Gestire le credenziali Google Cloud compromesse

Le credenziali Google Cloud controllano l'accesso alle risorse ospitate su Google Cloud. Per contribuire a mantenere i tuoi dati protetti e al sicuro dagli autori di attacchi, devi gestire le tue credenziali con la massima attenzione.

Ti consigliamo di proteggere tutte le tue credenziali Google Cloud da accessi indesiderati. Queste credenziali includono, a titolo esemplificativo:

• Credenziali del servizio:

  • Chiavi private dell'account di servizio (file JSON e P12)
  • Chiavi API
  • Secrets per gli ID client OAuth2

• Le credenziali utente create e gestite sulle workstation degli sviluppatori o su altri computer:

  • Credenziali di Google Cloud CLI

  • Credenziali predefinite dell'applicazione

  • Cookie del browser

Le credenziali Google Cloud CLI sono archiviate nella home directory dell'utente. Puoi elencarli in Google Cloud CLI utilizzando il comando gcloud auth list. Le credenziali predefinite dell'applicazione vengono archiviate sulla workstation dello sviluppatore. I cookie del browser sono specifici del browser, ma in genere vengono memorizzati sullaworkstation dello sviluppatore.

Se sospetti che una delle tue credenziali sia stata compromessa, devi intervenire immediatamente per limitare l'impatto della compromissione sul tuo account Google Cloud.

Monitorare le credenziali compromesse

Per monitorare la presenza di potenziali compromessi, considera quanto segue:

• Monitora le attività dell'account sospette, come l'escalation dei privilegi e la creazione di più account. Monitora queste attività utilizzando Cloud Audit Logs, Policy Intelligence e Security Command Center. Utilizza i seguenti servizi e funzionalità di Security Command Center:

  • Rilevamento delle minacce basate su eventi per identificare le minacce basate sulle attività degli amministratori, sulle modifiche ai gruppi e sulle modifiche delle autorizzazioni IAM (Identity and Access Management). Per ogni categoria di minaccia, vengono forniti passaggi di indagine consigliati per aiutarti a rispondere.
  • Servizio Azioni sensibili per monitorare le azioni nella tua organizzazione, nelle cartelle e nei progetti che potrebbero essere dannose per la tua attività se intraprese da un utente malintenzionato.
  • Cloud Infrastructure Entitlement Management (CIEM) (anteprima) per gestire l'accesso per le identità e generare risultati per le configurazioni errate.

• Monitora gli accessi degli utenti in Google Workspace e Cloud Identity. Per monitorare meglio i problemi, valuta la possibilità di esportare i log in Cloud Logging.

• Monitora la presenza di secret nei tuoi repository di codice utilizzando strumenti come il rilevamento di anomalie o la scansione dei secret.

• Monitora le anomalie nell'utilizzo delle chiavi degli account di servizio utilizzando Cloud Monitoring o CIEM.

Assicurati che il tuo Security Operations Center (SOC) riceva una notifica tempestiva e disponga degli script, degli strumenti e dell'accesso necessari per rispondere rapidamente a una presunta compromissione delle credenziali. Utilizza il livello Security Command Center Enterprise per attivare funzionalità SIEM e SOAR come playbook, flussi di lavoro di risposta e azioni automatiche. Puoi anche integrare Security Command Center con il tuo SIEM esistente o importare i log in Google Security Operations per ulteriori analisi.

Proteggere le risorse Google Cloud da una credenziale compromessa

Completa i passaggi descritti nelle sezioni seguenti il prima possibile per contribuire a proteggere le tue risorse se sospetti che una credenziale sia compromessa.

Revocare e emettere nuovamente le credenziali

Se sospetti che una credenziale sia compromessa, revocala e riassegnala. Procedi con cautela per assicurarti di non subire un'interruzione del servizio a causa della revoca delle credenziali.

In genere, per emettere nuovamente le credenziali, generi una nuova credenziale, la invii a tutti i servizi e gli utenti che ne hanno bisogno e poi revochi la vecchia credenziale.

Le sezioni seguenti forniscono istruzioni specifiche per ogni tipo di credenziale.

