GCP - Usalama Enum

Reading time: 7 minutes

Taarifa za Msingi

Google Cloud Platform (GCP) Usalama unajumuisha seti kamili ya zana na mbinu zilizoundwa kuhakikisha usalama wa rasilimali na data ndani ya mazingira ya Google Cloud, iliyogawanywa katika sehemu kuu nne: Kituo cha Amri za Usalama, Ugunduzi na Udhibiti, Ulinzi wa Data na Zero Trust.

Kituo cha Amri za Usalama

Kituo cha Amri za Usalama cha Google Cloud Platform (GCP) ni chombo cha usalama na usimamizi wa hatari kwa rasilimali za GCP ambacho kinawawezesha mashirika kupata mwonekano na udhibiti wa mali zao za wingu. Kinasaidia gundua na kujibu vitisho kwa kutoa uchanganuzi wa usalama wa kina, kubaini makosa ya usanidi, kuhakikisha kuzingatia viwango vya usalama, na kuunganishwa na zana nyingine za usalama kwa ajili ya ugunduzi wa vitisho na majibu ya kiotomatiki.

• Muonekano: Paneli ya kuonyesha muonekano wa matokeo yote ya Kituo cha Amri za Usalama.
• Vitisho: [Premium Required] Paneli ya kuonyesha vitisho vilivyogunduliwa. Angalia zaidi kuhusu Vitisho hapa chini
• Uthibitisho: Paneli ya kuonyesha makosa ya usanidi yaliyopatikana katika akaunti ya GCP.
• Kuzingatia: [Premium required] Sehemu hii inaruhusu kujaribu mazingira yako ya GCP dhidi ya ukaguzi mbalimbali wa uzingatiaji (kama vile PCI-DSS, NIST 800-53, viwango vya CIS...) juu ya shirika.
• Mali: Sehemu hii inaonyesha mali zote zinazotumika, muhimu sana kwa wasimamizi wa mifumo (na labda washambuliaji) kuona kinachoendelea katika ukurasa mmoja.
• Matokeo: Hii inaunganisha katika meza matokeo ya sehemu tofauti za Usalama wa GCP (sio tu Kituo cha Amri) ili kuwa na uwezo wa kuona kwa urahisi matokeo muhimu.
• Vyanzo: Inaonyesha muhtasari wa matokeo ya sehemu zote tofauti za usalama wa GCP kwa sehemu.
• Msimamo: [Premium Required] Msimamo wa Usalama unaruhusu kufafanua, kutathmini, na kufuatilia usalama wa mazingira ya GCP. Inafanya kazi kwa kuunda sera inayofafanua vizuizi au vizuizi vinavyodhibiti/kufuatilia rasilimali katika GCP. Kuna templeti kadhaa za msimamo zilizowekwa tayari ambazo zinaweza kupatikana katika https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Vitisho

Kutoka kwa mtazamo wa mshambuliaji, hii huenda ikawa kipengele cha kuvutia zaidi kwani inaweza kugundua mshambuliaji. Hata hivyo, kumbuka kwamba kipengele hiki kinahitaji Premium (ambacho kinamaanisha kwamba kampuni itahitaji kulipa zaidi), hivyo huenda kisijawahi kuwezeshwa.

Kuna aina 3 za mitambo ya ugunduzi wa vitisho:

• Vitisho vya Matukio: Matokeo yanayozalishwa kwa kulinganisha matukio kutoka Cloud Logging kulingana na sheria zilizoundwa ndani na Google. Inaweza pia kuchanganua Google Workspace logs.
• Inawezekana kupata maelezo ya sheria zote za ugunduzi katika nyaraka
• Vitisho vya Kontena: Matokeo yanayozalishwa baada ya kuchambua tabia ya kiwango cha chini ya kernel ya kontena.
• Vitisho vya Kawaida: Sheria zilizoundwa na kampuni.

Inawezekana kupata majibu yaliyopendekezwa kwa vitisho vilivyogunduliwa vya aina zote mbili katika https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Uhesabuji

