przez Google. Może również skanować logi Google Workspace.

• Można znaleźć opis wszystkich zasad wykrywania w dokumentacji

• Zagrożenia kontenerów: Wyniki uzyskane po analizie niskopoziomowego zachowania jądra kontenerów.

• Zagrożenia niestandardowe: Zasady tworzone przez firmę.

Można znaleźć zalecane odpowiedzi na wykryte zagrożenia obu typów na https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeracja

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: Zaawansowany pakiet operacji bezpieczeństwa zaprojektowany, aby pomóc zespołom zwiększyć szybkość i skuteczność operacji bezpieczeństwa, w tym wykrywania zagrożeń, dochodzeń i reakcji.

• reCAPTCHA Enterprise: Usługa, która chroni strony internetowe przed oszustwami, takimi jak scraping, credential stuffing i ataki automatyczne, odróżniając użytkowników ludzkich od botów.

• Web Security Scanner: Zautomatyzowane narzędzie do skanowania bezpieczeństwa, które wykrywa podatności i typowe problemy z bezpieczeństwem w aplikacjach webowych hostowanych na Google Cloud lub innej usłudze webowej.

• Risk Manager: Narzędzie do zarządzania ryzykiem i zgodnością (GRC), które pomaga organizacjom ocenić, udokumentować i zrozumieć ich postawę ryzyka w Google Cloud.

• Binary Authorization: Kontrola bezpieczeństwa dla kontenerów, która zapewnia, że tylko zaufane obrazy kontenerów są wdrażane na klastrach Kubernetes Engine zgodnie z politykami ustalonymi przez przedsiębiorstwo.

• Advisory Notifications: Usługa, która dostarcza alerty i porady dotyczące potencjalnych problemów z bezpieczeństwem, podatności i zalecanych działań w celu utrzymania bezpieczeństwa zasobów.

• Access Approval: Funkcja, która pozwala organizacjom wymagać wyraźnej zgody przed tym, jak pracownicy Google mogą uzyskać dostęp do ich danych lub konfiguracji, zapewniając dodatkową warstwę kontroli i audytowalności.

• Managed Microsoft AD: Usługa oferująca zarządzany Microsoft Active Directory (AD), która pozwala użytkownikom korzystać z istniejących aplikacji i obciążeń zależnych od Microsoft AD na Google Cloud.

Data Protection

• Sensitive Data Protection: Narzędzia i praktyki mające na celu ochronę wrażliwych danych, takich jak informacje osobiste lub własność intelektualna, przed nieautoryzowanym dostępem lub ujawnieniem.

• Data Loss Prevention (DLP): Zestaw narzędzi i procesów używanych do identyfikacji, monitorowania i ochrony danych w użyciu, w ruchu i w spoczynku poprzez głęboką inspekcję treści i stosowanie kompleksowego zestawu zasad ochrony danych.

• Certificate Authority Service: Skalowalna i bezpieczna usługa, która upraszcza i automatyzuje zarządzanie, wdrażanie i odnawianie certyfikatów SSL/TLS dla usług wewnętrznych i zewnętrznych.

• Key Management: Usługa w chmurze, która pozwala zarządzać kluczami kryptograficznymi dla aplikacji, w tym tworzenie, import, rotację, użycie i niszczenie kluczy szyfrujących. Więcej informacji w:

• Certificate Manager: Usługa zarządzająca i wdrażająca certyfikaty SSL/TLS, zapewniająca bezpieczne i zaszyfrowane połączenia z usługami webowymi i aplikacjami.

• Secret Manager: Bezpieczny i wygodny system przechowywania kluczy API, haseł, certyfikatów i innych wrażliwych danych, który umożliwia łatwy i bezpieczny dostęp oraz zarządzanie tymi sekretami w aplikacjach. Więcej informacji w:

Zero Trust

• BeyondCorp Enterprise: Platforma bezpieczeństwa zero-trust, która umożliwia bezpieczny dostęp do wewnętrznych aplikacji bez potrzeby tradycyjnego VPN, polegając na weryfikacji zaufania użytkownika i urządzenia przed przyznaniem dostępu.

• Policy Troubleshooter: Narzędzie zaprojektowane, aby pomóc administratorom zrozumieć i rozwiązywać problemy z dostępem w ich organizacji, identyfikując, dlaczego użytkownik ma dostęp do określonych zasobów lub dlaczego dostęp został odmówiony, wspierając tym samym egzekwowanie polityk zero-trust.

• Identity-Aware Proxy (IAP): Usługa, która kontroluje dostęp do aplikacji w chmurze i VM-ów działających na Google Cloud, on-premises lub innych chmurach, na podstawie tożsamości i kontekstu żądania, a nie sieci, z której pochodzi żądanie.

• VPC Service Controls: Perimetry bezpieczeństwa, które zapewniają dodatkowe warstwy ochrony zasobów i usług hostowanych w Virtual Private Cloud (VPC) Google Cloud, zapobiegając wyciekom danych i zapewniając granularną kontrolę dostępu.

• Access Context Manager: Część BeyondCorp Enterprise Google Cloud, to narzędzie pomaga definiować i egzekwować szczegółowe polityki kontroli dostępu na podstawie tożsamości użytkownika i kontekstu jego żądania, takiego jak status bezpieczeństwa urządzenia, adres IP i inne.