Gestione delle credenziali Google Cloud compromesse

Le credenziali Google Cloud controllano l'accesso alle risorse ospitate su Google Cloud. Per mantenere i tuoi dati sicuri e protetti dagli hacker, devi gestire le tue credenziali con la massima attenzione.

Ti consigliamo di proteggere tutte le tue credenziali Google Cloud dall'accesso involontario. Queste credenziali includono, a titolo esemplificativo:

• Credenziali di servizio:

  • Chiavi private dell'account di servizio (file JSON e p12)
  • Chiavi API
  • Segreti ID client OAuth2

• Credenziali utente create e gestite su workstation per sviluppatori o altri computer:

  • Credenziali Google Cloud CLI

  • Credenziali predefinite dell'applicazione

  • Cookie del browser

Le credenziali di Google Cloud CLI sono memorizzate nella home directory dell'utente. Puoi elencarli in Google Cloud CLI utilizzando il comando gcloud auth list. Le credenziali predefinite dell'applicazione vengono archiviate sulla workstation dello sviluppatore. Le cucine del browser sono specifiche per il browser, ma in genere vengono memorizzate sulla workstation dello sviluppatore.

Se sospetti che le tue credenziali siano state compromesse, devi agire immediatamente per limitare l'impatto della compromissione sul tuo account Google Cloud.

Monitoraggio della compromissione delle credenziali

Per monitorare potenziali compromissioni, considera quanto segue:

• Monitorare le attività sospette degli account, come l'escalation dei privilegi e la creazione di più account. Monitora queste attività utilizzando gli audit log di Cloud e Event Threat Detection. Configura avvisi in base alle attività degli amministratori negli audit log di Compute Engine e negli audit log di Google Kubernetes Engine (GKE). Utilizza Event Threat Detection per identificare le minacce basate sulle attività di amministrazione, sulle modifiche ai gruppi e sulle modifiche alle autorizzazioni IAM (Identity and Access Management).

• Monitora gli accessi degli utenti in Google Workspace e Cloud Identity. Per monitorare meglio i problemi, ti consigliamo di esportare i log in Cloud Logging.

• Monitora i secret nei repository di codice utilizzando strumenti come la scansione dei segreti.

• Monitorare le anomalie nell'utilizzo delle chiavi dell'account di servizio con Cloud Monitoring.

Assicurati che il tuo centro operativo di sicurezza (SOC) venga informato tempestivamente. Puoi integrare Security Command Center con il tuo SIEM, esportare i log da Cloud Logging nel tuo SIEM o importare i log in Google Security Operations per ulteriori analisi.

Assicurarsi che il SOC disponga dei playbook, degli strumenti e dell'accesso necessari per rispondere rapidamente a una sospetta compromissione delle credenziali.

Proteggi le tue risorse Google Cloud da una credenziale compromessa

Completa i passaggi nelle sezioni seguenti il prima possibile per proteggere le tue risorse se sospetti che una credenziale sia stata compromessa.

Revocare e riemettere le credenziali

Se sospetti che una qualifica sia stata compromessa, revocala ed emettila di nuovo. Procedi con attenzione per assicurarti di non riscontrare un'interruzione del servizio a causa della revoca delle credenziali.

In generale, per riemettere le credenziali, devi generare una nuova credenziale, eseguirne il push a tutti i servizi e gli utenti che ne hanno bisogno, quindi revocare la vecchia credenziale.

Le seguenti sezioni forniscono istruzioni specifiche per ciascun tipo di credenziale.

Sostituisci una chiave dell'account di servizio

1. Nella console Google Cloud, vai alla pagina Account di servizio.

   Vai ad Account di servizio

2. Individua l'account di servizio interessato.

3. Crea una nuova chiave per l'account di servizio.

4. Esegui il push della nuova chiave in tutte le posizioni in cui era in uso la vecchia chiave.

5. Elimina la chiave precedente.

Per ulteriori informazioni, consulta Creazione e gestione degli account di servizio.

Rigenera le chiavi API

1. Nella console Google Cloud, vai alla pagina Credenziali.

   Vai a Credenziali

2. Crea una nuova chiave API utilizzando il pulsante Crea credenziali. Configura la nuova chiave nello stesso modo della chiave API compromessa. Le limitazioni sulla chiave API devono corrispondere, altrimenti potresti riscontrare un'interruzione.

3. Esegui il push della chiave API in tutte le posizioni in cui era in uso la vecchia chiave.

4. Elimina la chiave precedente.

Per ulteriori informazioni, consulta la sezione Utilizzo delle chiavi API.

Reimpostare un secret ID client OAuth2

La modifica di un ID client secret causerà un'interruzione temporanea durante la rotazione del secret.

1. Nella console Google Cloud, vai alla pagina Credenziali.

   Vai a Credenziali

2. Seleziona l'ID client OAuth2 compromesso e modificalo.

3. Fai clic su Reset Secret (Reimposta secret).

4. Esegui il push del nuovo secret nella tua applicazione.

Per ulteriori informazioni, consulta Configurazione di OAuth 2.0 e Utilizzo di OAuth 2.0 per accedere alle API di Google.

Rimuovi le credenziali Google Cloud CLI come amministratore

In qualità di amministratore di Google Workspace, rimuovi l'accesso a Google Cloud CLI dall'elenco delle app collegate dell'utente. Per maggiori informazioni, consulta Visualizzare e rimuovere l'accesso alle applicazioni di terze parti.