Sostituire una chiave dell'account di servizio

1. Nella console Google Cloud, vai alla pagina Account di servizio.

   Vai ad Account di servizio

2. Individua l'account di servizio interessato.

3. Crea una nuova chiave per l'account di servizio.

4. Invia la nuova chiave a tutte le posizioni in cui era in uso la vecchia chiave.

5. Elimina la vecchia chiave.

Per ulteriori informazioni, vedi Creare account di servizio.

Rigenerare le chiavi API

1. Nella console Google Cloud, vai alla pagina Credenziali.

   Vai a credenziali

2. Crea una nuova chiave API utilizzando il pulsante Crea credenziali. Configura la nuova chiave in modo che corrisponda a quella compromessa. Le restrizioni relative alla chiave API devono corrispondere; in caso contrario, potresti riscontrare un'interruzione del servizio.

3. Invia la chiave API a tutte le posizioni in cui era in uso la vecchia chiave.

4. Elimina la vecchia chiave.

Per ulteriori informazioni, consulta l'articolo Eseguire l'autenticazione utilizzando le chiavi API.

Reimpostare il client secret di un ID client OAuth2

La modifica di un secret dell'ID client causerà un'interruzione temporanea durante la rotazione del secret.

1. Nella console Google Cloud, vai alla pagina Credenziali.

   Vai a credenziali

2. Seleziona l'ID client OAuth2 compromesso e modificalo.

3. Fai clic su Reimposta secret.

4. Invia il nuovo secret all'applicazione.

Per ulteriori informazioni, consulta Configurare OAuth 2.0 e Utilizzare OAuth 2.0 per accedere alle API di Google.

Rimuovere le credenziali della CLI Google Cloud come amministratore

In qualità di amministratore di Google Workspace, rimuovi l'accesso a Google Cloud CLI dall'elenco delle app collegate dell'utente. Per ulteriori informazioni, vedi Visualizzare e rimuovere l'accesso alle applicazioni di terze parti.

Quando l'utente accede di nuovo a Google Cloud CLI, gli viene chiesto automaticamente di autorizzare nuovamente l'applicazione.

Rimuovere le credenziali di Google Cloud CLI come utente

1. Apri l'elenco delle app con accesso al tuo Account Google.

2. Rimuovi Google Cloud CLI dall'elenco delle app collegate.

Quando accedi di nuovo Google Cloud CLI, ti verrà chiesto automaticamente di autorizzare di nuovo l'applicazione.

Revocare le credenziali predefinite dell'applicazione come amministratore

Se sospetti che una credenziale predefinita dell'applicazione sia compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea fino a quando il file delle credenziali non viene ricreato.

In qualità di amministratore di Google Workspace, rimuovi l'accesso alla libreria di autenticazione di Google dall'elenco delle app collegate dell'utente. Per ulteriori informazioni, vedi Visualizzare e rimuovere l'accesso alle applicazioni di terze parti.

Revocare le credenziali predefinite dell'applicazione come utente

Se sospetti che una credenziale predefinita per l'applicazione che hai creato sia compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea fino a quando il file delle credenziali non viene ricreato. Questa procedura può essere completata solo dal proprietario della credenziale compromessa.

1. Installa e inizializza Google Cloud CLI, se non lo hai già fatto.

2. Autorizza gcloud CLI con la tua identità utente, non con un account di servizio:

    gcloud auth login
   

   Per ulteriori informazioni, consulta la sezione Autorizzare gcloud CLI.

3. Revoca le credenziali:

     gcloud auth application-default revoke
   

4. Se vuoi, elimina il file application_default_credentials.json. La posizione dipende dal sistema operativo:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Ricrea il file delle credenziali:

    gcloud auth application-default login
   

Annullare l'autenticazione dei cookie del browser come amministratore

Se sospetti che i cookie del browser siano stati compromessi, gli amministratori di Google Workspace possono disconnettere un utente dal suo account.

Inoltre, richiedi immediatamente la modifica della password.

Queste azioni rendono non validi tutti i cookie esistenti e all'utente viene chiesto di eseguire di nuovo l'accesso.

Annullare l'autenticazione dei cookie del browser come utente

Se sospetti che i cookie del browser siano stati compromessi, esci dal tuo Account Google e cambia immediatamente la password.

Queste azioni rendono non validi tutti i cookie esistenti. La prossima volta che accedi a Google Cloud, dovrai accedere di nuovo.