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

GCP - Security Post Exploitation

Detections and Controls

• Chronicle SecOps: Suite ya hali ya juu ya operesheni za usalama iliyoundwa kusaidia timu kuongeza kasi na athari za operesheni za usalama, ikiwa ni pamoja na ugunduzi wa vitisho, uchunguzi, na majibu.
• reCAPTCHA Enterprise: Huduma inayolinda tovuti kutokana na shughuli za udanganyifu kama vile scraping, credential stuffing, na mashambulizi ya kiotomatiki kwa kutofautisha kati ya watumiaji wa kibinadamu na bots.
• Web Security Scanner: Chombo cha kiotomatiki cha skanning ya usalama kinachogundua udhaifu na masuala ya kawaida ya usalama katika programu za wavuti zinazohostiwa kwenye Google Cloud au huduma nyingine za wavuti.
• Risk Manager: Chombo cha utawala, hatari, na kufuata (GRC) kinachosaidia mashirika kutathmini, kuandika, na kuelewa hali yao ya hatari ya Google Cloud.
• Binary Authorization: Udhibiti wa usalama kwa kontena ambao unahakikisha picha za kontena zinazotegemewa pekee ndizo zinazopelekwa kwenye vikundi vya Kubernetes Engine kulingana na sera zilizowekwa na biashara.
• Advisory Notifications: Huduma inayotoa arifa na ushauri kuhusu masuala ya usalama yanayoweza kutokea, udhaifu, na hatua zinazopendekezwa ili kuweka rasilimali salama.
• Access Approval: Kipengele kinachowezesha mashirika kutaka idhini wazi kabla ya wafanyakazi wa Google kuweza kufikia data zao au mipangilio, ikitoa safu ya ziada ya udhibiti na ukaguzi.
• Managed Microsoft AD: Huduma inayotoa Microsoft Active Directory (AD) iliyosimamiwa ambayo inaruhusu watumiaji kutumia programu na mizigo inayotegemea Microsoft AD iliyopo kwenye Google Cloud.

Data Protection

• Sensitive Data Protection: Zana na mbinu zinazolenga kulinda data nyeti, kama vile taarifa za kibinafsi au mali ya akili, dhidi ya ufikiaji usioidhinishwa au kufichuliwa.
• Data Loss Prevention (DLP): Seti ya zana na michakato inayotumika kutambua, kufuatilia, na kulinda data inayotumika, inayoenda, na iliyohifadhiwa kupitia ukaguzi wa kina wa maudhui na kwa kutumia seti kamili ya sheria za ulinzi wa data.
• Certificate Authority Service: Huduma inayoweza kupanuka na salama inayorahisisha na kuharakisha usimamizi, upelekaji, na upya wa vyeti vya SSL/TLS kwa huduma za ndani na za nje.
• Key Management: Huduma ya msingi wa wingu inayokuruhusu kusimamia funguo za cryptographic kwa programu zako, ikiwa ni pamoja na uundaji, uagizaji, mzunguko, matumizi, na uharibifu wa funguo za usimbaji. Maelezo zaidi katika:

GCP - KMS Enum

• Certificate Manager: Huduma inayosimamia na kupeleka vyeti vya SSL/TLS, kuhakikisha uhusiano salama na wa kusimbwa kwa huduma zako za wavuti na programu.
• Secret Manager: Mfumo salama na rahisi wa kuhifadhi funguo za API, nywila, vyeti, na data nyeti nyingine, ambayo inaruhusu ufikiaji na usimamizi rahisi na salama wa siri hizi katika programu. Maelezo zaidi katika:

GCP - Secrets Manager Enum

Zero Trust

• BeyondCorp Enterprise: Jukwaa la usalama la zero-trust linalowezesha ufikiaji salama wa programu za ndani bila haja ya VPN ya jadi, kwa kutegemea uthibitisho wa uaminifu wa mtumiaji na kifaa kabla ya kutoa ufikiaji.
• Policy Troubleshooter: Chombo kilichoundwa kusaidia wasimamizi kuelewa na kutatua masuala ya ufikiaji katika shirika lao kwa kutambua kwa nini mtumiaji ana ufikiaji wa rasilimali fulani au kwa nini ufikiaji ulikataliwa, hivyo kusaidia katika utekelezaji wa sera za zero-trust.
• Identity-Aware Proxy (IAP): Huduma inayodhibiti ufikiaji wa programu za wingu na VMs zinazotumia Google Cloud, kwenye tovuti, au mawingu mengine, kulingana na utambulisho na muktadha wa ombi badala ya mtandao ambao ombi linatoka.
• VPC Service Controls: Mipaka ya usalama inayotoa safu za ziada za ulinzi kwa rasilimali na huduma zinazohostiwa katika Wingu la Kibinafsi la Google (VPC), kuzuia uhamishaji wa data na kutoa udhibiti wa ufikiaji wa kina.
• Access Context Manager: Sehemu ya BeyondCorp Enterprise ya Google Cloud, chombo hiki husaidia kufafanua na kutekeleza sera za udhibiti wa ufikiaji wa kina kulingana na utambulisho wa mtumiaji na muktadha wa ombi lao, kama vile hali ya usalama wa kifaa, anwani ya IP, na zaidi.