GCP - Security Enum

Reading time: 8 minutes

Basic Information

Google Cloud Platform (GCP) सुरक्षा में संसाधनों और डेटा की सुरक्षा सुनिश्चित करने के लिए डिज़ाइन किए गए उपकरणों और प्रथाओं का एक व्यापक सेट शामिल है, जिसे चार मुख्य भागों में विभाजित किया गया है: सुरक्षा कमांड सेंटर, पहचान और नियंत्रण, डेटा सुरक्षा और शून्य विश्वास।

Security Command Center

Google Cloud Platform (GCP) सुरक्षा कमांड सेंटर (SCC) एक सुरक्षा और जोखिम प्रबंधन उपकरण है जो संगठनों को उनके क्लाउड संपत्तियों पर दृश्यता और नियंत्रण प्राप्त करने में सक्षम बनाता है। यह खतरों का पता लगाने और प्रतिक्रिया देने में मदद करता है, व्यापक सुरक्षा विश्लेषण प्रदान करता है, गलत कॉन्फ़िगरेशन की पहचान करता है, सुरक्षा मानकों के साथ अनुपालन सुनिश्चित करता है, और स्वचालित खतरे की पहचान और प्रतिक्रिया के लिए अन्य सुरक्षा उपकरणों के साथ एकीकृत होता है।

• Overview: सभी सुरक्षा कमांड सेंटर के परिणामों का सारांश देखने के लिए पैनल।
• Threats: [Premium Required] सभी पता लगाए गए खतरों को देखने के लिए पैनल। नीचे खतरों के बारे में अधिक जानकारी देखें
• Vulnerabilities: GCP खाते में पाई गई गलत कॉन्फ़िगरेशन को देखने के लिए पैनल।
• Compliance: [Premium required] यह अनुभाग आपके GCP वातावरण का परीक्षण करने की अनुमति देता है (जैसे PCI-DSS, NIST 800-53, CIS बेंचमार्क...) संगठन के खिलाफ।
• Assets: यह अनुभाग सभी उपयोग किए जा रहे संपत्तियों को दिखाता है, जो sysadmins (और शायद हमलावर) के लिए एक ही पृष्ठ पर चल रहे संसाधनों को देखने के लिए बहुत उपयोगी है।
• Findings: यह GCP सुरक्षा के विभिन्न अनुभागों (केवल कमांड सेंटर नहीं) के निष्कर्षों को एक तालिका में संकलित करता है ताकि महत्वपूर्ण निष्कर्षों को आसानी से देखा जा सके।
• Sources: GCP सुरक्षा के सभी विभिन्न अनुभागों के निष्कर्षों का सारांश दिखाता है प्रत्येक अनुभाग द्वारा।
• Posture: [Premium Required] सुरक्षा स्थिति GCP वातावरण की सुरक्षा को परिभाषित, आकलन और निगरानी करने की अनुमति देती है। यह नीति बनाने के द्वारा काम करता है जो GCP में संसाधनों को नियंत्रित/निगरानी करने के लिए प्रतिबंध या सीमाएँ परिभाषित करता है। कई पूर्व-निर्धारित स्थिति टेम्पलेट हैं जो https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy पर पाए जा सकते हैं।

Threats

एक हमलावर के दृष्टिकोण से, यह शायद सबसे दिलचस्प विशेषता है क्योंकि यह हमलावर का पता लगा सकती है। हालाँकि, ध्यान दें कि इस विशेषता के लिए Premium की आवश्यकता होती है (जिसका अर्थ है कि कंपनी को अधिक भुगतान करना होगा), इसलिए यह शायद सक्षम भी न हो।

खतरे की पहचान के 3 प्रकार के तंत्र हैं:

• Event Threats: Cloud Logging से घटनाओं का मिलान करके उत्पन्न निष्कर्ष, जो Google द्वारा आंतरिक रूप से निर्मित नियमों के आधार पर होते हैं। यह Google Workspace लॉग को भी स्कैन कर सकता है।
• सभी पहचान नियमों का विवरण दस्तावेज़ों में पाया जा सकता है
• Container Threats: कंटेनरों के कर्नेल के निम्न-स्तरीय व्यवहार का विश्लेषण करने के बाद उत्पन्न निष्कर्ष।
• Custom Threats: कंपनी द्वारा बनाए गए नियम।

दोनों प्रकार के पहचाने गए खतरों के लिए अनुशंसित प्रतिक्रियाएँ https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response में पाई जा सकती हैं।

