GCP - Security Enum

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Podstawowe informacje

Google Cloud Platform (GCP) Security obejmuje kompleksowy zestaw narzędzi i praktyk zaprojektowanych w celu zapewnienia bezpieczeństwa zasobów i danych w środowisku Google Cloud, podzielony na cztery główne sekcje: Security Command Center, Detections and Controls, Data Protection i Zero Trust.

Security Command Center

Google Cloud Platform (GCP) Security Command Center (SCC) to narzędzie do zarządzania bezpieczeństwem i ryzykiem dla zasobów GCP, które umożliwia organizacjom uzyskanie wglądu i kontroli nad ich zasobami w chmurze. Pomaga wykrywać i reagować na zagrożenia, oferując kompleksową analizę bezpieczeństwa, identyfikując błędne konfiguracje, zapewniając zgodność z normami bezpieczeństwa oraz integrując się z innymi narzędziami bezpieczeństwa w celu automatycznego wykrywania i reagowania na zagrożenia.

  • Przegląd: Panel do wizualizacji przeglądu wszystkich wyników Security Command Center.
  • Zagrożenia: [Premium Required] Panel do wizualizacji wszystkich wykrytych zagrożeń. Sprawdź więcej o zagrożeniach poniżej
  • Vulnerabilities: Panel do wizualizacji znalezionych błędnych konfiguracji w koncie GCP.
  • Compliance: [Premium required] Ta sekcja pozwala na testowanie środowiska GCP pod kątem kilku kontroli zgodności (takich jak PCI-DSS, NIST 800-53, benchmarki CIS…) w organizacji.
  • Assets: Ta sekcja pokazuje wszystkie używane zasoby, bardzo przydatne dla administratorów systemów (a może i atakujących), aby zobaczyć, co działa na jednej stronie.
  • Findings: To agreguje w tabeli wyniki z różnych sekcji GCP Security (nie tylko Command Center), aby można było łatwo wizualizować istotne wyniki.
  • Sources: Pokazuje podsumowanie wyników ze wszystkich różnych sekcji bezpieczeństwa GCP według sekcji.
  • Posture: [Premium Required] Security Posture pozwala na definiowanie, ocenę i monitorowanie bezpieczeństwa środowiska GCP. Działa poprzez tworzenie polityki, która definiuje ograniczenia lub restrykcje, które kontrolują/monitorują zasoby w GCP. Istnieje kilka predefiniowanych szablonów postawy, które można znaleźć w https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Zagrożenia

Z perspektywy atakującego, to prawdopodobnie najciekawsza funkcja, ponieważ może wykryć atakującego. Należy jednak zauważyć, że ta funkcja wymaga Premium (co oznacza, że firma będzie musiała zapłacić więcej), więc może być nawet nieaktywna.

Istnieją 3 typy mechanizmów wykrywania zagrożeń:

  • Event Threats: Wyniki uzyskane poprzez dopasowanie zdarzeń z Cloud Logging na podstawie reguł stworzonych wewnętrznie przez Google. Może również skanować logi Google Workspace.
  • Możliwe jest znalezienie opisu wszystkich reguł wykrywania w dokumentacji
  • Container Threats: Wyniki uzyskane po analizie niskopoziomowego zachowania jądra kontenerów.
  • Custom Threats: Reguły stworzone przez firmę.

Możliwe jest znalezienie zalecanych odpowiedzi na wykryte zagrożenia obu typów w https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeracja

