保护云环境需要保护 Identity and Access Management 账号免遭入侵。攻击者可以通过破坏特权用户账号来更改云环境,因此,对于各种规模的组织来说,检测潜在的破坏行为至关重要。为帮助组织保持安全,Google Cloud 会记录 IAM 用户账号执行的敏感操作,并通过 Advisory Notifications 直接向组织管理员发送这些操作的通知。
敏感操作是指如果恶意操作者使用被盗用的账号执行这类操作,可能会对贵组织造成严重的负面影响。 Google Cloud 这些操作本身并不一定会对贵组织构成威胁,也不一定表示账号已遭到入侵。不过,我们建议您确认用户执行这些操作的目的是否合法。
谁会收到敏感操作通知
Google Cloud 会向组织级重要联系人发送电子邮件通知,以便组织了解敏感操作,从而保障安全。如果未配置重要联系人,系统会向组织级别具有组织管理员 IAM 角色的所有账号发送电子邮件通知。
停用
如果您不想在组织中收到“敏感操作”通知,可以选择停用此类通知。如需了解详情,请参阅配置通知。停用“敏感操作”通知只会影响通过“建议性通知”提供的通知。系统始终会生成敏感操作日志,而不会受到停用通知的影响。如果您使用 Security Command Center,则停用敏感操作通知不会影响敏感操作服务。
Sensitive Actions 的运作方式
Google Cloud 通过监控贵组织的管理员活动审核日志来检测敏感操作。检测到敏感操作时, Google Cloud 会将相应操作写入发生活动的同一资源中的 Sensitive Actions Service 平台日志。 Google Cloud 还会在通过 Advisory Notifications 传送的通知中包含该事件。
通知频率
当系统在贵组织中首次发现敏感操作时,您会收到一份报告,其中包含初始操作以及接下来一小时内发生的任何其他操作。初始报告发出后,您最多每 30 天会收到一次有关组织中新敏感操作的报告。如果贵组织中长时间内没有任何敏感操作,那么在下次系统发现敏感操作时,您可能会收到一小时报告。
不生成敏感操作的情况
只有在执行操作的主账号是用户账号时,Google Cloud 才会报告敏感操作。系统不会报告服务账号执行的操作。Google 开发了此功能,以防范攻击者获取最终用户凭据并使用这些凭据在云环境中执行不必要的操作。由于其中许多操作是服务账号的常见行为,因此系统不会为这些身份生成日志和咨询通知。
如果您已将管理员活动审核日志配置为位于特定区域(即非 global 区域),则系统无法检测敏感操作。例如,如果您已为某个资源中的 _Required 日志存储分区指定了存储区域,则系统无法扫描该资源中的日志以查找敏感操作。
如果您已将管理员活动审核日志配置为使用由客户管理的加密密钥进行加密,系统将无法扫描您的日志以查找敏感操作。
Security Command Center 中的敏感操作
如果您使用 Security Command Center,则可以通过敏感操作服务接收敏感操作作为发现结果。
虽然敏感操作日志和建议通知可让您从一个角度了解组织中的账号行为,但 Security Command Center 还为负责保护更复杂、更大或更重要的工作负载和环境的安全团队提供了额外的分析洞见和管理功能。我们建议将监控敏感操作作为整体安全监控策略的一部分。
如需详细了解 Security Command Center,请参阅以下内容:
价格
我们会免费提供有关咨询通知中敏感操作的通知。Cloud Logging 中的敏感操作日志会产生注入和存储费用,具体费用取决于 Logging 价格。“敏感操作”日志条目的数量取决于贵组织中的用户账号执行敏感操作的频率。这些操作通常不常见。
敏感操作的类型
Google Cloud 会告知您以下类型的敏感操作。
Sensitive Roles Added
在组织级别授予了具有 Owner (roles/owner) 或 Editor (roles/editor) IAM 角色的主账号。这些角色可在贵组织中执行大量操作。
Billing Admin Removed
在组织级层移除了 Billing Account Administrator (roles/billing.admin) IAM 角色。移除此角色可能会导致用户无法查看,并为攻击者提供一种隐藏机制。
Organization Policy Changed
在组织级别创建、更新或删除了组织政策。此级别的组织政策可能会影响贵组织的所有Google Cloud 资源的安全性。
Project-level SSH Key Added
向之前没有此类密钥的项目添加了项目级 SSH 密钥。 Google Cloud 项目级 SSH 密钥可授予对项目中所有虚拟机 (VM) 的访问权限。
GPU Instance Created
某个用户在项目中创建了具有 GPU 的虚拟机,但该用户最近并未在该项目中创建 GPU 实例。具有 GPU 的 Compute Engine 实例可以托管加密货币挖矿等工作负载。
Many Instances Created
用户在某个项目中创建了多个虚拟机实例。大量虚拟机实例可能会用于意外工作负载,例如加密货币挖矿或拒绝服务攻击。
Many Instances Deleted
某个用户在某个项目中删除了多个虚拟机实例。大量删除实例可能会干扰您的业务。
后续步骤
- 了解如何查看通知。
- 了解如何回复敏感操作通知。
- 了解如何选择接收或不接收通知。