GCP - Security Enum

Основна інформація

Безпека Google Cloud Platform (GCP) охоплює комплексний набір інструментів та практик, призначених для забезпечення безпеки ресурсів та даних у середовищі Google Cloud, розділених на чотири основні розділи: Security Command Center, Detections and Controls, Data Protection та Zero Trust.

Security Command Center

Google Cloud Platform (GCP) Security Command Center (SCC) є інструментом управління безпекою та ризиками для ресурсів GCP, який дозволяє організаціям отримувати видимість та контроль над своїми хмарними активами. Він допомагає виявляти та реагувати на загрози, пропонуючи комплексну аналітику безпеки, виявляючи неправильні конфігурації, забезпечуючи відповідність стандартам безпеки та інтегруючись з іншими інструментами безпеки для автоматизованого виявлення та реагування на загрози.

• Огляд: Панель для візуалізації огляду всіх результатів Security Command Center.

• Загрози: [Потрібна преміум-версія] Панель для візуалізації всіх виявлених загроз. Дивіться більше про загрози нижче

• Вразливості: Панель для візуалізації знайдених неправильних конфігурацій в обліковому записі GCP.

• Відповідність: [Потрібна преміум-версія] Цей розділ дозволяє перевірити ваше середовище GCP на відповідність кільком перевіркам відповідності (таким як PCI-DSS, NIST 800-53, CIS benchmarks...) по всій організації.

• Активи: Цей розділ показує всі використовувані активи, дуже корисний для системних адміністраторів (і, можливо, для атакуючих), щоб побачити, що працює на одній сторінці.

• Знахідки: Це агрегує в таблиці знахідки з різних розділів безпеки GCP (не тільки Command Center), щоб легко візуалізувати важливі знахідки.

• Джерела: Показує резюме знахідок з усіх різних розділів безпеки GCP по розділах.

• Позиція: [Потрібна преміум-версія] Security Posture дозволяє визначати, оцінювати та контролювати безпеку середовища GCP. Це працює шляхом створення політики, яка визначає обмеження або обмеження, що контролюють/моніторять ресурси в GCP. Існує кілька попередньо визначених шаблонів позицій, які можна знайти на https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Загрози

З точки зору атакуючого, це, ймовірно, найцікавіша функція, оскільки вона може виявити атакуючого. Однак, зверніть увагу, що ця функція вимагає преміум-версії (що означає, що компанія повинна буде платити більше), тому вона може навіть не бути увімкнена.

Існує 3 типи механізмів виявлення загроз:

• Загрози подій: Знахідки, створені шляхом зіставлення подій з Cloud Logging на основі правил, створених внутрішньо Google. Він також може сканувати Google Workspace логи.

• Можна знайти опис усіх правил виявлення в документації

• Загрози контейнерів: Знахідки, створені після аналізу низькорівневої поведінки ядра контейнерів.

• Користувацькі загрози: Правила, створені компанією.

Можна знайти рекомендовані відповіді на виявлені загрози обох типів на https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Перерахування

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: Розширений набір інструментів для операцій безпеки, призначений для підвищення швидкості та ефективності операцій безпеки, включаючи виявлення загроз, розслідування та реагування.

• reCAPTCHA Enterprise: Сервіс, що захищає вебсайти від шахрайських дій, таких як скрапінг, підбір облікових даних та автоматизовані атаки, розрізняючи людських користувачів та ботів.

• Web Security Scanner: Автоматизований інструмент сканування безпеки, який виявляє вразливості та поширені проблеми безпеки у вебдодатках, розміщених на Google Cloud або іншому вебсервісі.

• Risk Manager: Інструмент управління ризиками та відповідністю (GRC), який допомагає організаціям оцінювати, документувати та розуміти їхню позицію щодо ризиків у Google Cloud.

• Binary Authorization: Контроль безпеки для контейнерів, який забезпечує розгортання лише довірених образів контейнерів на кластерах Kubernetes Engine відповідно до політик, встановлених підприємством.

• Advisory Notifications: Сервіс, що надає сповіщення та рекомендації щодо потенційних проблем безпеки, вразливостей та рекомендованих дій для забезпечення безпеки ресурсів.

• Access Approval: Функція, яка дозволяє організаціям вимагати явного схвалення перед тим, як співробітники Google зможуть отримати доступ до їхніх даних або конфігурацій, забезпечуючи додатковий рівень контролю та аудиту.

• Managed Microsoft AD: Сервіс, що пропонує керовану Microsoft Active Directory (AD), дозволяючи користувачам використовувати свої існуючі додатки та робочі навантаження, залежні від Microsoft AD, на Google Cloud.

Data Protection

• Sensitive Data Protection: Інструменти та практики, спрямовані на захист конфіденційних даних, таких як особиста інформація або інтелектуальна власність, від несанкціонованого доступу або розголошення.

• Data Loss Prevention (DLP): Набір інструментів та процесів, що використовуються для ідентифікації, моніторингу та захисту даних у використанні, русі та на зберіганні через глибоку інспекцію вмісту та застосування комплексного набору правил захисту даних.

• Certificate Authority Service: Масштабований та безпечний сервіс, що спрощує та автоматизує управління, розгортання та оновлення SSL/TLS сертифікатів для внутрішніх та зовнішніх сервісів.

• Key Management: Хмарний сервіс, що дозволяє керувати криптографічними ключами для ваших додатків, включаючи створення, імпорт, ротацію, використання та знищення ключів шифрування. Більше інформації в:

• Certificate Manager: Сервіс, що керує та розгортає SSL/TLS сертифікати, забезпечуючи безпечні та зашифровані з'єднання з вашими вебсервісами та додатками.

• Secret Manager: Безпечна та зручна система зберігання для API ключів, паролів, сертифікатів та інших конфіденційних даних, що дозволяє легко та безпечно отримувати доступ до цих секретів та керувати ними в додатках. Більше інформації в:

Zero Trust

• BeyondCorp Enterprise: Платформа безпеки з нульовою довірою, що дозволяє безпечний доступ до внутрішніх додатків без необхідності у традиційному VPN, покладаючись на перевірку довіри користувача та пристрою перед наданням доступу.

• Policy Troubleshooter: Інструмент, призначений для допомоги адміністраторам у розумінні та вирішенні проблем доступу в їхній організації, ідентифікуючи, чому користувач має доступ до певних ресурсів або чому доступ було відхилено, тим самим сприяючи впровадженню політик нульової довіри.

• Identity-Aware Proxy (IAP): Сервіс, що контролює доступ до хмарних додатків та віртуальних машин, що працюють на Google Cloud, локально або в інших хмарах, на основі ідентичності та контексту запиту, а не мережі, з якої походить запит.

• VPC Service Controls: Периметри безпеки, що забезпечують додаткові рівні захисту ресурсів та сервісів, розміщених у Virtual Private Cloud (VPC) Google Cloud, запобігаючи витоку даних та забезпечуючи детальний контроль доступу.

• Access Context Manager: Частина Google Cloud's BeyondCorp Enterprise, цей інструмент допомагає визначати та впроваджувати детальні політики контролю доступу на основі ідентичності користувача та контексту їхнього запиту, таких як статус безпеки пристрою, IP-адреса тощо.