GCP - セキュリティ列挙

Reading time: 12 minutes

基本情報

Google Cloud Platform (GCP) セキュリティは、Google Cloud 環境内のリソースとデータのセキュリティを確保するために設計された包括的なツールと実践のスイートを含み、主に4つのセクションに分かれています: セキュリティコマンドセンター、検出と制御、データ保護、ゼロトラスト。

セキュリティコマンドセンター

Google Cloud Platform (GCP) セキュリティコマンドセンター (SCC) は、GCPリソースのためのセキュリティおよびリスク管理ツールであり、組織がクラウド資産を可視化し、制御することを可能にします。これは、包括的なセキュリティ分析を提供し、脅威を検出し対応するのに役立ち、誤設定を特定し、セキュリティ基準への準拠を確保し、他のセキュリティツールと統合して自動化された脅威検出と対応を行います。

• 概要: セキュリティコマンドセンターのすべての結果の概要を可視化するパネル。
• 脅威: [プレミアム必要] すべての検出された脅威を可視化するパネル。脅威についての詳細は下記を確認してください。
• 脆弱性: GCPアカウント内の誤設定を可視化するパネル。
• コンプライアンス: [プレミアム必要] このセクションでは、組織に対していくつかのコンプライアンスチェック（PCI-DSS、NIST 800-53、CISベンチマークなど）に対してGCP環境をテストすることができます。
• 資産: このセクションは使用されているすべての資産を表示し、システム管理者（おそらく攻撃者）にとって、単一のページで何が稼働しているかを確認するのに非常に便利です。
• 発見: これはGCPセキュリティの異なるセクション（コマンドセンターだけでなく）の発見をテーブルに集約し、重要な発見を簡単に可視化できるようにします。
• ソース: GCPセキュリティのすべての異なるセクションの発見の概要を表示します。
• 姿勢: [プレミアム必要] セキュリティ姿勢は、GCP環境のセキュリティを定義、評価、監視することを可能にします。これは、GCP内のリソースを制御/監視する制約や制限を定義するポリシーを作成することによって機能します。 https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy にあるいくつかの事前定義された姿勢テンプレートがあります。

脅威

攻撃者の視点から見ると、これはおそらく攻撃者を検出できる最も興味深い機能です。ただし、この機能はプレミアムを必要とするため（つまり、企業は追加料金を支払う必要があります）、有効になっていない可能性もあります。

脅威検出メカニズムには3種類あります：

• イベント脅威: Googleが内部で作成したルールに基づいてCloud Loggingからのイベントを照合することによって生成された発見。Google Workspaceログもスキャンできます。
• すべての検出ルールの説明はドキュメントにあります
• コンテナ脅威: コンテナのカーネルの低レベルの動作を分析した後に生成された発見。
• カスタム脅威: 企業によって作成されたルール。

両方のタイプの検出された脅威に対する推奨される対応策は、https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response で見つけることができます。

列挙

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

ポストエクスプロイテーション

GCP - Security Post Exploitation

検出と制御

• Chronicle SecOps: 脅威検出、調査、応答を含むセキュリティオペレーションの速度と影響を高めるためにチームを支援するために設計された高度なセキュリティオペレーションスイート。
• reCAPTCHA Enterprise: 人間のユーザーとボットを区別することによって、スクレイピング、資格情報の詰め込み、自動攻撃などの不正行為からウェブサイトを保護するサービス。
• Web Security Scanner: Google Cloudまたは他のウェブサービスでホストされているウェブアプリケーションの脆弱性や一般的なセキュリティ問題を検出する自動セキュリティスキャンツール。
• Risk Manager: 組織がGoogle Cloudのリスク姿勢を評価、文書化、理解するのを助けるガバナンス、リスク、コンプライアンス（GRC）ツール。
• Binary Authorization: エンタープライズによって設定されたポリシーに従って、信頼されたコンテナイメージのみがKubernetes Engineクラスターにデプロイされることを保証するコンテナ用のセキュリティ制御。
• Advisory Notifications: 潜在的なセキュリティ問題、脆弱性、およびリソースを安全に保つための推奨アクションに関するアラートと通知を提供するサービス。
• Access Approval: Googleの従業員がデータや設定にアクセスする前に明示的な承認を要求することを組織が可能にする機能で、追加の制御と監査可能性を提供します。
• Managed Microsoft AD: ユーザーがGoogle Cloud上で既存のMicrosoft AD依存のアプリケーションやワークロードを使用できるようにする管理されたMicrosoft Active Directory（AD）を提供するサービス。

データ保護

• Sensitive Data Protection: 個人情報や知的財産などの機密データを不正アクセスや露出から保護することを目的としたツールと実践。
• Data Loss Prevention (DLP): 使用中、移動中、静止中のデータを特定、監視、保護するために使用されるツールとプロセスのセットで、深いコンテンツ検査と包括的なデータ保護ルールの適用を通じて行われます。
• Certificate Authority Service: 内部および外部サービスのSSL/TLS証明書の管理、デプロイ、および更新を簡素化し、自動化するスケーラブルで安全なサービス。
• Key Management: アプリケーションの暗号鍵を管理するためのクラウドベースのサービスで、暗号化鍵の作成、インポート、ローテーション、使用、および破棄を含みます。詳細は以下を参照してください：

GCP - KMS Enum

• Certificate Manager: SSL/TLS証明書を管理およびデプロイし、ウェブサービスやアプリケーションへの安全で暗号化された接続を確保するサービス。
• Secret Manager: APIキー、パスワード、証明書、およびその他の機密データのための安全で便利なストレージシステムで、これらの秘密の簡単で安全なアクセスと管理を可能にします。詳細は以下を参照してください：

GCP - Secrets Manager Enum

ゼロトラスト

• BeyondCorp Enterprise: 従来のVPNを必要とせず、ユーザーとデバイスの信頼性の検証に基づいて内部アプリケーションへの安全なアクセスを可能にするゼロトラストセキュリティプラットフォーム。
• Policy Troubleshooter: 管理者が組織内のアクセス問題を理解し解決するのを助けるために設計されたツールで、ユーザーが特定のリソースにアクセスできる理由やアクセスが拒否された理由を特定し、ゼロトラストポリシーの施行を支援します。
• Identity-Aware Proxy (IAP): Google Cloud、オンプレミス、または他のクラウド上で実行されているクラウドアプリケーションやVMへのアクセスを制御するサービスで、リクエストの発信元のネットワークではなく、ユーザーのアイデンティティとリクエストのコンテキストに基づいています。
• VPC Service Controls: Google CloudのVirtual Private Cloud（VPC）でホストされているリソースやサービスに追加の保護層を提供し、データの流出を防ぎ、詳細なアクセス制御を提供するセキュリティ境界。
• Access Context Manager: Google CloudのBeyondCorp Enterpriseの一部で、このツールはユーザーのアイデンティティとリクエストのコンテキスト（デバイスのセキュリティステータス、IPアドレスなど）に基づいて詳細なアクセス制御ポリシーを定義し施行するのを助けます。