GCP - Security Enum

Taarifa za Msingi

Google Cloud Platform (GCP) Security inajumuisha suite kamili ya zana na mbinu zilizoundwa kuhakikisha usalama wa rasilimali na data ndani ya mazingira ya Google Cloud, imegawanywa katika sehemu nne kuu: Security Command Center, Detections and Controls, Data Protection na Zero Trust.

Security Command Center

Google Cloud Platform (GCP) Security Command Center (SCC) ni chombo cha usalama na usimamizi wa hatari kwa rasilimali za GCP kinachowezesha mashirika kupata mwonekano na udhibiti wa mali zao za wingu. Inasaidia kugundua na kujibu vitisho kwa kutoa uchambuzi wa kina wa usalama, kutambua mipangilio isiyo sahihi, kuhakikisha uzingatiaji wa viwango vya usalama, na kuunganisha na zana nyingine za usalama kwa ajili ya kugundua na kujibu vitisho kiotomatiki.

• Muhtasari: Jopo la kuona muhtasari wa matokeo yote ya Security Command Center.

• Vitisho: [Inahitajika Premium] Jopo la kuona vitisho vyote vilivyogunduliwa. Angalia zaidi kuhusu Vitisho hapa chini

• Udhaifu: Jopo la kuona mipangilio isiyo sahihi iliyopatikana katika akaunti ya GCP.

• Uzingatiaji: [Inahitajika Premium] Sehemu hii inaruhusu kufanyia majaribio mazingira yako ya GCP dhidi ya ukaguzi kadhaa wa uzingatiaji (kama vile PCI-DSS, NIST 800-53, CIS benchmarks...) katika shirika.

• Mali: Sehemu hii inaonyesha mali zote zinazotumika, muhimu sana kwa wasimamizi wa mifumo (na labda mshambuliaji) kuona kinachoendeshwa kwenye ukurasa mmoja.

• Matokeo: Hii inaunganisha katika jedwali matokeo ya sehemu tofauti za Usalama wa GCP (sio tu Command Center) ili kuweza kuona kwa urahisi matokeo yanayojali.

• Vyanzo: Inaonyesha muhtasari wa matokeo ya sehemu zote tofauti za usalama wa GCP kwa sehemu.

• Msimamo: [Inahitajika Premium] Msimamo wa Usalama unaruhusu kufafanua, kutathmini, na kufuatilia usalama wa mazingira ya GCP. Inafanya kazi kwa kuunda sera inayofafanua vikwazo au vizuizi vinavyodhibiti/kuangalia rasilimali katika GCP. Kuna templeti kadhaa za msimamo zilizotangulia ambazo zinaweza kupatikana katika https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Vitisho

Kutoka kwa mtazamo wa mshambuliaji, hii labda ni kipengele cha kuvutia zaidi kwani inaweza kugundua mshambuliaji. Hata hivyo, kumbuka kuwa kipengele hiki kinahitaji Premium (ambacho kinamaanisha kuwa kampuni itahitaji kulipa zaidi), hivyo huenda hakijawezeshwa.

Kuna aina 3 za mifumo ya kugundua vitisho:

• Vitisho vya Tukio: Matokeo yanayotokana na kulinganisha matukio kutoka Cloud Logging kulingana na kanuni zilizoundwa ndani na Google. Inaweza pia kuchanganua Google Workspace logs.

• Inawezekana kupata maelezo ya kanuni zote za kugundua katika nyaraka

• Vitisho vya Kontena: Matokeo yanayotokana baada ya kuchanganua tabia ya kiwango cha chini ya kernel ya kontena.

• Vitisho Maalum: Kanuni zilizoundwa na kampuni.

Inawezekana kupata majibu yaliyopendekezwa kwa vitisho vilivyogunduliwa vya aina zote mbili katika https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeration

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: Suite ya juu ya operesheni za usalama iliyoundwa kusaidia timu kuongeza kasi na athari ya operesheni za usalama, ikijumuisha kugundua vitisho, uchunguzi, na majibu.

• reCAPTCHA Enterprise: Huduma inayolinda tovuti dhidi ya shughuli za ulaghai kama scraping, credential stuffing, na mashambulizi ya kiotomatiki kwa kutofautisha kati ya watumiaji wa binadamu na bots.

• Web Security Scanner: Chombo cha kiotomatiki cha kuchanganua usalama kinachogundua udhaifu na masuala ya kawaida ya usalama katika programu za wavuti zinazohifadhiwa kwenye Google Cloud au huduma nyingine ya wavuti.