Enumeration

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

पोस्ट एक्सप्लोइटेशन

GCP - Security Post Exploitation

डिटेक्शन और नियंत्रण

• Chronicle SecOps: एक उन्नत सुरक्षा संचालन सूट जो टीमों को सुरक्षा संचालन की गति और प्रभाव को बढ़ाने में मदद करता है, जिसमें खतरे की पहचान, जांच और प्रतिक्रिया शामिल है।
• reCAPTCHA Enterprise: एक सेवा जो वेबसाइटों को धोखाधड़ी गतिविधियों जैसे स्क्रैपिंग, क्रेडेंशियल स्टफिंग, और स्वचालित हमलों से बचाती है, मानव उपयोगकर्ताओं और बॉट्स के बीच अंतर करके।
• Web Security Scanner: एक स्वचालित सुरक्षा स्कैनिंग उपकरण जो Google Cloud या किसी अन्य वेब सेवा पर होस्ट की गई वेब अनुप्रयोगों में कमजोरियों और सामान्य सुरक्षा मुद्दों का पता लगाता है।
• Risk Manager: एक शासन, जोखिम, और अनुपालन (GRC) उपकरण जो संगठनों को उनके Google Cloud जोखिम स्थिति का आकलन, दस्तावेज़ और समझने में मदद करता है।
• Binary Authorization: कंटेनरों के लिए एक सुरक्षा नियंत्रण जो सुनिश्चित करता है कि केवल विश्वसनीय कंटेनर छवियाँ Kubernetes Engine क्लस्टरों पर उन नीतियों के अनुसार तैनात की जाती हैं जो उद्यम द्वारा निर्धारित की गई हैं।
• Advisory Notifications: एक सेवा जो संभावित सुरक्षा मुद्दों, कमजोरियों, और संसाधनों को सुरक्षित रखने के लिए अनुशंसित कार्यों के बारे में अलर्ट और सलाह प्रदान करती है।
• Access Approval: एक विशेषता जो संगठनों को यह आवश्यक बनाने की अनुमति देती है कि Google कर्मचारी उनके डेटा या कॉन्फ़िगरेशन तक पहुँचने से पहले स्पष्ट अनुमोदन प्राप्त करें, जिससे नियंत्रण और ऑडिट करने की एक अतिरिक्त परत मिलती है।
• Managed Microsoft AD: एक सेवा जो प्रबंधित Microsoft Active Directory (AD) की पेशकश करती है, जो उपयोगकर्ताओं को Google Cloud पर उनके मौजूदा Microsoft AD-निर्भर ऐप्स और कार्यभार का उपयोग करने की अनुमति देती है।

डेटा सुरक्षा

• Sensitive Data Protection: संवेदनशील डेटा, जैसे व्यक्तिगत जानकारी या बौद्धिक संपत्ति, को अनधिकृत पहुँच या एक्सपोज़र से सुरक्षित रखने के लिए उपकरण और प्रथाएँ।
• Data Loss Prevention (DLP): एक सेट उपकरण और प्रक्रियाएँ जो उपयोग में, गति में, और विश्राम में डेटा की पहचान, निगरानी, और सुरक्षा के लिए गहन सामग्री निरीक्षण और डेटा सुरक्षा नियमों के एक व्यापक सेट को लागू करती हैं।
• Certificate Authority Service: एक स्केलेबल और सुरक्षित सेवा जो आंतरिक और बाहरी सेवाओं के लिए SSL/TLS प्रमाणपत्रों के प्रबंधन, तैनाती, और नवीनीकरण को सरल और स्वचालित करती है।
• Key Management: एक क्लाउड-आधारित सेवा जो आपको अपने अनुप्रयोगों के लिए क्रिप्टोग्राफिक कुंजियों का प्रबंधन करने की अनुमति देती है, जिसमें एन्क्रिप्शन कुंजियों का निर्माण, आयात, घुमाव, उपयोग, और विनाश शामिल है। अधिक जानकारी के लिए:

GCP - KMS Enum

• Certificate Manager: एक सेवा जो SSL/TLS प्रमाणपत्रों का प्रबंधन और तैनाती करती है, आपके वेब सेवाओं और अनुप्रयोगों के लिए सुरक्षित और एन्क्रिप्टेड कनेक्शन सुनिश्चित करती है।
• Secret Manager: API कुंजियों, पासवर्ड, प्रमाणपत्र, और अन्य संवेदनशील डेटा के लिए एक सुरक्षित और सुविधाजनक भंडारण प्रणाली, जो अनुप्रयोगों में इन रहस्यों की आसान और सुरक्षित पहुँच और प्रबंधन की अनुमति देती है। अधिक जानकारी के लिए:

GCP - Secrets Manager Enum

जीरो ट्रस्ट

• BeyondCorp Enterprise: एक जीरो-ट्रस्ट सुरक्षा प्लेटफ़ॉर्म जो पारंपरिक VPN की आवश्यकता के बिना आंतरिक अनुप्रयोगों तक सुरक्षित पहुँच सक्षम करता है, उपयोगकर्ता और डिवाइस के विश्वास की पुष्टि पर निर्भर करते हुए।
• Policy Troubleshooter: एक उपकरण जो प्रशासकों को उनकी संगठन में पहुँच मुद्दों को समझने और हल करने में मदद करने के लिए डिज़ाइन किया गया है, यह पहचानने के लिए कि किसी उपयोगकर्ता को कुछ संसाधनों तक पहुँच क्यों है या क्यों पहुँच अस्वीकृत की गई, इस प्रकार जीरो-ट्रस्ट नीतियों के प्रवर्तन में सहायता करता है।
• Identity-Aware Proxy (IAP): एक सेवा जो Google Cloud, ऑन-प्रिमाइसेस, या अन्य क्लाउड पर चलने वाले क्लाउड अनुप्रयोगों और VMs तक पहुँच को नियंत्रित करती है, अनुरोध के नेटवर्क के बजाय उपयोगकर्ता की पहचान और अनुरोध के संदर्भ के आधार पर।
• VPC Service Controls: सुरक्षा परिधियाँ जो Google Cloud के वर्चुअल प्राइवेट क्लाउड (VPC) में होस्ट की गई संसाधनों और सेवाओं को अतिरिक्त सुरक्षा परतें प्रदान करती हैं, डेटा निकासी को रोकती हैं और बारीक पहुँच नियंत्रण प्रदान करती हैं।
• Access Context Manager: Google Cloud के BeyondCorp Enterprise का एक हिस्सा, यह उपकरण उपयोगकर्ता की पहचान और उनके अनुरोध के संदर्भ के आधार पर बारीक पहुँच नियंत्रण नीतियों को परिभाषित और लागू करने में मदद करता है, जैसे डिवाइस सुरक्षा स्थिति, IP पता, और अधिक।