Cerca accessi e risorse non autorizzati

Dopo aver revocato le credenziali compromesse e ripristinato il servizio, controlla tutto l'accesso alle tue risorse Google Cloud. Puoi utilizzare Logging o Security Command Center.

In Log, completa quanto segue:

1. Esamina i log di controllo nella console Google Cloud.

   Vai a Esplora log

2. Cerca tutte le risorse potenzialmente interessate e assicurati che tutte le attività dell'account (in particolare quelle relative alle credenziali compromesse) siano come previsto.

In Security Command Center, completa quanto segue:

1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

   Vai a Risultati

2. Se necessario, seleziona il tuo progetto o la tua organizzazione Google Cloud.

3. Nella sezione Filtri rapidi, fai clic su un filtro appropriato per visualizzare il risultato che ti serve nella tabella Risultati della query sui risultati. Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato dell'origine, nei risultati vengono visualizzati solo i risultati del servizio selezionato.

   La tabella viene compilata con i risultati relativi all'origine selezionata.

4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Category. Il riquadro dei dettagli del risultato si espande per visualizzare un riepilogo dei dettagli del risultato.

5. Per visualizzare tutti i risultati causati dalle azioni dello stesso utente:

   1. Nel riquadro dei dettagli del risultato, copia l'indirizzo email accanto a Email principale.
   2. Chiudi il riquadro.

   3. Nell'Editor di query, inserisci la seguente query:

      access.principal_email="USER_EMAIL"
      

      Sostituisci USER_EMAIL con l'indirizzo email che hai copiato in precedenza.

      Security Command Center mostra tutti i risultati associati alle azioni svolte dall'utente specificato.

Elimina tutte le risorse non autorizzate

Assicurati che non ci siano risorse impreviste, come VM, app di App Engine, account di servizio, bucket Cloud Storage e così via, a cui la credenziale compromessa potrebbe accedere.

Una volta accertato di aver identificato tutte le risorse non autorizzate, puoi scegliere di eliminarle immediatamente. Questo è particolarmente importante per le risorse Compute Engine, perché gli attaccanti possono utilizzare gli account compromessi per esfiltrare i dati o compromettere i sistemi di produzione.

In alternativa, puoi provare a isolare le risorse non autorizzate per consentire ai tuoi team forensi di eseguire analisi aggiuntive.

Contattare l'assistenza clienti Google Cloud

Per assistenza nella ricerca dei log e degli strumenti Google Cloud necessari per le operazioni di indagine e mitigazione, contatta l'assistenza clienti e apri una richiesta di assistenza.

Best practice per evitare credenziali compromesse

Questa sezione descrive le best practice che puoi implementare per evitare credenze compromesse.

Separare le credenziali dal codice

Gestisci e archivia le tue credenziali separatamente dal codice sorgente. È estremamente comune spingere accidentalmente sia le credenziali sia il codice sorgente su un sito di gestione del codice sorgente come GitHub, il che rende le credenziali vulnerabili agli attacchi.

Se utilizzi GitHub o un altro repository pubblico, puoi implementare strumenti come Anomaly Detection o Scanning dei segreti, che ti avvisano dei segreti esposti nei tuoi repository GitHub. Per impedire che le chiavi vengano committate nei tuoi repository GitHub, ti consigliamo di utilizzare strumenti come git-secrets.

Utilizza soluzioni di gestione dei segreti come Secret Manager e Hashicorp Vault per archiviare i segreti, ruotarli regolarmente e applicare il privilegio minimo.

Implementa le best practice per gli account di servizio

Per contribuire a proteggere gli account di servizio, consulta le best practice per l'utilizzo degli account di servizio.

Limitare la durata delle sessioni

Per forzare la re-autenticazione periodica, limita il tempo di attività delle sessioni per gli account Google e Google Cloud. Per ulteriori informazioni, consulta quanto segue:

• Impostare la durata della sessione per Google Workspace

• Impostare la durata della sessione per i servizi Google Cloud

• Impostare la durata della sessione per Cloud Identity

Utilizzare i Controlli di servizio VPC per limitare l'accesso

Per limitare l'impatto delle credenziali compromesse, crea perimetri di servizio utilizzando i Controlli di servizio VPC. Quando configuri Controlli di servizio VPC, le risorse all'interno del perimetro possono comunicare solo con altre risorse all'interno del perimetro.