GCP - Énumération de Sécurité

Reading time: 8 minutes

Informations de Base

La sécurité de Google Cloud Platform (GCP) englobe une suite complète d'outils et de pratiques conçues pour garantir la sécurité des ressources et des données au sein de l'environnement Google Cloud, divisée en quatre sections principales : Centre de Commande de Sécurité, Détections et Contrôles, Protection des Données et Zero Trust.

Centre de Commande de Sécurité

Le Centre de Commande de Sécurité (SCC) de Google Cloud Platform (GCP) est un outil de gestion de la sécurité et des risques pour les ressources GCP qui permet aux organisations d'obtenir une visibilité et un contrôle sur leurs actifs cloud. Il aide à détecter et répondre aux menaces en offrant des analyses de sécurité complètes, identifiant les erreurs de configuration, garantissant la conformité aux normes de sécurité, et s'intégrant à d'autres outils de sécurité pour la détection et la réponse automatisées aux menaces.

• Aperçu : Panneau pour visualiser un aperçu de tous les résultats du Centre de Commande de Sécurité.
• Menaces : [Premium Requis] Panneau pour visualiser toutes les menaces détectées. Consultez plus d'informations sur les Menaces ci-dessous
• Vulnérabilités : Panneau pour visualiser les erreurs de configuration trouvées dans le compte GCP.
• Conformité : [Premium requis] Cette section permet de tester votre environnement GCP contre plusieurs vérifications de conformité (telles que PCI-DSS, NIST 800-53, benchmarks CIS...) au sein de l'organisation.
• Actifs : Cette section montre tous les actifs utilisés, très utile pour les sysadmins (et peut-être les attaquants) pour voir ce qui fonctionne sur une seule page.
• Constatations : Cela agrège dans un tableau les constatations des différentes sections de la sécurité GCP (pas seulement le Centre de Commande) pour pouvoir visualiser facilement les constatations importantes.
• Sources : Montre un résumé des constatations de toutes les différentes sections de la sécurité GCP par section.
• Posture : [Premium Requis] La Posture de Sécurité permet de définir, évaluer et surveiller la sécurité de l'environnement GCP. Elle fonctionne en créant une politique qui définit des contraintes ou des restrictions qui contrôlent/surveillent les ressources dans GCP. Il existe plusieurs modèles de posture prédéfinis qui peuvent être trouvés dans https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Menaces

Du point de vue d'un attaquant, c'est probablement la fonctionnalité la plus intéressante car elle pourrait détecter l'attaquant. Cependant, notez que cette fonctionnalité nécessite un Premium (ce qui signifie que l'entreprise devra payer plus), donc elle pourrait même ne pas être activée.

Il existe 3 types de mécanismes de détection des menaces :

• Menaces d'Événements : Constatations produites par la correspondance d'événements provenant de Cloud Logging basés sur des règles créées en interne par Google. Il peut également analyser les journaux de Google Workspace.
• Il est possible de trouver la description de toutes les règles de détection dans la documentation
• Menaces de Conteneurs : Constatations produites après l'analyse du comportement de bas niveau du noyau des conteneurs.
• Menaces Personnalisées : Règles créées par l'entreprise.

Il est possible de trouver des réponses recommandées aux menaces détectées des deux types dans https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Énumération

