A proteção dos ambientes na nuvem requer a proteção das contas de gestão de identidade e de acesso contra compromisso. A colocação em risco de uma conta de utilizador privilegiada permite que um atacante faça alterações a um ambiente na nuvem. Por isso, a deteção de potenciais riscos é essencial para proteger organizações de todas as dimensões. Para ajudar as organizações a manterem-se seguras, Google Cloud registra ações confidenciais realizadas por contas de utilizador do IAM e notifica os administradores da organização dessas ações diretamente através de notificações consultivas.
As ações confidenciais são ações que podem ter um efeito negativo significativo na sua organização se forem realizadas por um ator malicioso através de uma conta comprometida. Google Cloud Estas ações, por si só, não representam necessariamente uma ameaça para a sua organização nem indicam que uma conta foi comprometida. No entanto, recomendamos que confirme se as ações foram realizadas pelos seus utilizadores com fins legítimos.
Quem recebe notificações de ações confidenciais
Google Cloud Notifica a sua organização de ações confidenciais através do envio de uma notificação por email aos contactos essenciais ao nível da organização para fins de segurança. Se não existirem contactos essenciais configurados, a notificação por email é enviada para todas as contas que tenham a função de IAM de administrador da organização ao nível da organização.
Recusar
Se não quiser receber notificações de ações confidenciais na sua organização, pode recusar estas notificações. Para mais informações, consulte o artigo Configure as notificações. A desativação das notificações de ações confidenciais afeta apenas as notificações enviadas através das notificações de aviso. Os registos de ações sensíveis são sempre gerados e não são afetados pela desativação das notificações. Se usar o Security Command Center, o Serviço de ações confidenciais não é afetado pela recusa das notificações de ações confidenciais.
Como funciona a funcionalidade Ações confidenciais
Google Cloud deteta ações confidenciais monitorizando os registos de auditoria da atividade do administrador da sua organização. Quando é detetada uma ação sensível, Google Cloud escreve a ação no registo da plataforma do serviço de ações sensíveis no mesmo recurso onde a atividade ocorreu. Google Cloud também inclui o evento numa notificação enviada através das notificações consultivas.
Frequência de notificação
A primeira vez que é observada uma ação sensível na sua organização, recebe um relatório que inclui a ação inicial, além de quaisquer outras ações que ocorram na hora seguinte. Após o relatório inicial, recebe relatórios de novas ações sensíveis na sua organização, no máximo, uma vez a cada 30 dias. Se não tiverem sido realizadas ações confidenciais na sua organização durante muito tempo, pode receber o relatório de uma hora na próxima vez que for observada uma ação confidencial.
Quando as ações confidenciais não são produzidas
Google Cloud comunicam ações confidenciais apenas se o principal que realizar a ação for uma conta de utilizador. As ações realizadas por uma conta de serviço não são comunicadas. A Google desenvolveu esta capacidade para proteger contra adversários que obtêm acesso às credenciais do utilizador final e as usam para realizar ações indesejadas em ambientes de nuvem. Uma vez que muitas destas ações são comportamentos comuns para contas de serviço, não são produzidos registos nem notificações de aviso para estas identidades.
Não é possível detetar ações confidenciais se tiver configurado os registos de auditoria da atividade do administrador para estarem localizados numa região específica (ou seja, não na região global). Por exemplo, se tiver especificado uma região de armazenamento para o contentor de registos _Required num determinado recurso, não é possível analisar os registos desse recurso para ações confidenciais.
Se configurou os registos de auditoria da atividade de administrador para serem encriptados com chaves de encriptação geridas pelo cliente, não é possível analisar os seus registos para detetar ações confidenciais.
Ações confidenciais no Security Command Center
Se usar o Security Command Center, pode receber ações confidenciais como resultados através do serviço de ações confidenciais.
Embora os registos de ações confidenciais e as notificações de aviso ofereçam uma perspetiva do comportamento da conta na sua organização, o Security Command Center oferece informações adicionais e capacidades de gestão para as equipas de segurança que estão a proteger cargas de trabalho e ambientes mais complexos, grandes ou importantes. Recomendamos que monitorize as ações sensíveis como parte da sua estratégia de monitorização de segurança geral.
Para mais informações sobre o Security Command Center, consulte o seguinte:
Preços
As notificações de ações confidenciais nas notificações consultivas são fornecidas sem custos adicionais. Os registos de ações confidenciais no Cloud Logging incorrem em custos de carregamento e armazenamento de acordo com os preços do Logging. O volume de entradas do registo de ações confidenciais depende da frequência com que as contas de utilizador na sua organização realizam ações confidenciais. Normalmente, estas ações são invulgares.
Tipos de ações confidenciais
Google Cloud informa acerca dos seguintes tipos de ações confidenciais.
Sensitive Roles Added
Foi concedida a um principal uma função do IAM de proprietário (roles/owner) ou editor (roles/editor) ao nível da organização. Estas funções
permitem um grande número de ações na sua organização.
Billing Admin Removed
Foi removida uma função de IAM de administrador da conta de faturação (roles/billing.admin) ao nível da organização. A remoção desta função pode impedir que os utilizadores tenham visibilidade e fornecer um mecanismo para um adversário permanecer não detetado.
Organization Policy Changed
Foi criada, atualizada ou eliminada uma política da organização ao nível da organização. As políticas da organização a este nível podem afetar a segurança de todos os recursos doGoogle Cloud da sua organização.
Project-level SSH Key Added
Foi adicionada uma chave SSH ao nível do projeto a um Google Cloud projeto que não tinha anteriormente essa chave. As chaves SSH ao nível do projeto podem conceder acesso a todas as máquinas virtuais (VMs) no projeto.
GPU Instance Created
Uma VM com uma GPU foi criada num projeto por uma pessoa que não tinha criado uma instância de GPU nesse projeto recentemente. As instâncias do Compute Engine com GPUs podem alojar cargas de trabalho, como a mineração de criptomoedas.
Many Instances Created
Foram criadas várias instâncias de VM por um utilizador num determinado projeto. É possível usar um grande número de instâncias de VM para cargas de trabalho inesperadas, como a mineração de criptomoedas ou ataques de negação de serviço.
Many Instances Deleted
Várias instâncias de VM foram eliminadas por um utilizador num determinado projeto. A eliminação de um grande número de instâncias pode prejudicar a sua empresa.
O que se segue?
- Saiba como ver as notificações.
- Saiba como responder a notificações de ações confidenciais.
- Saiba como ativar ou desativar as notificações.