Основна інформація

Безпека Google Cloud Platform (GCP) включає в себе комплексний набір інструментів та практик, спрямованих на забезпечення безпеки ресурсів та даних в середовищі Google Cloud, розділених на чотири основні розділи: Центр керування безпекою, Виявлення та Контроль, Захист даних та Нульовий довіряй.

Центр керування безпекою

Центр керування безпекою Google Cloud Platform (GCP) (SCC) є інструментом управління безпекою та ризиками для ресурсів GCP, який дозволяє організаціям отримати видимість та контроль над своїми хмарними активами. Він допомагає виявляти та реагувати на загрози, надаючи комплексну безпекову аналітику, виявлення неправильних налаштувань, забезпечуючи відповідність стандартам безпеки та інтегруючись з іншими інструментами безпеки для автоматизованого виявлення та реагування на загрози.

• Огляд: Панель для візуалізації загального огляду всіх результатів Центру керування безпекою.

• Загрози: [Потрібен преміум] Панель для візуалізації всіх виявлених загроз. Докладніше про загрози нижче

• Вразливості: Панель для візуалізації виявлених неправильних налаштувань в обліковому записі GCP.

• Відповідність: [Потрібен преміум] Цей розділ дозволяє перевірити ваше середовище GCP на відповідність кільком нормам відповідності (таким як PCI-DSS, NIST 800-53, CIS benchmarks...) в організації.

• Активи: Цей розділ показує всі використовувані активи, дуже корисно для системних адміністраторів (і можливо для атакування), щоб побачити, що працює на одній сторінці.

• Висновки: Це агрегує в таблицю висновки різних розділів безпеки GCP (не тільки Центру керування), щоб можна було легко візуалізувати висновки, які мають значення.

• Джерела: Показує узагальнення висновків всіх різних розділів безпеки GCP за розділом.

• Позиція: [Потрібен преміум] Позиція безпеки дозволяє визначати, оцінювати та контролювати безпеку середовища GCP. Вона працює шляхом створення політики, яка визначає обмеження або обмеження, які контролюють/моніторять ресурси в GCP. Є кілька попередньо визначених шаблонів позиції, які можна знайти за посиланням https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Загрози

З погляду атакуючого, це, ймовірно, найцікавіша функція, оскільки вона може виявити атакуючого. Однак слід зауважити, що ця функція вимагає Преміум-підписки (що означає, що компанія повинна буде платити більше), тому вона може навіть не бути увімкнена.

Існує 3 типи механізмів виявлення загроз:

• Загрози подій: Висновки, що створюються шляхом відповідності подій з Cloud Logging на основі правил, створених внутрішньо компанією Google. Також можна сканувати журнали Google Workspace.

• Можна знайти опис всіх правил виявлення в документації

• Загрози контейнерів: Висновки, що створюються після аналізу низькорівневої поведінки ядра контейнерів.

• Спеціальні загрози: Правила, створені компанією.

Можна знайти рекомендовані відповіді на виявлені загрози обох типів за посиланням https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Перелік

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Виявлення та контроль

• Chronicle SecOps: Розширений набір засобів операційної безпеки, призначений для допомоги командам збільшити швидкість та вплив операцій з безпеки, включаючи виявлення загроз, розслідування та реагування.

• reCAPTCHA Enterprise: Сервіс, який захищає веб-сайти від шахрайських дій, таких як парсинг, наповнення облікових записів та автоматизовані атаки, розрізняючи між людьми та ботами.

• Web Security Scanner: Автоматизований інструмент сканування безпеки, який виявляє вразливості та загальні проблеми безпеки в веб-додатках, розміщених на Google Cloud або іншому веб-сервісі.

• Risk Manager: Інструмент управління ризиками, відповідністю та контролем (GRC), який допомагає організаціям оцінювати, документувати та розуміти свою позицію ризику в Google Cloud.

• Binary Authorization: Засіб безпеки для контейнерів, який забезпечує розгортання тільки довірених образів контейнерів на кластерах Kubernetes Engine відповідно до політик, встановлених підприємством.

• Повідомлення про консультації: Сервіс, який надає сповіщення та консультації про потенційні проблеми безпеки, вразливості та рекомендовані дії для забезпечення безпеки ресурсів.

• Схвалення доступу: Функція, яка дозволяє організаціям вимагати явного схвалення перед тим, як співробітники Google матимуть доступ до їх даних або конфігурацій, забезпечуючи додатковий рівень контролю та аудиту.

• Managed Microsoft AD: Сервіс, що пропонує управління керованим службовим каталогом Microsoft Active Directory (AD), який дозволяє користувачам використовувати свої існуючі додатки та завдання, залежні від Microsoft AD, на Google Cloud.

Захист даних

• Захист від чутливих даних: Інструменти та практики, спрямовані на захист від чутливих даних, таких як особиста інформація або інтелектуальна власність, від несанкціонованого доступу або розголошення.

• Запобігання втраті даних (DLP): Набір інструментів та процесів, які використовуються для ідентифікації, моніторингу та захисту даних у використанні, у русі та у спокої шляхом глибокої перевірки вмісту та застосування комплексного набору правил захисту даних.

• Служба сертифікації авторитета: Масштабована та безпечна служба, яка спрощує та автоматизує управління, розгортання та поновленням сертифікатів SSL/TLS для внутрішніх та зовнішніх служб.

• Управління ключами: Хмарний сервіс, який дозволяє керувати криптографічними ключами для ваших додатків, включаючи створення, імпорт, обертання, використання та знищення ключів шифрування. Додаткова інформація в:

• Менеджер сертифікатів: Служба, яка керує та розгортає сертифікати SSL/TLS, забезпечуючи безпечні та зашифровані з'єднання з вашими веб-сервісами та додатками.

• Менеджер секретів: Безпечна та зручна система зберігання для ключів API, паролів, сертифікатів та інших чутливих даних, яка дозволяє легкий та безпечний доступ та управління цими секретами в додатках. Додаткова інформація в:

Нульовий довіра

• BeyondCorp Enterprise: Платформа безпеки нульового довіри, яка дозволяє безпечний доступ до внутрішніх додатків без потреби у традиційній VPN, покладаючись на перевірку довіри користувача та пристрою перед наданням доступу.

• Відладник політики: Інструмент, призначений для допомоги адміністраторам зрозуміти та вирішити проблеми доступу в їх організації, ідентифікуючи, чому користувач має доступ до певних ресурсів або чому доступ був відхилений, тим самим допомагаючи в здійсненні політик нульового довіри.

• Проксі з урахуванням ідентичності (IAP): Сервіс, який контролює доступ до хмарних додатків та віртуальних машин, що працюють на Google Cloud, на місцевих серверах або в інших хмарах, на основі ідентичності та контексту запиту, а не мережі, з якої походить запит.

• Контроли служби VPC: Безпечні периметри, які забезпечують додаткові рівні захисту для ресурсів та служб, розміщених у віртуальному приватному хмарі Google Cloud (VPC), запобігаючи витоку даних та забезпечуючи дрібнозерновий контроль доступу.

• Менеджер контексту доступу: Частина BeyondCorp Enterprise в Google Cloud, цей інструмент допомагає визначати та забезпечувати виконання політик дрібнозернового контролю доступу на основі ідентичності користувача та контексту їх запиту, таких як статус безпеки пристрою, IP-адреса та інше.