Le credenziali di Google Cloud controllano l'accesso alle tue risorse ospitate su Google Cloud. Per mantenere i tuoi dati sicuri e protetti dagli aggressori, devi gestire le tue credenziali con la massima cura.
Ti consigliamo di proteggere tutte le tue credenziali Google Cloud da accessi indesiderati. Queste credenziali includono, a titolo esemplificativo:
Credenziali di servizio:
- Chiavi private dell'account di servizio (file JSON e p12)
- Chiavi API
- Secret ID client OAuth2
Credenziali utente create e gestite sulle workstation di sviluppatori o su altri computer:
Cookie del browser
Le credenziali di Google Cloud CLI sono archiviate
nella home directory dell'utente. Puoi elencarli in Google Cloud CLI utilizzando il comando gcloud
auth list
.
Le credenziali predefinite dell'applicazione vengono archiviate sulla workstation dello sviluppatore.
I cookie sono specifici del browser, ma in genere vengono memorizzati sulla workstation dello sviluppatore.
Se sospetti che una delle tue credenziali sia stata compromessa, devi intervenire immediatamente per limitare l'impatto della compromissione sul tuo account Google Cloud.
Monitora la compromissione delle credenziali
Per monitorare le potenziali compromissioni, prendi in considerazione quanto segue:
Monitorare le attività sospette degli account, come l'escalation dei privilegi e la creazione di più account. Monitora queste attività utilizzando Cloud Audit Logs, Policy Intelligence e Security Command Center. Utilizza i seguenti servizi e funzionalità di Security Command Center:
- Event Threat Detection per identificare le minacce basate sulle attività degli amministratori, sulle modifiche ai gruppi e sulle modifiche alle autorizzazioni Identity and Access Management (IAM).
- Servizio Azioni sensibili per monitorare le azioni nell'organizzazione, nelle cartelle e nei progetti che potrebbero danneggiare la tua attività se vengono intraprese da un utente malintenzionato.
- Gestione dei diritti dell'infrastruttura cloud (CIEM) (anteprima) per gestire l'accesso per le identità e generare risultati in caso di configurazioni errate.
Monitora gli accessi degli utenti in Google Workspace e Cloud Identity. Per monitorare meglio i problemi, valuta la possibilità di esportare i log in Cloud Logging.
Monitora i secret nei repository di codice utilizzando strumenti come il rilevamento di anomalie o la scansione dei secret.
Monitorare le anomalie nell'utilizzo delle chiavi degli account di servizio con Cloud Monitoring o CIEM.
Assicurati che il tuo centro operativo di sicurezza (SOC) sia informato tempestivamente e disponga dei playbook, degli strumenti e dell'accesso necessari per rispondere rapidamente a una presunta compromissione delle credenziali. Utilizza il livello Security Command Center Enterprise per abilitare le funzionalità SIEM e SOAR, come i playbook, i flussi di lavoro di risposta e le azioni automatizzate. Puoi anche integrare Security Command Center con il tuo SIEM esistente o importare i log in Google Security Operations per ulteriori analisi.
Proteggi le tue risorse Google Cloud da una credenziale compromessa
Completa i passaggi nelle sezioni seguenti il prima possibile per contribuire a proteggere le tue risorse se sospetti che una credenziale sia stata compromessa.
Revocare e riemettere le credenziali
Se sospetti che una credenziale sia stata compromessa, revocala ed emettila di nuovo. Procedi con attenzione per assicurarti di non subire un'interruzione del servizio a seguito della revoca delle credenziali.
In generale, per riemettere le credenziali, generi una nuova credenziale, ne esegui il push a tutti i servizi e gli utenti che ne hanno bisogno, quindi revochi la vecchia credenziale.
Le sezioni seguenti forniscono istruzioni specifiche per ogni tipo di credenziali.
Sostituisci una chiave dell'account di servizio
Nella console Google Cloud, vai alla pagina Account di servizio.
Individua l'account di servizio interessato.