Quando l'utente accede di nuovo a Google Cloud CLI, gli verrà chiesto automaticamente di autorizzare di nuovo l'applicazione.

Rimuovi le credenziali Google Cloud CLI come utente

1. Apri l'elenco di app con accesso al tuo Account Google.

2. Rimuovi Google Cloud CLI dall'elenco delle app collegate.

Quando accedi di nuovo a Google Cloud CLI, ti verrà chiesto automaticamente di autorizzare di nuovo l'applicazione.

Revoca credenziali predefinite dell'applicazione come amministratore

Se sospetti che una credenziale predefinita dell'applicazione sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea fino alla creazione del file delle credenziali.

In qualità di amministratore di Google Workspace, rimuovi l'accesso alla libreria di autenticazione Google dall'elenco delle app collegate dell'utente. Per scoprire di più, consulta Visualizzare e rimuovere l'accesso alle applicazioni di terze parti.

Revoca credenziali predefinite dell'applicazione come utente

Se sospetti che una credenziale predefinita dell'applicazione che hai creato sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea fino alla creazione del file delle credenziali. Questa procedura può essere completata solo dal proprietario della credenziale compromessa.

1. Installa e inizializza Google Cloud CLI, se non l'hai già fatto.

2. Autorizza gcloud CLI con la tua identità utente, non con un account di servizio:

    gcloud auth login
   

   Per ulteriori informazioni, vedi (/sdk/docs/authorizing).

3. Revoca le credenziali:

     gcloud auth application-default revoke
   

4. Se vuoi, elimina il file application_default_credentials.json. La località dipende dal sistema operativo:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Ricrea il file delle credenziali:

    gcloud auth application-default login
   

Annulla i cookie del browser in qualità di amministratore

Se sospetti che i cookie del browser siano stati compromessi, gli amministratori di Google Workspace possono disconnettere un utente dal proprio account.

Inoltre, forza immediatamente la modifica della password.

Queste azioni invalidano tutti i cookie esistenti e all'utente viene chiesto di accedere nuovamente.

Annulla i cookie del browser in qualità di utente

Se sospetti che i cookie del browser siano stati compromessi, esci dal tuo Account Google e cambia immediatamente la password.

Queste azioni invalidano tutti i cookie esistenti. La volta successiva che accederai a Google Cloud, dovrai accedere di nuovo.

Cerca risorse e accessi non autorizzati

Dopo aver revocato le credenziali compromesse e ripristinato il servizio, controlla tutti gli accessi alle tue risorse Google Cloud.

1. Esamina i tuoi log di controllo nella console Google Cloud.

   Vai a Esplora log

2. Cerca tutte le risorse potenzialmente interessate e assicurati che tutte le attività dell'account, in particolare quelle relative alle credenziali compromesse, siano come previsto.

Elimina tutte le risorse non autorizzate

Assicurati che le credenziali compromesse non possano accedere a risorse impreviste come VM, app App Engine, account di servizio, bucket Cloud Storage e così via.

Dopo aver identificato tutte le risorse non autorizzate, puoi scegliere di eliminarle immediatamente. Ciò è particolarmente importante per le risorse di Compute Engine, poiché i malintenzionati possono utilizzare gli account compromessi per esfiltrare i dati o compromettere in altro modo i tuoi sistemi di produzione.

In alternativa, puoi provare a isolare le risorse non autorizzate per consentire ai tuoi team forensi di eseguire analisi aggiuntive.

Contatta l'assistenza clienti Google Cloud

Per assistenza su come trovare i log e gli strumenti di Google Cloud necessari per l'indagine e i passaggi di mitigazione, contatta l'assistenza clienti e apri una richiesta di assistenza.

Best practice per evitare la compromissione delle credenziali

In questa sezione vengono descritte le best practice che puoi implementare per evitare di compromettere le credenziali.

Separa le credenziali dal codice

Gestire e archiviare le credenziali separatamente dal codice sorgente. È estremamente comune inviare accidentalmente sia le credenziali che il codice sorgente a un sito di gestione dei codice sorgente come GitHub, rendendo le tue credenziali vulnerabili agli attacchi.

Se usi GitHub o un altro repository pubblico, puoi implementare strumenti come la scansione dei segreti, che ti avvisa in caso di secret esposti nei tuoi repository GitHub. Per impedire il commit delle chiavi nei repository GitHub, valuta l'utilizzo di strumenti come git-secrets.

Utilizza soluzioni di gestione dei secret come Secret Manager e Hashicorp Vault per archiviare i secret, ruotarli regolarmente e applicare privilegio minimo.

Implementare le best practice per gli account di servizio

Per proteggere gli account di servizio, consulta le best practice per l'utilizzo degli account di servizio.

Limita la durata delle sessioni

Per forzare la riautenticazione periodica, limita il periodo di tempo durante il quale le sessioni rimangono attive per gli account Google e Google Cloud. Per saperne di più, consulta quanto segue:

• Impostare la durata delle sessioni per Google Workspace

• Impostare la durata della sessione per i servizi Google Cloud

• Impostare la durata della sessione per Cloud Identity

Utilizzare i Controlli di servizio VPC per limitare l'accesso

Per limitare l'impatto delle credenziali compromesse, crea perimetri di servizio utilizzando i Controlli di servizio VPC. Quando configuri i Controlli di servizio VPC, le risorse all'interno del perimetro possono comunicare solo con le altre risorse all'interno del perimetro.