Менеджер секретів

Google Secret Manager - це рішення у вигляді сховища для зберігання паролів, ключів API, сертифікатів, файлів (максимум 64 КБ) та інших конфіденційних даних.

Секрет може мати різні версії, що зберігають різні дані.

Секрети за замовчуванням шифруються за допомогою керованого ключа Google, але можна вибрати ключ з KMS для шифрування секрету.

Щодо ротації, можна налаштувати повідомлення для надсилання до pub-sub через певну кількість днів, код, який слухає ці повідомлення, може повертати секрет.

Можна налаштувати день для автоматичного видалення, коли досягнутий вказаний день, секрет буде автоматично видалено.

Перелік

# First, list the entries
gcloud secrets list
gcloud secrets get-iam-policy <secret_name>

# Then, pull the clear-text of any version of any secret
gcloud secrets versions list <secret_name>
gcloud secrets versions access 1 --secret="<secret_name>"

Підвищення привілеїв

На наступній сторінці ви можете перевірити, як використовувати дозволи secretmanager для підвищення привілеїв.

Післяексплуатаційна діяльність

Постійність

Недопущення обертання

Атакувальник може оновити секрет, щоб зупинити обертання (таким чином, він не буде змінюватися), або робити обертання набагато рідше (таким чином, секрет не буде змінюватися) або опублікувати повідомлення про обертання в інший pub/sub, або змінити код обертання, який виконується (це відбувається в іншій службі, ймовірно, в Clound Function, тому атакувальник потребуватиме привілейований доступ до Cloud Function або будь-якої іншої служби)