Resolva credenciais comprometidas de Google Cloud

Google Cloud As credenciais controlam o acesso aos seus recursos alojados em Google Cloud. Para ajudar a manter os seus dados seguros e protegidos de atacantes, tem de processar as suas credenciais com o máximo cuidado.

Recomendamos que proteja todas as suas Google Cloud credenciais contra o acesso não intencional. Estas credenciais incluem, entre outras, as seguintes:

• Credenciais de serviço:

  • Chaves privadas da conta de serviço (Ficheiros JSON e p12)
  • Chaves de API
  • Segredos do ID de cliente OAuth2

• Credenciais de utilizador criadas e geridas em estações de trabalho de programadores ou outros computadores:

  • Credenciais da CLI do Google Cloud

  • Credenciais padrão da aplicação

  • Cookies do navegador

As credenciais da CLI Google Cloud são armazenadas no diretório base do utilizador. Pode listá-los na CLI do Google Cloud com o comando gcloud auth list. As credenciais padrão da aplicação são armazenadas na estação de trabalho do programador. Os cookies do navegador são específicos do navegador, mas são normalmente armazenados na estação de trabalho do programador.

Se suspeitar que alguma das suas credenciais foi comprometida, tem de tomar medidas imediatas para limitar o impacto do comprometimento na sua Google Cloud conta.

Monitorize a existência de credenciais comprometidas

Para monitorizar potenciais comprometimentos, considere o seguinte:

• Monitorize a atividade da conta suspeita, como a escalada de privilégios e a criação de várias contas. Monitorize estas atividades através dos registos de auditoria da nuvem, Policy Intelligence e do Security Command Center. Use os seguintes serviços e capacidades do Security Command Center:

  • Event Threat Detection para identificar ameaças baseadas em atividades de administrador, alterações de grupos e alterações de autorizações de gestão de identidade e de acesso (IAM). Para cada categoria de ameaça, são fornecidos passos de investigação recomendados para ajudar na sua resposta.
  • Ações confidenciais Serviço para monitorizar ações na sua organização, pastas e projetos que podem ser prejudiciais para a sua empresa se forem realizadas por um ator malicioso.
  • Cloud Infrastructure Entitlement Management (CIEM) (pré-visualização) para gerir o acesso para identidades e gerar resultados para configurações incorretas.

• Monitorize os inícios de sessão dos utilizadores no Google Workspace e no Cloud ID. Para acompanhar melhor os problemas, considere exportar os registos para o Cloud Logging.

• Monitorize a existência de segredos nos seus repositórios de código através de ferramentas como a deteção de anomalias ou a análise de segredos.

• Monitorize anomalias na utilização de chaves de contas de serviço através do Cloud Monitoring ou da CIEM.

Certifique-se de que o seu centro de operações de segurança (SOC) é notificado imediatamente e tem os guias interativos, as ferramentas e o acesso necessários para responder rapidamente a uma comprometimento de credenciais suspeito. Use o nível Enterprise do Security Command Center para ativar capacidades de SIEM e SOAR, como manuais de procedimentos, fluxos de trabalho de resposta e ações automatizadas. Também pode integrar o Security Command Center com o seu SIEM existente ou importar registos para o Google Security Operations para análise adicional.

Proteja os seus Google Cloud recursos de uma credencial comprometida

Conclua os passos nas secções seguintes assim que possível para ajudar a proteger os seus recursos se suspeitar que uma credencial foi comprometida.

Revogue e reemita credenciais

Se suspeitar que uma credencial foi comprometida, revogue-a e emita-a novamente. Proceda com cuidado para garantir que não sofre uma indisponibilidade do serviço como resultado da revogação das credenciais.

Em geral, para reemitir credenciais, gera uma nova credencial, envia-a para todos os serviços e utilizadores que a necessitam e, em seguida, revoga a credencial antiga.

As secções seguintes fornecem instruções específicas para cada tipo de credencial.

Substitua uma chave de conta de serviço

1. Na Google Cloud consola, aceda à página Contas de serviço.

   Aceda a Contas de serviço

2. Localize a conta de serviço afetada.

3. Crie uma nova chave para a conta de serviço.

4. Envie a nova chave para todas as localizações em que a chave antiga estava em utilização.

5. Elimine a chave antiga.

Para mais informações, consulte o artigo Crie contas de serviço.