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

GCP - Security Post Exploitation

Detections and Controls

  • Chronicle SecOps: Zaawansowany zestaw operacji bezpieczeństwa zaprojektowany, aby pomóc zespołom zwiększyć ich szybkość i wpływ operacji bezpieczeństwa, w tym wykrywanie zagrożeń, dochodzenia i reakcje.
  • reCAPTCHA Enterprise: Usługa, która chroni strony internetowe przed oszukańczymi działaniami, takimi jak skanowanie, wstrzykiwanie danych uwierzytelniających i ataki automatyczne, rozróżniając użytkowników ludzkich i boty.
  • Web Security Scanner: Zautomatyzowane narzędzie skanowania bezpieczeństwa, które wykrywa luki i powszechne problemy bezpieczeństwa w aplikacjach internetowych hostowanych na Google Cloud lub innej usłudze internetowej.
  • Risk Manager: Narzędzie do zarządzania, ryzyka i zgodności (GRC), które pomaga organizacjom oceniać, dokumentować i rozumieć ich postawę ryzyka w Google Cloud.
  • Binary Authorization: Kontrola bezpieczeństwa dla kontenerów, która zapewnia, że tylko zaufane obrazy kontenerów są wdrażane na klastrach Kubernetes Engine zgodnie z politykami ustalonymi przez przedsiębiorstwo.
  • Advisory Notifications: Usługa, która dostarcza powiadomienia i porady dotyczące potencjalnych problemów bezpieczeństwa, luk i zalecanych działań w celu zabezpieczenia zasobów.
  • Access Approval: Funkcja, która pozwala organizacjom wymagać wyraźnej zgody przed tym, jak pracownicy Google mogą uzyskać dostęp do ich danych lub konfiguracji, zapewniając dodatkową warstwę kontroli i audytowalności.
  • Managed Microsoft AD: Usługa oferująca zarządzany Microsoft Active Directory (AD), która pozwala użytkownikom korzystać z istniejących aplikacji i obciążeń zależnych od Microsoft AD na Google Cloud.

Data Protection

  • Sensitive Data Protection: Narzędzia i praktyki mające na celu ochronę wrażliwych danych, takich jak informacje osobiste czy własność intelektualna, przed nieautoryzowanym dostępem lub ujawnieniem.
  • Data Loss Prevention (DLP): Zestaw narzędzi i procesów używanych do identyfikacji, monitorowania i ochrony danych w użyciu, w ruchu i w spoczynku poprzez głęboką inspekcję treści i stosowanie kompleksowego zestawu zasad ochrony danych.
  • Certificate Authority Service: Skalowalna i bezpieczna usługa, która upraszcza i automatyzuje zarządzanie, wdrażanie i odnawianie certyfikatów SSL/TLS dla usług wewnętrznych i zewnętrznych.
  • Key Management: Usługa w chmurze, która pozwala zarządzać kluczami kryptograficznymi dla aplikacji, w tym tworzeniem, importem, rotacją, używaniem i niszczeniem kluczy szyfrujących. Więcej informacji w:

GCP - KMS Enum

  • Certificate Manager: Usługa, która zarządza i wdraża certyfikaty SSL/TLS, zapewniając bezpieczne i szyfrowane połączenia z usługami internetowymi i aplikacjami.
  • Secret Manager: Bezpieczny i wygodny system przechowywania kluczy API, haseł, certyfikatów i innych wrażliwych danych, który umożliwia łatwy i bezpieczny dostęp oraz zarządzanie tymi sekretami w aplikacjach. Więcej informacji w:

GCP - Secrets Manager Enum

Zero Trust

  • BeyondCorp Enterprise: Platforma bezpieczeństwa zero-trust, która umożliwia bezpieczny dostęp do aplikacji wewnętrznych bez potrzeby tradycyjnego VPN, polegając na weryfikacji zaufania użytkownika i urządzenia przed przyznaniem dostępu.
  • Policy Troubleshooter: Narzędzie zaprojektowane, aby pomóc administratorom zrozumieć i rozwiązywać problemy z dostępem w ich organizacji, identyfikując, dlaczego użytkownik ma dostęp do określonych zasobów lub dlaczego dostęp został odmówiony, co wspiera egzekwowanie polityk zero-trust.
  • Identity-Aware Proxy (IAP): Usługa, która kontroluje dostęp do aplikacji w chmurze i VM działających na Google Cloud, w lokalizacji lub innych chmurach, na podstawie tożsamości i kontekstu żądania, a nie sieci, z której pochodzi żądanie.
  • VPC Service Controls: Perimetry bezpieczeństwa, które zapewniają dodatkowe warstwy ochrony dla zasobów i usług hostowanych w Wirtualnej Chmurze Prywatnej (VPC) Google Cloud, zapobiegając eksfiltracji danych i zapewniając szczegółową kontrolę dostępu.
  • Access Context Manager: Część Google Cloud’s BeyondCorp Enterprise, to narzędzie pomaga definiować i egzekwować szczegółowe zasady kontroli dostępu na podstawie tożsamości użytkownika i kontekstu jego żądania, takiego jak status bezpieczeństwa urządzenia, adres IP i inne.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks