Le credenziali di Google Cloud controllano l'accesso alle tue risorse ospitate su Google Cloud. Per aiutarti a mantenere i tuoi dati al sicuro gli utenti malintenzionati, devi gestire le tue credenziali con la massima cura.
Ti consigliamo di proteggere tutte le tue credenziali Google Cloud per impedire l'accesso non voluto. Questi le credenziali includono, a titolo esemplificativo:
Credenziali di servizio:
- Chiavi private dell'account di servizio (file JSON e p12)
- Chiavi API
- ID client OAuth2 segreti
Credenziali utente create e gestite sulle workstation di sviluppo altri computer:
Cookie del browser
Le credenziali di Google Cloud CLI vengono archiviate nella
della home directory dell'utente. Puoi elencarli in Google Cloud CLI utilizzando il comando gcloud
auth list.
Le credenziali predefinite dell'applicazione vengono archiviate sulla workstation dello sviluppatore.
I cookie sono specifici del browser, ma di solito vengono memorizzati sul
la workstation.
Se sospetti che una delle tue credenziali sia stata compromessa, devi agire immediatamente per limitare l'impatto della compromissione sui tuoi Google Cloud.
Monitora la compromissione delle credenziali
Per monitorare le potenziali compromissioni, prendi in considerazione quanto segue:
Monitorare le attività sospette degli account, come l'escalation dei privilegi e creazione di più account. Monitora queste attività utilizzando Cloud Audit Logs Policy Intelligence e Security Command Center. Utilizza i seguenti servizi e funzionalità di Security Command Center:
- Rilevamento delle minacce di eventi identificare le minacce basate sulle attività degli amministratori, modifiche e le modifiche alle autorizzazioni Identity and Access Management (IAM).
- Azioni sensibili Servizio per monitorare le azioni nell'organizzazione, nelle cartelle e nei progetti che in modo dannoso per la tua azienda nel caso in cui vengano presi da un utente malintenzionato.
- Gestione dei diritti dell'infrastruttura cloud (CIEM) (anteprima) per gestire per le identità e generare risultati in caso di errori di configurazione.
Monitora gli accessi degli utenti in Google Workspace e Cloud Identity. Per monitorare meglio i problemi, valuta la possibilità di esportare i log in Cloud Logging.
Monitora i secret nei repository di codice utilizzando strumenti come Anomaly Rilevamento o scansione segreta.
Monitorare le anomalie nell'utilizzo delle chiavi degli account di servizio tramite Cloud Monitoring o CIEM.
Assicurarsi che il centro operativo di sicurezza (SOC) sia informato tempestivamente e abbia i programmi, gli strumenti e l'accesso necessari per rispondere rapidamente la sospetta compromissione delle credenziali. Utilizza Security Command Center Enterprise livello abilitare le funzionalità SIEM e SOAR, come i playbook, i flussi di lavoro di risposta e azioni automatiche. Puoi anche integrare Security Command Center con i tuoi SIEM o importazione dei log in Google Security Operations per ulteriori analisi.
Proteggi le tue risorse Google Cloud da una credenziale compromessa
Completa i passaggi nelle sezioni seguenti il prima possibile per proteggere le tue risorse se sospetti che una credenziale sia stata compromessa.
Revocare e riemettere le credenziali
Se sospetti che una credenziale sia stata compromessa, revocala ed emettila di nuovo. Procedi con attenzione per assicurarti di non subire un'interruzione del servizio come conseguenza della revoca e credenziali.
In generale, per riemettere le credenziali, devi generare una nuova credenziale, eseguirne il push a tutti i servizi e gli utenti che ne hanno bisogno, quindi revoca la credenziale precedente.
Le seguenti sezioni forniscono istruzioni specifiche per ogni tipo di la credenziale.
Sostituisci una chiave dell'account di servizio
Nella console Google Cloud, vai alla pagina Account di servizio.
Individua l'account di servizio interessato.
Crea una nuova chiave per l'account di servizio.
Premi la nuova chiave in tutte le posizioni in cui era in uso quella precedente.