Volte a gerar chaves da API

1. Na Google Cloud consola, aceda à página Credenciais.

   Aceder a Credenciais

2. Crie uma nova chave da API através do botão Criar credenciais. Configure a nova chave para que seja igual à chave da API comprometida. As restrições na chave de API têm de corresponder. Caso contrário, pode ocorrer uma indisponibilidade.

3. Envie a chave da API para todas as localizações em que a chave antiga estava em utilização.

4. Elimine a chave antiga.

Para mais informações, consulte o artigo Autentique-se através de chaves API.

Reponha um segredo do ID de cliente OAuth2

A alteração de um segredo do ID de cliente provoca uma indisponibilidade temporária enquanto o segredo é alterado.

1. Na Google Cloud consola, aceda à página Credenciais.

   Aceder a Credenciais

2. Selecione o ID de cliente OAuth2 comprometido e edite-o.

3. Clique em Repor segredo.

4. Envie o novo segredo para a sua aplicação.

Para mais informações, consulte os artigos Configurar o OAuth 2.0 e Usar o OAuth 2.0 para aceder às APIs Google.

Remova as credenciais da CLI Google Cloud como administrador

Como administrador do Google Workspace, remova o acesso à CLI do Google Cloud da lista de apps associadas do utilizador. Para mais informações, consulte o artigo Veja e remova o acesso a aplicações de terceiros.

Quando o utilizador aceder novamente à Google Cloud CLI, é-lhe pedido automaticamente que volte a autorizar a aplicação.

Remova as credenciais da CLI Google Cloud como utilizador

1. Abra a lista de apps com acesso à sua Conta Google.

2. Remova a Google Cloud CLI da lista de apps associadas.

Quando aceder novamente à CLI do Google Cloud, esta pede-lhe automaticamente que volte a autorizar a aplicação.

Revogue as credenciais padrão da aplicação como administrador

Se suspeitar que uma credencial predefinida da aplicação foi comprometida, pode revogá-la. Este procedimento pode causar uma indisponibilidade temporária até o ficheiro de credenciais ser recriado.

Como administrador do Google Workspace, remova o acesso à biblioteca Google Auth da lista de apps associadas do utilizador. Para mais informações, consulte Veja e remova o acesso a aplicações de terceiros.

Revogue as Credenciais padrão da aplicação como utilizador

Se suspeitar que uma credencial predefinida da aplicação que criou foi comprometida, pode revogá-la. Este procedimento pode causar uma indisponibilidade temporária até o ficheiro de credenciais ser recriado. Este procedimento só pode ser concluído pelo proprietário da credencial comprometida.

1. Instale e inicialize a CLI Google Cloud, se ainda não o tiver feito.

2. Autorize a CLI gcloud com a sua identidade de utilizador e não com uma conta de serviço:

    gcloud auth login
   

   Para mais informações, consulte o artigo Autorize a CLI gcloud.

3. Revogue as credenciais:

     gcloud auth application-default revoke
   

4. Opcionalmente, elimine o ficheiro application_default_credentials.json. A localização depende do seu sistema operativo:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Recrie o ficheiro de credenciais:

    gcloud auth application-default login
   

Invalide cookies do navegador como administrador

Se suspeitar que os cookies do navegador foram comprometidos, os administradores do Google Workspace podem terminar a sessão de um utilizador na respetiva conta.

Além disso, force imediatamente uma alteração da palavra-passe.

Estas ações invalidam todos os cookies existentes e é pedido ao utilizador que inicie sessão novamente.

Invalide os cookies do navegador como utilizador

Se suspeitar que os cookies do navegador estão comprometidos, termine sessão na sua Conta Google e altere a palavra-passe imediatamente.

Estas ações invalidam todos os seus cookies existentes. Da próxima vez que aceder a Google Cloud, tem de iniciar sessão novamente.

Procure acesso e recursos não autorizados

Depois de revogar as credenciais comprometidas e restaurar o seu serviço, reveja todo o acesso aos seus Google Cloud recursos. Pode usar o Logging ou o Security Command Center.

