GCP - Security Enum

Reading time: 7 minutes

Osnovne Informacije

Google Cloud Platform (GCP) bezbednost obuhvata sveobuhvatan skup alata i praksi dizajniranih da obezbede bezbednost resursa i podataka unutar Google Cloud okruženja, podeljen u četiri glavne sekcije: Security Command Center, Detections and Controls, Data Protection i Zero Trust.

Security Command Center

Google Cloud Platform (GCP) Security Command Center (SCC) je alat za upravljanje bezbednošću i rizikom za GCP resurse koji omogućava organizacijama da steknu uvid i kontrolu nad svojim cloud imovinom. Pomaže u otkrivanju i odgovaranju na pretnje nudeći sveobuhvatnu analitiku bezbednosti, identifikujući pogrešne konfiguracije, osiguravajući usaglašenost sa bezbednosnim standardima i integrišući se sa drugim bezbednosnim alatima za automatsko otkrivanje i odgovor na pretnje.

• Pregled: Panel za vizualizaciju pregleda svih rezultata Security Command Center-a.
• Pretnje: [Premium Required] Panel za vizualizaciju svih otkrivenih pretnji. Proverite više o Pretnjama ispod
• Ranljivosti: Panel za vizualizaciju pronađenih pogrešnih konfiguracija u GCP nalogu.
• Usaglašenost: [Premium required] Ova sekcija omogućava testiranje vašeg GCP okruženja prema nekoliko provere usaglašenosti (kao što su PCI-DSS, NIST 800-53, CIS benchmark...) preko organizacije.
• Imovina: Ova sekcija prikazuje svu imovinu koja se koristi, veoma korisno za sysadmins (i možda napadače) da vide šta se pokreće na jednoj stranici.
• Nalazi: Ova agregira u tabeli nalaze različitih sekcija GCP bezbednosti (ne samo Command Center) kako bi se lako vizualizovali nalazi koji su važni.
• Izvori: Prikazuje rezime nalaza svih različitih sekcija GCP bezbednosti po sekciji.
• Postura: [Premium Required] Security Posture omogućava definisanje, procenu i praćenje bezbednosti GCP okruženja. Radi tako što kreira politiku koja definiše ograničenja ili restrikcije koje kontrolišu/praćenje resursa u GCP. Postoji nekoliko unapred definisanih šablona posture koji se mogu naći na https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Pretnje

Iz perspektive napadača, ovo je verovatno najzanimljivija funkcija jer može otkriti napadača. Međutim, imajte na umu da ova funkcija zahteva Premium (što znači da će kompanija morati da plati više), tako da možda neće biti ni omogućena.

Postoje 3 tipa mehanizama za otkrivanje pretnji:

• Event Threats: Nalazi proizvedeni usklađivanjem događaja iz Cloud Logging na osnovu pravila koja je interno kreirao Google. Takođe može skenirati Google Workspace logove.
• Moguće je pronaći opis svih pravila otkrivanja u dokumentaciji
• Container Threats: Nalazi proizvedeni nakon analize niskonivoa ponašanja jezgra kontejnera.
• Custom Threats: Pravila koja kreira kompanija.

Moguće je pronaći preporučene odgovore na otkrivene pretnje oba tipa na https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeracija

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

GCP - Security Post Exploitation

Detections and Controls

• Chronicle SecOps: Napredni paket za operacije bezbednosti dizajniran da pomogne timovima da povećaju svoju brzinu i uticaj operacija bezbednosti, uključujući detekciju pretnji, istragu i odgovor.
• reCAPTCHA Enterprise: Usluga koja štiti veb sajtove od prevarantskih aktivnosti kao što su scraping, credential stuffing i automatski napadi razlikujući ljudske korisnike od botova.
• Web Security Scanner: Automatizovani alat za skeniranje bezbednosti koji otkriva ranjivosti i uobičajene bezbednosne probleme u veb aplikacijama hostovanim na Google Cloud-u ili drugoj veb usluzi.
• Risk Manager: Alat za upravljanje, rizik i usklađenost (GRC) koji pomaže organizacijama da procene, dokumentuju i razumeju svoj Google Cloud rizik.
• Binary Authorization: Kontrola bezbednosti za kontejnere koja osigurava da se samo pouzdane slike kontejnera implementiraju na Kubernetes Engine klastere prema politikama koje postavlja preduzeće.
• Advisory Notifications: Usluga koja pruža upozorenja i savete o potencijalnim bezbednosnim problemima, ranjivostima i preporučenim akcijama za očuvanje resursa.
• Access Approval: Funkcija koja omogućava organizacijama da zahtevaju eksplicitno odobrenje pre nego što Google zaposleni mogu pristupiti njihovim podacima ili konfiguracijama, pružajući dodatni sloj kontrole i revizibilnosti.
• Managed Microsoft AD: Usluga koja nudi upravljani Microsoft Active Directory (AD) koji omogućava korisnicima da koriste svoje postojeće Microsoft AD-zavisne aplikacije i radne opterećenja na Google Cloud-u.

Data Protection

• Sensitive Data Protection: Alati i prakse usmerene na zaštitu osetljivih podataka, kao što su lične informacije ili intelektualna svojina, od neovlašćenog pristupa ili izlaganja.
• Data Loss Prevention (DLP): Skup alata i procesa koji se koriste za identifikaciju, praćenje i zaštitu podataka u upotrebi, u pokretu i u mirovanju kroz duboku inspekciju sadržaja i primenu sveobuhvatnog skupa pravila zaštite podataka.
• Certificate Authority Service: Skalabilna i sigurna usluga koja pojednostavljuje i automatizuje upravljanje, implementaciju i obnovu SSL/TLS sertifikata za interne i eksterne usluge.
• Key Management: Usluga zasnovana na oblaku koja vam omogućava da upravljate kriptografskim ključevima za vaše aplikacije, uključujući kreiranje, uvoz, rotaciju, korišćenje i uništavanje ključeva za enkripciju. Više informacija u:

GCP - KMS Enum

• Certificate Manager: Usluga koja upravlja i implementira SSL/TLS sertifikate, osiguravajući sigurne i enkriptovane veze sa vašim veb uslugama i aplikacijama.
• Secret Manager: Siguran i praktičan sistem za skladištenje API ključeva, lozinki, sertifikata i drugih osetljivih podataka, koji omogućava lako i sigurno pristupanje i upravljanje ovim tajnama u aplikacijama. Više informacija u:

GCP - Secrets Manager Enum

Zero Trust

• BeyondCorp Enterprise: Platforma za bezbednost bez poverenja koja omogućava siguran pristup internim aplikacijama bez potrebe za tradicionalnim VPN-om, oslanjajući se na verifikaciju poverenja korisnika i uređaja pre odobravanja pristupa.
• Policy Troubleshooter: Alat dizajniran da pomogne administratorima da razumeju i reše probleme pristupa u svojoj organizaciji identifikujući zašto korisnik ima pristup određenim resursima ili zašto je pristup odbijen, čime se pomaže u sprovođenju politika bez poverenja.
• Identity-Aware Proxy (IAP): Usluga koja kontroliše pristup cloud aplikacijama i VM-ovima koji rade na Google Cloud-u, lokalno ili na drugim oblačnim platformama, na osnovu identiteta i konteksta zahteva, a ne prema mreži iz koje zahtev dolazi.
• VPC Service Controls: Bezbednosne granice koje pružaju dodatne slojeve zaštite resursima i uslugama hostovanim u Google Cloud-ovom Virtuelnom Privatnom Oblaku (VPC), sprečavajući exfiltraciju podataka i pružajući granularnu kontrolu pristupa.
• Access Context Manager: Deo Google Cloud-ovog BeyondCorp Enterprise, ovaj alat pomaže u definisanju i sprovođenju politika kontrole pristupa zasnovanih na identitetu korisnika i kontekstu njihovog zahteva, kao što su bezbednosni status uređaja, IP adresa i još mnogo toga.