Crea una nuova chiave per l'account di servizio.
Premi la nuova chiave in tutte le posizioni in cui era in uso quella precedente.
Elimina la vecchia chiave.
Per ulteriori informazioni, consulta Creare account di servizio.
Rigenera chiavi API
Nella console Google Cloud, vai alla pagina Credenziali.
Crea una nuova chiave API utilizzando il pulsante Crea credenziali. Configura la nuova chiave in modo che corrisponda alla chiave API compromessa. Le limitazioni della chiave API devono corrispondere, altrimenti potresti subire un'interruzione.
Esegui il push della chiave API in tutte le posizioni in cui era in uso la chiave precedente.
Elimina la vecchia chiave.
Per maggiori informazioni, consulta Eseguire l'autenticazione mediante chiavi API.
Reimposta un secret dell'ID client OAuth2
La modifica di un secret dell'ID client causerà un'interruzione temporanea durante la rotazione del secret.
Nella console Google Cloud, vai alla pagina Credenziali.
Seleziona l'ID client OAuth2 compromesso e modificalo.
Fai clic su Reimposta secret.
Esegui il push del nuovo secret nell'applicazione.
Per ulteriori informazioni, consulta le sezioni Configurare OAuth 2.0 e Utilizzare OAuth 2.0 per accedere alle API di Google.
Rimuovi le credenziali Google Cloud CLI come amministratore
In qualità di amministratore di Google Workspace, rimuovi l'accesso a Google Cloud CLI dall'elenco delle app collegate dell'utente. Per ulteriori informazioni, consulta l'articolo Visualizzare e rimuovere l'accesso ad applicazioni di terze parti.
Quando l'utente accede nuovamente a Google Cloud CLI, gli verrà chiesto automaticamente di autorizzare nuovamente l'applicazione.
Rimuovi le credenziali Google Cloud CLI come utente
Apri l'elenco delle app con accesso al tuo Account Google.
Rimuovi Google Cloud CLI dall'elenco delle app collegate.
Quando accederai di nuovo a Google Cloud CLI, ti verrà chiesto automaticamente di autorizzare di nuovo l'applicazione.
Revoca le credenziali predefinite dell'applicazione come amministratore
Se sospetti che una credenziale predefinita dell'applicazione sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea finché il file delle credenziali non viene ricreato.
In qualità di amministratore di Google Workspace, rimuovi l'accesso alla libreria di autenticazione Google dall'elenco delle app collegate dell'utente. Per ulteriori informazioni, consulta l'articolo Visualizzare e rimuovere l'accesso ad applicazioni di terze parti.
Revoca credenziali predefinite dell'applicazione come utente
Se sospetti che una credenziale predefinita dell'applicazione che hai creato sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea finché il file delle credenziali non viene ricreato. Questa procedura può essere completata solo dal proprietario della credenziale compromessa.
Installa e inizializza Google Cloud CLI, se non l'hai già fatto.
Autorizza gcloud CLI con la tua identità utente, non con un account di servizio:
gcloud auth login
Per maggiori informazioni, consulta Autorizzare gcloud CLI.
Revoca le credenziali:
gcloud auth application-default revoke
Se vuoi, elimina il file
application_default_credentials.json
. La località dipende dal sistema operativo:- Linux e macOS:
$HOME/.config/gcloud/
- Windows:
%APPDATA%\gcloud\
- Linux e macOS:
Ricrea il file delle credenziali:
gcloud auth application-default login
Rendi i cookie del browser non validi in qualità di amministratore
Se sospetti che i cookie del browser siano stati compromessi, gli amministratori di Google Workspace possono disconnettere un utente dal proprio account.
Inoltre, forza immediatamente la modifica della password.
Queste azioni annullano tutti i cookie esistenti e all'utente viene chiesto di accedere di nuovo.
invalida i cookie del browser come utente
Se sospetti che i cookie del browser siano stati compromessi, esci dal tuo Account Google e cambia subito la password.