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

GCP - Security Post Exploitation

Détections et Contrôles

• Chronicle SecOps : Une suite avancée d'opérations de sécurité conçue pour aider les équipes à augmenter leur rapidité et leur impact dans les opérations de sécurité, y compris la détection des menaces, l'investigation et la réponse.
• reCAPTCHA Enterprise : Un service qui protège les sites web contre les activités frauduleuses telles que le scraping, le credential stuffing et les attaques automatisées en distinguant les utilisateurs humains des bots.
• Web Security Scanner : Outil de scan de sécurité automatisé qui détecte les vulnérabilités et les problèmes de sécurité courants dans les applications web hébergées sur Google Cloud ou un autre service web.
• Risk Manager : Un outil de gouvernance, de risque et de conformité (GRC) qui aide les organisations à évaluer, documenter et comprendre leur posture de risque sur Google Cloud.
• Binary Authorization : Un contrôle de sécurité pour les conteneurs qui garantit que seules des images de conteneurs de confiance sont déployées sur les clusters Kubernetes Engine selon les politiques définies par l'entreprise.
• Advisory Notifications : Un service qui fournit des alertes et des avis sur les problèmes de sécurité potentiels, les vulnérabilités et les actions recommandées pour maintenir les ressources sécurisées.
• Access Approval : Une fonctionnalité qui permet aux organisations d'exiger une approbation explicite avant que les employés de Google puissent accéder à leurs données ou configurations, offrant une couche supplémentaire de contrôle et d'auditabilité.
• Managed Microsoft AD : Un service offrant un Active Directory (AD) Microsoft géré qui permet aux utilisateurs d'utiliser leurs applications et charges de travail dépendantes de Microsoft AD existantes sur Google Cloud.

Protection des Données

• Sensitive Data Protection : Outils et pratiques visant à protéger les données sensibles, telles que les informations personnelles ou la propriété intellectuelle, contre l'accès ou l'exposition non autorisés.
• Data Loss Prevention (DLP) : Un ensemble d'outils et de processus utilisés pour identifier, surveiller et protéger les données en cours d'utilisation, en mouvement et au repos grâce à une inspection approfondie du contenu et en appliquant un ensemble complet de règles de protection des données.
• Certificate Authority Service : Un service évolutif et sécurisé qui simplifie et automatise la gestion, le déploiement et le renouvellement des certificats SSL/TLS pour les services internes et externes.
• Key Management : Un service basé sur le cloud qui vous permet de gérer les clés cryptographiques pour vos applications, y compris la création, l'importation, la rotation, l'utilisation et la destruction des clés de chiffrement. Plus d'infos dans :

GCP - KMS Enum

• Certificate Manager : Un service qui gère et déploie des certificats SSL/TLS, garantissant des connexions sécurisées et chiffrées à vos services et applications web.
• Secret Manager : Un système de stockage sécurisé et pratique pour les clés API, les mots de passe, les certificats et d'autres données sensibles, qui permet un accès et une gestion faciles et sécurisés de ces secrets dans les applications. Plus d'infos dans :

GCP - Secrets Manager Enum

Zero Trust

• BeyondCorp Enterprise : Une plateforme de sécurité zero-trust qui permet un accès sécurisé aux applications internes sans avoir besoin d'un VPN traditionnel, en s'appuyant sur la vérification de la confiance de l'utilisateur et de l'appareil avant d'accorder l'accès.
• Policy Troubleshooter : Un outil conçu pour aider les administrateurs à comprendre et à résoudre les problèmes d'accès dans leur organisation en identifiant pourquoi un utilisateur a accès à certaines ressources ou pourquoi l'accès a été refusé, aidant ainsi à l'application des politiques zero-trust.
• Identity-Aware Proxy (IAP) : Un service qui contrôle l'accès aux applications cloud et aux VM fonctionnant sur Google Cloud, sur site ou sur d'autres clouds, en fonction de l'identité et du contexte de la demande plutôt que du réseau à partir duquel la demande provient.
• VPC Service Controls : Périmètres de sécurité qui fournissent des couches de protection supplémentaires aux ressources et services hébergés dans le Virtual Private Cloud (VPC) de Google Cloud, empêchant l'exfiltration de données et fournissant un contrôle d'accès granulaire.
• Access Context Manager : Partie de BeyondCorp Enterprise de Google Cloud, cet outil aide à définir et à appliquer des politiques de contrôle d'accès granulaires basées sur l'identité d'un utilisateur et le contexte de sa demande, tel que l'état de sécurité de l'appareil, l'adresse IP, et plus encore.