Elimina la vecchia chiave.
Per ulteriori informazioni, consulta Creare un servizio Google Cloud.
Rigenera chiavi API
Nella console Google Cloud, vai alla pagina Credenziali.
Crea una nuova chiave API utilizzando il pulsante Crea credenziali. Configura il nuova chiave sia uguale alla chiave API compromessa. Le restrizioni sull'API la chiave deve corrispondere; altrimenti potresti subire un'interruzione.
Esegui il push della chiave API in tutte le posizioni in cui era in uso la chiave precedente.
Elimina la vecchia chiave.
Per maggiori informazioni, consulta Autenticazione tramite API chiave.
Reimposta un secret dell'ID client OAuth2
La modifica di un secret ID client causerà un'interruzione temporanea mentre il secret è stato ruotato.
Nella console Google Cloud, vai alla pagina Credenziali.
Seleziona l'ID client OAuth2 compromesso e modificalo.
Fai clic su Reimposta secret.
Esegui il push del nuovo secret nell'applicazione.
Per ulteriori informazioni, consulta la sezione Configurare OAuth. 2.0 e l'utilizzo di OAuth 2.0 per accedere alle API di Google.
Rimuovi le credenziali Google Cloud CLI come amministratore
In qualità di amministratore di Google Workspace, rimuovi l'accesso a Google Cloud CLI dal l'elenco di app collegate dell'utente. Per ulteriori informazioni, leggi l'articolo Visualizzare e rimuovere l'accesso. a terze parti applicazioni.
Quando l'utente accede nuovamente a Google Cloud CLI, chiederà automaticamente di autorizzare nuovamente l'applicazione.
Rimuovi le credenziali Google Cloud CLI come utente
Apri l'elenco delle app con accesso al tuo Account Google.
Rimuovi Google Cloud CLI dall'elenco delle app collegate.
Quando accedi di nuovo a Google Cloud CLI, ti verrà chiesto automaticamente di autorizzare nuovamente l'applicazione.
Revoca le credenziali predefinite dell'applicazione come amministratore
Se sospetti che una credenziale predefinita dell'applicazione sia compromesso, puoi revocarlo. Questa procedura può causare un'interruzione temporanea fino a quando il file delle credenziali non viene ricreato.
In qualità di amministratore di Google Workspace, rimuovi l'accesso allo Libreria di autenticazione Google dall'elenco di app collegate dell'utente. Per maggiori informazioni informazioni, consulta Visualizzare e rimuovere l'accesso a applicazioni.
Revoca credenziali predefinite dell'applicazione come utente
Se sospetti che una credenziale predefinita dell'applicazione che hai creato sia compromesso, puoi revocarlo. Questa procedura può causare un'interruzione temporanea fino a quando il file delle credenziali non viene ricreato. Questa procedura può essere completata solo il proprietario della credenziale compromessa.
Installa e inizializza Google Cloud CLI, se non hai .
Autorizza gcloud CLI con la tua identità utente, non con un servizio :
gcloud auth loginPer ulteriori informazioni, consulta la sezione Autorizzare con gcloud CLI.
Revoca le credenziali:
gcloud auth application-default revokeSe vuoi, puoi eliminare
application_default_credentials.json. La località dipende Sistema operativo:- Linux e macOS:
$HOME/.config/gcloud/ - Windows:
%APPDATA%\gcloud\
- Linux e macOS:
Ricrea il file delle credenziali:
gcloud auth application-default login
Rendi i cookie del browser non validi in qualità di amministratore
Se sospetti che i cookie del browser siano stati compromessi, gli amministratori di Google Workspace possono disconnettere un utente dal proprio .
Inoltre, forza immediatamente la modifica della password.
Queste azioni invalidano tutti cookie esistenti e all'utente viene chiesto di eseguire nuovamente l'accesso.
invalida i cookie del browser come utente
Se sospetti che i cookie del browser siano compromessi, esci dal tuo account Account e cambia subito la password.
Queste azioni invalidano tutti i cookie esistenti. Al prossimo accesso Google Cloud, devi accedere di nuovo.
Cerca risorse e accessi non autorizzati
Dopo aver revocato le credenziali compromesse e aver ripristinato il servizio, controlla tutti alle tue risorse Google Cloud. Puoi usare Logging o Security Command Center.
In Logging, completa quanto segue:
Esamina i log di controllo nella nella console Google Cloud.
Cerca in tutte le risorse potenzialmente interessate e assicurati che tutte le attività dell'account (in particolare quelle correlate alle credenziali compromesse) come previsto.
In Security Command Center, completa i seguenti passaggi:
Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sezione Filtri rapidi, fai clic sul filtro appropriato da visualizzare il risultato di cui hai bisogno nella tabella Risultati della query dei risultati. Per Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato origine, solo i risultati della e il servizio selezionato vengono visualizzati nei risultati.
La tabella viene completata con i risultati per l'origine selezionata.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto
CategoryIl riquadro dei dettagli del risultato si espande per visualizzare un riepilogo dei dettagli del risultato.Per visualizzare tutti i risultati causati dalle azioni dello stesso utente:
- Nel riquadro dei dettagli del risultato, copia l'indirizzo email accanto a Email dell'entità.
- Chiudi il riquadro.
In Editor di query, inserisci la seguente query:
access.principal_email="USER_EMAIL"Sostituisci USER_EMAIL con l'indirizzo email che precedentemente copiati.
Security Command Center visualizza tutti i risultati associati alle azioni dell'utente specificato.
Elimina tutte le risorse non autorizzate
Assicurati che non siano presenti risorse impreviste, come VM, App Engine app, account di servizio, bucket Cloud Storage e così via, a cui la credenziale compromessa potrebbe accedere.
Dopo aver verificato di aver identificato tutte le risorse non autorizzate, puoi scegliere di eliminare immediatamente le risorse. Ciò è particolarmente importante della le risorse Compute Engine, perché i malintenzionati possono usare gli account compromessi esfiltrare i dati o altrimenti a compromettere i tuoi sistemi di produzione.
In alternativa, puoi provare a isolare le risorse non autorizzate per consentire ai tuoi team forensi per eseguire analisi aggiuntive.
Contatta l'assistenza clienti Google Cloud
Per farti aiutare a trovare i log e gli strumenti di Google Cloud di cui hai bisogno per la tua le misure di indagine e mitigazione, contatta l'assistenza clienti e apri una richiesta di assistenza.
Best practice per evitare la compromissione delle credenziali
In questa sezione vengono descritte le best practice che puoi implementare per evitare le credenziali compromesse.
Separa le credenziali dal codice
Gestisci e memorizza le tue credenziali separatamente dal codice sorgente. È estremamente comune per eseguire accidentalmente il push di credenziali e codice sorgente di codice sorgente come GitHub, che rende vulnerabili le tue credenziali un attacco.
Se utilizzi GitHub o un altro repository pubblico, puoi implementare strumenti come come Anomalia Rilevamento o segreto scansione, che ti avvisa in caso di secret esposti nei repository GitHub. Per interrompere le chiavi dal commit nei repository GitHub, valuta di utilizzare strumenti come git-secret.
Utilizzare soluzioni di gestione dei secret come Secret Manager e Hashicorp Vault per archiviare i tuoi secret e ruotarli regolarmente e applicare il privilegio minimo.
Implementa le best practice per gli account di servizio
Per proteggere gli account di servizio, consulta best practice per l'uso degli account di servizio.
Limita la durata delle sessioni
Per forzare una riautenticazione periodica, limita il tempo in cui le sessioni rimangono attive per gli account Google e Google Cloud. Per ulteriori informazioni, consulta seguenti:
Utilizzare i Controlli di servizio VPC per limitare l'accesso
Per limitare l’impatto di compromissioni e credenziali, crea perimetri di servizio utilizzando Controlli di servizio VPC. Quando configuri i Controlli di servizio VPC, le risorse all'interno del perimetro possono comunicare solo con le altre risorse all'interno lungo il perimetro.