Queste azioni invalidano tutti i cookie esistenti. La volta successiva che accederai a Google Cloud, dovrai accedere di nuovo.
Cerca risorse e accessi non autorizzati
Dopo aver revocato le credenziali compromesse e ripristinato il servizio, esamina tutti gli accessi alle tue risorse Google Cloud. Puoi usare Logging o Security Command Center.
In Logging, completa quanto segue:
Esamina gli audit log nella console Google Cloud.
Cerca in tutte le risorse potenzialmente interessate e assicurati che tutte le attività dell'account (in particolare quelle relative alle credenziali compromesse) siano come previsto.
In Security Command Center, completa i seguenti passaggi:
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sezione Filtri rapidi, fai clic su un filtro appropriato per visualizzare il risultato necessario nella tabella Risultati della query dei risultati. Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato origine, nei risultati vengono visualizzati solo i risultati del servizio selezionato.
La tabella viene completata con i risultati per l'origine selezionata.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in
Category
. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.Per visualizzare tutti i risultati causati dalle azioni dello stesso utente:
- Nel riquadro dei dettagli del risultato, copia l'indirizzo email accanto a Email entità.
- Chiudi il riquadro.
In Editor di query, inserisci la seguente query:
access.principal_email="USER_EMAIL"
Sostituisci USER_EMAIL con l'indirizzo email che hai copiato in precedenza.
Security Command Center visualizza tutti i risultati associati alle azioni eseguite dall'utente specificato.
Elimina tutte le risorse non autorizzate
Assicurati che non siano presenti risorse impreviste, come VM, app di App Engine, account di servizio, bucket Cloud Storage e così via, a cui la credenziale compromessa potrebbe accedere.
Dopo aver identificato tutte le risorse non autorizzate, puoi scegliere di eliminarle immediatamente. Questo è particolarmente importante per le risorse Compute Engine, perché gli utenti malintenzionati possono utilizzare account compromessi per esfiltrare i dati o compromettere i sistemi di produzione.
In alternativa, puoi provare a isolare le risorse non autorizzate per consentire ai tuoi team forensi di eseguire ulteriori analisi.
Contatta l'assistenza clienti Google Cloud
Per farti aiutare a trovare i log e gli strumenti di Google Cloud necessari per l'indagine e le misure di mitigazione, contatta l'assistenza clienti e apri una richiesta di assistenza.
Best practice per evitare la compromissione delle credenziali
Questa sezione descrive le best practice che puoi implementare per evitare la compromissione delle credenziali.
Separa le credenziali dal codice
Gestisci e memorizza le tue credenziali separatamente dal codice sorgente. È estremamente comune eseguire accidentalmente il push di credenziali e codice sorgente su un sito di gestione delle sorgenti come GitHub, rendendo le tue credenziali vulnerabili agli attacchi.
Se utilizzi GitHub o un altro repository pubblico, puoi implementare strumenti come Anomaly Detection o Scansione di secret, che ti avvisa della presenza di secret esposti nei tuoi repository GitHub. Per impedire che il commit delle chiavi venga eseguito nei repository GitHub, puoi utilizzare strumenti come git-secrets.
Utilizza soluzioni di gestione dei secret come Secret Manager e Hashicorp Vault per archiviare i secret, ruotarli regolarmente e applicare privilegio minimo.
Implementa le best practice per gli account di servizio
Per proteggere gli account di servizio, consulta le best practice per l'utilizzo degli account di servizio.
Limita la durata delle sessioni
Per forzare una riautenticazione periodica, limita il tempo in cui le sessioni rimangono attive per gli account Google e Google Cloud. Per ulteriori informazioni, consulta quanto segue:
Utilizzare i Controlli di servizio VPC per limitare l'accesso
Per limitare l'impatto delle credenziali compromesse, crea perimetri di servizio utilizzando Controlli di servizio VPC. Quando configuri i Controlli di servizio VPC, le risorse all'interno del perimetro possono comunicare solo con altre risorse all'interno del perimetro.