Em Registo, conclua o seguinte:

1. Examine os seus registos de auditoria na Google Cloud consola.

   Aceda ao Explorador de registos

2. Pesquise todos os recursos potencialmente afetados e certifique-se de que toda a atividade da conta (especialmente a relacionada com as credenciais comprometidas) está como esperado.

No Security Command Center, conclua o seguinte:

1. Na Google Cloud consola, aceda à página Resultados do Security Command Center.

   Aceda a Conclusões

2. Se necessário, selecione o seu Google Cloud projeto ou organização.

3. Na secção Filtros rápidos, clique num filtro adequado para apresentar a descoberta de que precisa na tabela Resultados da consulta de descobertas. Por exemplo, se selecionar Deteção de ameaças de eventos ou Deteção de ameaças de contentores na subsecção Nome a apresentar da origem, apenas são apresentadas nos resultados as conclusões do serviço selecionado.

   A tabela é preenchida com as conclusões da origem selecionada.

4. Para ver detalhes de uma descoberta específica, clique no nome da descoberta em Category. O painel de detalhes da descoberta expande-se para apresentar um resumo dos detalhes da descoberta.

5. Para apresentar todas as descobertas que foram causadas pelas ações do mesmo utilizador:

   1. No painel de detalhes da ficha, copie o endereço de email junto a Email principal.
   2. Feche o painel.

   3. No editor de consultas, introduza a seguinte consulta:

      access.principal_email="USER_EMAIL"
      

      Substitua USER_EMAIL pelo endereço de email que copiou anteriormente.

      O Security Command Center apresenta todas as conclusões associadas a ações realizadas pelo utilizador que especificou.

Elimine todos os recursos não autorizados

Certifique-se de que não existem recursos inesperados, como MVs, apps do App Engine, contas de serviço, contentores do Cloud Storage, etc., aos quais a credencial comprometida possa aceder.

Depois de se certificar de que identificou todos os recursos não autorizados, pode optar por eliminar estes recursos imediatamente. Isto é especialmente importante para recursos do Compute Engine, porque os atacantes podem usar contas comprometidas para exfiltrar dados ou, de outra forma, comprometer os seus sistemas de produção.

Em alternativa, pode tentar isolar os recursos não autorizados para permitir que as suas próprias equipas de análise forense realizem análises adicionais.

Contacte o Cloud Customer Care

Para obter ajuda na localização dos Google Cloud registos e das ferramentas de que precisa para os passos de investigação e mitigação, contacte o apoio ao cliente e abra um registo de apoio técnico.

Práticas recomendadas para evitar credenciais comprometidas

Esta secção descreve as práticas recomendadas que pode implementar para ajudar a evitar credenciais comprometidas.

Separe as credenciais do código

Faça a gestão e o armazenamento das suas credenciais separadamente do código-fonte. É extremamente comum enviar acidentalmente credenciais e código fonte para um site de gestão de fontes, como o GitHub, o que torna as suas credenciais vulneráveis a ataques.

Se estiver a usar o GitHub ou outro repositório público, pode implementar ferramentas como a deteção de anomalias ou a análise de segredos, que lhe enviam avisos sobre segredos expostos nos seus repositórios do GitHub. Para impedir que as chaves sejam consolidadas nos seus repositórios do GitHub, considere usar ferramentas como o git-secrets.

Use soluções de gestão de segredos, como o Secret Manager e o Hashicorp Vault, para armazenar os seus segredos, alterá-los regularmente e aplicar o princípio do menor privilégio.

Implemente as práticas recomendadas para contas de serviço

Para ajudar a proteger as contas de serviço, reveja as práticas recomendadas para trabalhar com contas de serviço.

Limite a duração das sessões

Para forçar a reautenticação periódica, limite o tempo que as sessões permanecem ativas para as contas Google e Google Cloud . Para mais informações, consulte o seguinte:

• Defina a duração da sessão para o Google Workspace

• Defina a duração da sessão para os Google Cloud serviços

• Defina a duração da sessão para o Cloud ID

Use os VPC Service Controls para limitar o acesso

Para limitar o impacto das credenciais comprometidas, crie perímetros de serviço com os VPC Service Controls. Quando configura os VPC Service Controls, os recursos no interior do perímetro só podem comunicar com outros recursos no interior do perímetro.