• Risk Manager: Chombo cha utawala, hatari, na uzingatiaji (GRC) kinachosaidia mashirika kutathmini, kuandika, na kuelewa hali yao ya hatari ya Google Cloud.

• Binary Authorization: Udhibiti wa usalama kwa kontena unaohakikisha picha za kontena zilizoaminika pekee ndizo zinazopelekwa kwenye makundi ya Kubernetes Engine kulingana na sera zilizowekwa na shirika.

• Advisory Notifications: Huduma inayotoa arifa na ushauri kuhusu masuala ya usalama yanayoweza kutokea, udhaifu, na hatua zinazopendekezwa ili kuweka rasilimali salama.

• Access Approval: Kipengele kinachoruhusu mashirika kuhitaji idhini wazi kabla ya wafanyakazi wa Google kupata data au usanidi wao, ikitoa safu ya ziada ya udhibiti na ukaguzi.

• Managed Microsoft AD: Huduma inayotoa Microsoft Active Directory (AD) iliyosimamiwa inayoruhusu watumiaji kutumia programu na mizigo yao inayotegemea Microsoft AD kwenye Google Cloud.

Data Protection

• Sensitive Data Protection: Vifaa na mbinu zinazolenga kulinda data nyeti, kama taarifa za kibinafsi au mali miliki, dhidi ya ufikiaji usioidhinishwa au kufichuliwa.

• Data Loss Prevention (DLP): Seti ya zana na michakato inayotumika kutambua, kufuatilia, na kulinda data inayotumika, inayosafirishwa, na iliyohifadhiwa kupitia ukaguzi wa kina wa maudhui na kwa kutumia seti kamili ya sheria za ulinzi wa data.

• Certificate Authority Service: Huduma inayoweza kupanuka na salama inayorahisisha na kuotomatiki usimamizi, upelekaji, na upyaishaji wa vyeti vya SSL/TLS kwa huduma za ndani na za nje.

• Key Management: Huduma inayotegemea wingu inayokuruhusu kusimamia funguo za kriptografia kwa programu zako, ikijumuisha uundaji, uingizaji, mzunguko, matumizi, na uharibifu wa funguo za usimbaji. Maelezo zaidi katika:

• Certificate Manager: Huduma inayosimamia na kupeleka vyeti vya SSL/TLS, kuhakikisha miunganisho salama na iliyosimbwa kwa programu na huduma zako za wavuti.

• Secret Manager: Mfumo salama na rahisi wa kuhifadhi funguo za API, nywila, vyeti, na data nyingine nyeti, unaoruhusu ufikiaji na usimamizi rahisi na salama wa siri hizi katika programu. Maelezo zaidi katika:

Zero Trust

• BeyondCorp Enterprise: Jukwaa la usalama la zero-trust linalowezesha ufikiaji salama wa programu za ndani bila hitaji la VPN ya jadi, kwa kutegemea uthibitishaji wa uaminifu wa mtumiaji na kifaa kabla ya kutoa ufikiaji.

• Policy Troubleshooter: Chombo kilichoundwa kusaidia wasimamizi kuelewa na kutatua masuala ya ufikiaji katika shirika lao kwa kutambua kwa nini mtumiaji ana ufikiaji wa rasilimali fulani au kwa nini ufikiaji ulikataliwa, hivyo kusaidia katika utekelezaji wa sera za zero-trust.

• Identity-Aware Proxy (IAP): Huduma inayodhibiti ufikiaji wa programu za wingu na VMs zinazoendesha kwenye Google Cloud, kwenye-premises, au mawingu mengine, kulingana na utambulisho na muktadha wa ombi badala ya mtandao ambao ombi linatoka.

• VPC Service Controls: Mipaka ya usalama inayotoa safu za ziada za ulinzi kwa rasilimali na huduma zinazohifadhiwa katika Virtual Private Cloud (VPC) ya Google Cloud, kuzuia uhamishaji wa data na kutoa udhibiti wa ufikiaji wa kina.

• Access Context Manager: Sehemu ya BeyondCorp Enterprise ya Google Cloud, chombo hiki husaidia kufafanua na kutekeleza sera za udhibiti wa ufikiaji wa kina kulingana na utambulisho wa mtumiaji na muktadha wa ombi lao, kama hali ya usalama wa kifaa, anwani ya IP, na zaidi.