GCP - 安全枚举

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

基本信息

Google Cloud Platform (GCP) 安全涵盖了一套全面的工具和实践,旨在确保Google Cloud环境中资源和数据的安全性,分为四个主要部分:安全指挥中心、检测与控制、数据保护和零信任

安全指挥中心

Google Cloud Platform (GCP) 安全指挥中心 (SCC) 是一个用于GCP资源的安全和风险管理工具,使组织能够获得对其云资产的可见性和控制。它通过提供全面的安全分析、识别错误配置、确保与安全标准的合规性以及与其他安全工具的集成来帮助检测和响应威胁

  • 概述:面板用于可视化安全指挥中心所有结果的概述
  • 威胁:[需要高级版] 面板用于可视化所有检测到的威胁。有关威胁的更多信息,请查看下面
  • 漏洞:面板用于可视化在GCP账户中发现的错误配置
  • 合规性:[需要高级版] 此部分允许对您的GCP环境进行多个合规性检查(如PCI-DSS、NIST 800-53、CIS基准…)的测试。
  • 资产:此部分显示所有正在使用的资产,对系统管理员(也许还有攻击者)非常有用,可以在单一页面上查看正在运行的内容。
  • 发现:此部分汇总了GCP安全的不同部分(不仅仅是指挥中心)的发现,以便轻松可视化重要的发现。
  • 来源:显示GCP安全所有不同部分的发现摘要
  • 态势:[需要高级版] 安全态势允许定义、评估和监控GCP环境的安全性。它通过创建定义约束或限制的政策来控制/监控GCP中的资源。有几个预定义的态势模板可以在https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy中找到。

威胁

从攻击者的角度来看,这可能是最有趣的功能,因为它可以检测到攻击者。但是,请注意,此功能需要高级版(这意味着公司需要支付更多费用),因此可能甚至未启用

有三种类型的威胁检测机制:

  • 事件威胁:通过根据Google内部创建的规则匹配Cloud Logging中的事件而产生的发现。它还可以扫描Google Workspace日志
  • 可以在文档中找到所有检测规则的描述
  • 容器威胁:在分析容器内核的低级行为后产生的发现。
  • 自定义威胁:由公司创建的规则。

可以在https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response中找到对两种类型检测到的威胁的推荐响应。

枚举

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

后期利用

GCP - Security Post Exploitation

检测与控制

  • Chronicle SecOps: 一套先进的安全运营套件,旨在帮助团队提高安全运营的速度和影响力,包括威胁检测、调查和响应。
  • reCAPTCHA Enterprise: 一项服务,保护网站免受抓取、凭证填充和自动攻击等欺诈活动,通过区分人类用户和机器人。
  • Web Security Scanner: 自动化安全扫描工具,检测托管在Google Cloud或其他网络服务上的Web应用程序中的漏洞和常见安全问题。
  • Risk Manager: 一种治理、风险和合规(GRC)工具,帮助组织评估、记录和理解其Google Cloud风险状况。
  • Binary Authorization: 一种容器安全控制,确保仅根据企业设定的政策在Kubernetes Engine集群上部署受信任的容器镜像。
  • Advisory Notifications: 一项服务,提供有关潜在安全问题、漏洞和推荐措施的警报和建议,以保持资源安全。
  • Access Approval: 一项功能,允许组织在Google员工访问其数据或配置之前要求明确的批准,提供额外的控制和审计层。
  • Managed Microsoft AD: 一项提供托管Microsoft Active Directory (AD)的服务,允许用户在Google Cloud上使用现有的依赖Microsoft AD的应用程序和工作负载。

数据保护

  • 敏感数据保护: 旨在保护敏感数据(如个人信息或知识产权)免受未经授权访问或泄露的工具和实践。
  • 数据丢失防护 (DLP): 一套工具和流程,用于通过深度内容检查和应用全面的数据保护规则来识别、监控和保护使用中的数据、传输中的数据和静态数据。
  • 证书授权服务: 一项可扩展和安全的服务,简化和自动化内部和外部服务的SSL/TLS证书的管理、部署和续订。
  • 密钥管理: 一项基于云的服务,允许您管理应用程序的加密密钥,包括创建、导入、轮换、使用和销毁加密密钥。更多信息请参见:

GCP - KMS Enum

  • 证书管理器: 一项管理和部署SSL/TLS证书的服务,确保与您的Web服务和应用程序的安全加密连接。
  • 秘密管理器: 一种安全便捷的存储系统,用于API密钥、密码、证书和其他敏感数据,允许在应用程序中轻松安全地访问和管理这些秘密。更多信息请参见:

GCP - Secrets Manager Enum

零信任

  • BeyondCorp Enterprise: 一种零信任安全平台,允许安全访问内部应用程序,无需传统VPN,通过在授予访问权限之前验证用户和设备的信任。
  • Policy Troubleshooter: 一种工具,旨在帮助管理员理解和解决组织中的访问问题,通过识别用户为何可以访问某些资源或为何访问被拒绝,从而帮助执行零信任政策。
  • Identity-Aware Proxy (IAP): 一项服务,基于请求的身份和上下文控制对在Google Cloud、内部或其他云上运行的云应用程序和虚拟机的访问,而不是基于请求来源的网络。
  • VPC Service Controls: 安全边界,为托管在Google Cloud虚拟私有云(VPC)中的资源和服务提供额外的保护层,防止数据外泄并提供细粒度的访问控制。
  • Access Context Manager: Google Cloud的BeyondCorp Enterprise的一部分,该工具帮助定义和执行基于用户身份和请求上下文(如设备安全状态、IP地址等)的细粒度访问控制政策。

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks