Gestione delle credenziali Google Cloud compromesse

Le credenziali di Google Cloud controllano l'accesso alle tue risorse ospitate su Google Cloud. Per mantenere i tuoi dati sicuri e protetti dagli aggressori, devi gestire le tue credenziali con la massima cura.

Ti consigliamo di proteggere tutte le tue credenziali Google Cloud da accessi indesiderati. Queste credenziali includono, a titolo esemplificativo:

• Credenziali di servizio:

  • Chiavi private dell'account di servizio (file JSON e p12)
  • Chiavi API
  • Secret ID client OAuth2

• Credenziali utente create e gestite sulle workstation di sviluppatori o su altri computer:

  • Credenziali Google Cloud CLI

  • Credenziali predefinite dell'applicazione

  • Cookie del browser

Le credenziali di Google Cloud CLI sono archiviate nella home directory dell'utente. Puoi elencarli in Google Cloud CLI utilizzando il comando gcloud auth list. Le credenziali predefinite dell'applicazione vengono archiviate sulla workstation dello sviluppatore. I browser Cook sono specifici del browser, ma di solito vengono archiviati sulla workstation dello sviluppatore.

Se sospetti che una delle tue credenziali sia stata compromessa, devi intervenire immediatamente per limitare l'impatto della compromissione sul tuo account Google Cloud.

Monitora la compromissione delle credenziali

Per monitorare le potenziali compromissioni, prendi in considerazione quanto segue:

• Monitorare le attività sospette degli account, come l'escalation dei privilegi e la creazione di più account. Monitora queste attività utilizzando Cloud Audit Logs e Event Threat Detection. Configurare avvisi basati sull'attività degli amministratori negli audit log di Compute Engine e negli audit log di Google Kubernetes Engine (GKE). Utilizzare Event Threat Detection per identificare le minacce basate sulle attività degli amministratori, sulle modifiche ai gruppi e sulle modifiche alle autorizzazioni Identity and Access Management (IAM).

• Monitora gli accessi degli utenti in Google Workspace e Cloud Identity. Per monitorare meglio i problemi, valuta la possibilità di esportare i log in Cloud Logging.

• Monitora i secret nei repository di codice utilizzando strumenti come la scansione dei secret.

• Monitorare le anomalie nell'utilizzo delle chiavi degli account di servizio con Cloud Monitoring.

Assicurati che il tuo centro operativo di sicurezza (SOC) sia informato tempestivamente. Puoi integrare Security Command Center con il tuo SIEM, esportare i log da Cloud Logging nel tuo SIEM o importare i log in Google Security Operations per ulteriori analisi.

Assicurarsi che il SOC disponga dei playbook, degli strumenti e dell'accesso necessari per rispondere rapidamente a sospette violazioni delle credenziali.

Proteggi le tue risorse Google Cloud da una credenziale compromessa

Completa i passaggi nelle sezioni seguenti il prima possibile per contribuire a proteggere le tue risorse se sospetti che una credenziale sia stata compromessa.

Revocare e riemettere le credenziali

Se sospetti che una credenziale sia stata compromessa, revocala ed emettila di nuovo. Procedi con attenzione per assicurarti di non subire un'interruzione del servizio a seguito della revoca delle credenziali.

In generale, per riemettere le credenziali, generi una nuova credenziale, ne esegui il push a tutti i servizi e gli utenti che ne hanno bisogno, quindi revochi la vecchia credenziale.

Le sezioni seguenti forniscono istruzioni specifiche per ogni tipo di credenziali.

Sostituisci una chiave dell'account di servizio

1. Nella console Google Cloud, vai alla pagina Account di servizio.

   Vai ad Account di servizio

2. Individua l'account di servizio interessato.

3. Crea una nuova chiave per l'account di servizio.

4. Premi la nuova chiave in tutte le posizioni in cui era in uso quella precedente.

5. Elimina la vecchia chiave.

Per ulteriori informazioni, consulta Creazione e gestione degli account di servizio.

Rigenera chiavi API

1. Nella console Google Cloud, vai alla pagina Credenziali.

   Vai a credenziali

2. Crea una nuova chiave API utilizzando il pulsante Crea credenziali. Configura la nuova chiave come se fosse la chiave API compromessa. Le limitazioni della chiave API devono corrispondere, altrimenti potresti subire un'interruzione.

3. Esegui il push della chiave API in tutte le posizioni in cui era in uso la chiave precedente.

4. Elimina la vecchia chiave.

Per ulteriori informazioni, consulta la sezione Utilizzo delle chiavi API.

Reimposta un secret dell'ID client OAuth2

La modifica di un secret dell'ID client causerà un'interruzione temporanea durante la rotazione del secret.

1. Nella console Google Cloud, vai alla pagina Credenziali.

   Vai a credenziali

2. Seleziona l'ID client OAuth2 compromesso e modificalo.

3. Fai clic su Reimposta secret.

4. Esegui il push del nuovo secret nell'applicazione.

Per ulteriori informazioni, consulta le sezioni Configurare OAuth 2.0 e Utilizzare OAuth 2.0 per accedere alle API di Google.

Rimuovi le credenziali Google Cloud CLI come amministratore

In qualità di amministratore di Google Workspace, rimuovi l'accesso a Google Cloud CLI dall'elenco delle app collegate dell'utente. Per ulteriori informazioni, consulta l'articolo Visualizzare e rimuovere l'accesso ad applicazioni di terze parti.

Quando l'utente accede nuovamente a Google Cloud CLI, gli verrà chiesto automaticamente di autorizzare nuovamente l'applicazione.

Rimuovi le credenziali Google Cloud CLI come utente

1. Apri l'elenco delle app con accesso al tuo Account Google.

2. Rimuovi Google Cloud CLI dall'elenco delle app collegate.

Quando accederai di nuovo a Google Cloud CLI, ti verrà chiesto automaticamente di autorizzare di nuovo l'applicazione.

Revoca le credenziali predefinite dell'applicazione come amministratore

Se sospetti che una credenziale predefinita dell'applicazione sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea finché il file delle credenziali non viene ricreato.

In qualità di amministratore di Google Workspace, rimuovi l'accesso alla libreria di autenticazione Google dall'elenco delle app collegate dell'utente. Per ulteriori informazioni, consulta l'articolo Visualizzare e rimuovere l'accesso ad applicazioni di terze parti.

Revoca credenziali predefinite dell'applicazione come utente

Se sospetti che una credenziale predefinita dell'applicazione che hai creato sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea finché il file delle credenziali non viene ricreato. Questa procedura può essere completata solo dal proprietario della credenziale compromessa.

1. Installa e inizializza Google Cloud CLI, se non l'hai già fatto.

2. Autorizza gcloud CLI con la tua identità utente, non con un account di servizio:

    gcloud auth login
   

   Per ulteriori informazioni, [Autorizzazione di gcloud CLI], vedi (/sdk/docs/authorizing).

3. Revoca le credenziali:

     gcloud auth application-default revoke
   

4. Se vuoi, elimina il file application_default_credentials.json. La località dipende dal sistema operativo:

   • Linux e macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Ricrea il file delle credenziali:

    gcloud auth application-default login
   

Rendi i cookie del browser non validi in qualità di amministratore

Se sospetti che i cookie del browser siano stati compromessi, gli amministratori di Google Workspace possono disconnettere un utente dal proprio account.

Inoltre, forza immediatamente la modifica della password.

Queste azioni annullano tutti i cookie esistenti e all'utente viene chiesto di accedere di nuovo.

invalida i cookie del browser come utente

Se sospetti che i cookie del browser siano stati compromessi, esci dal tuo Account Google e cambia subito la password.

Queste azioni invalidano tutti i cookie esistenti. La volta successiva che accederai a Google Cloud, dovrai accedere di nuovo.

Cerca risorse e accessi non autorizzati

Dopo aver revocato le credenziali compromesse e ripristinato il servizio, esamina tutti gli accessi alle tue risorse Google Cloud.

1. Esamina gli audit log nella console Google Cloud.

   Vai a Esplora log

2. Cerca in tutte le risorse potenzialmente interessate e assicurati che tutte le attività dell'account (in particolare quelle relative alle credenziali compromesse) siano come previsto.

Elimina tutte le risorse non autorizzate

Assicurati che non siano presenti risorse impreviste, come VM, app di App Engine, account di servizio, bucket Cloud Storage e così via, a cui la credenziale compromessa potrebbe accedere.

Dopo aver identificato tutte le risorse non autorizzate, puoi scegliere di eliminarle immediatamente. Questo è particolarmente importante per le risorse Compute Engine, perché gli utenti malintenzionati possono utilizzare account compromessi per esfiltrare i dati o compromettere i sistemi di produzione.

In alternativa, puoi provare a isolare le risorse non autorizzate per consentire ai tuoi team forensi di eseguire ulteriori analisi.

Contatta l'assistenza clienti Google Cloud

Per farti aiutare a trovare i log e gli strumenti di Google Cloud necessari per l'indagine e le misure di mitigazione, contatta l'assistenza clienti e apri una richiesta di assistenza.

Best practice per evitare la compromissione delle credenziali

Questa sezione descrive le best practice che puoi implementare per evitare la compromissione delle credenziali.

Separa le credenziali dal codice

Gestisci e memorizza le tue credenziali separatamente dal codice sorgente. È estremamente comune eseguire accidentalmente il push di credenziali e codice sorgente su un sito di gestione delle sorgenti come GitHub, rendendo le tue credenziali vulnerabili agli attacchi.

Se utilizzi GitHub o un altro repository pubblico, puoi implementare strumenti come la scansione dei secret, che ti avvisa in caso di secret esposti nei repository GitHub. Per impedire il commit delle chiavi nei repository GitHub, valuta la possibilità di utilizzare strumenti come git-secrets.

Utilizza soluzioni di gestione dei secret come Secret Manager e Hashicorp Vault per archiviare i secret, ruotarli regolarmente e applicare privilegio minimo.

Implementa le best practice per gli account di servizio

Per proteggere gli account di servizio, consulta le best practice per l'utilizzo degli account di servizio.

Limita la durata delle sessioni

Per forzare una riautenticazione periodica, limita il tempo in cui le sessioni rimangono attive per gli account Google e Google Cloud. Per ulteriori informazioni, consulta quanto segue:

• Impostare la durata della sessione per Google Workspace

• Impostare la durata della sessione per i servizi Google Cloud

• Impostare la durata della sessione per Cloud Identity

Utilizzare i Controlli di servizio VPC per limitare l'accesso

Per limitare l'impatto delle credenziali compromesse, crea perimetri di servizio utilizzando Controlli di servizio VPC. Quando configuri i Controlli di servizio VPC, le risorse all'interno del perimetro possono comunicare solo con altre risorse all'interno del perimetro.