Umgang mit gefährdeten Google Cloud-Anmeldedaten

Google Cloud-Anmeldedaten steuern den Zugriff auf Ihre Ressourcen, die in Google Cloud gehostet werden. Damit Ihre sonstigen Daten sicher und vor Angreifern geschützt sind, müssen Sie die Anmeldedaten mit größter Sorgfalt behandeln.

Wir empfehlen Ihnen, alle Ihre Google Cloud-Anmeldedaten vor einem unbeabsichtigten Zugriff zu schützen. Zu den Anmeldedaten gehören unter anderem folgende Daten:

• Dienstanmeldedaten:

  • Private Schlüssel für Dienstkonten (JSON- und p12-Dateien)
  • API-Schlüssel
  • OAuth2-Client-ID-Secrets

• Nutzeranmeldedaten, die auf Entwickler-Workstations oder anderen Computern erstellt und verwaltet werden:

  • Anmeldedaten für die Google Cloud CLI

  • Standardanmeldedaten für Anwendungen

  • Browser-Cookies

Anmeldedaten für die Google Cloud CLI werden im Basisverzeichnis des Nutzers gespeichert. Sie können sie mit dem Befehl gcloud auth list in der Google Cloud CLI auflisten. Standardanmeldedaten für Anwendungen werden auf der Workstation des Entwicklers gespeichert. Browser-Cookies sind browserspezifisch, werden jedoch in der Regel auf der Entwickler-Workstation gespeichert.

Wenn Sie vermuten, dass Ihre Anmeldedaten gehackt wurden, müssen Sie sofort Maßnahmen ergreifen, um die Auswirkungen des Hackings auf Ihr Google Cloud-Konto zu begrenzen.

Anmeldedaten auf Hacking prüfen

Beachten Sie Folgendes, um ein potenzielles Hacking zu erkennen:

• Achten Sie auf verdächtige Kontoaktivitäten wie Rechteausweitung und die Erstellung mehrerer Konten. Achten Sie auf solche Aktivitäten mit Cloud-Audit-Logs, Policy Intelligence und Security Command Center. Verwenden Sie die folgenden Security Command Center-Dienste und -Funktionen:

  • Verwenden Sie Event Threat Detection, um Bedrohungen zu identifizieren, die auf Administratoraktivitäten, Gruppenänderungen und IAM-Berechtigungsänderungen (Identity and Access Management) basieren.
  • Dienst für sensible Aktionen, mit dem Aktionen in Ihrer Organisation, in Ordnern und in Projekten erfasst werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
  • Cloud Infrastructure Entitlement Management (CIEM) (Vorabversion): Mit dieser Funktion können Sie den Zugriff für Identitäten verwalten und Ergebnisse zu Fehlkonfigurationen generieren.

• Überwachen Sie Nutzeranmeldungen in Google Workspace und Cloud Identity. Zur besseren Nachverfolgung von Problemen sollten Sie die Logs nach Cloud Logging exportieren.

• Verwenden Sie Tools wie Anomalieerkennung oder Secret-Scans, um in Ihren Code-Repositories auf Secrets zu prüfen.

• Mit Cloud Monitoring oder CIEM können Sie Anomalien bei der Nutzung von Dienstkontoschlüsseln überwachen.

Achten Sie darauf, dass Ihr Sicherheitscenter (SOC) sofort benachrichtigt wird und die Playbooks, Tools und den Zugriff hat, die erforderlich sind, um auf mutmaßliches Hacking von Anmeldedaten schnell zu reagieren. Mit der Security Command Center Enterprise-Stufe können Sie SIEM- und SOAR-Funktionen wie Playbooks, Reaktionsabläufe und automatisierte Aktionen aktivieren. Sie können auch Security Command Center in Ihr vorhandenes SIEM einbinden oder Logs zur weiteren Analyse in Google Security Operations importieren.

Google Cloud-Ressourcen vor gehackten Anmeldedaten schützen

Führen Sie die Schritte in den folgenden Abschnitten so schnell wie möglich aus, um Ihre Ressourcen zu schützen, wenn Sie vermuten, dass Anmeldedaten gehackt wurde.

Anmeldedaten zurücksetzen und neu erstellen

Wenn Sie den Verdacht haben, dass Anmeldedaten gehackt wurden, widerrufen Sie sie und geben Sie sie noch einmal aus. Gehen Sie sorgfältig vor, damit es zu keinem Dienstausfall kommt, wenn Sie Anmeldedaten widerrufen.

Im Allgemeinen generieren Sie zur erneuten Ausgabe von Anmeldedaten neue Anmeldedaten, übertragen diese an alle Dienste und Nutzer, die sie benötigen, und widerrufen dann die alten Anmeldedaten.

Die folgenden Abschnitte enthalten spezifische Anleitungen für die einzelnen Arten von Anmeldedaten.

Dienstkontoschlüssel ersetzen

1. Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf:

   Zur Seite „Dienstkonten“

2. Suchen Sie nach dem betroffenen Dienstkonto.

3. Erstellen Sie einen neuen Schlüssel für das Dienstkonto.

4. Übertragen Sie den neuen Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde.

5. Löschen Sie den alten Schlüssel.

Weitere Informationen finden Sie unter Dienstkonten erstellen.

API-Schlüssel neu generieren

1. Wechseln Sie in der Google Cloud Console zur Seite Anmeldedaten.

   Zu den Anmeldedaten

2. Erstellen Sie mithilfe der Schaltfläche Anmeldedaten erstellen einen neuen API-Schlüssel. Konfigurieren Sie den neuen Schlüssel genauso wie den manipulierten API-Schlüssel. Die Beschränkungen für den API-Schlüssel müssen übereinstimmen, da es ansonsten zu einem Ausfall kommen könnte.

3. Übertragen Sie den API-Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde.

4. Löschen Sie den alten Schlüssel.

Weitere Informationen finden Sie unter Mit API-Schlüsseln authentifizieren.

OAuth2-Client-ID-Secret zurücksetzen

Das Ändern eines Client-ID-Secrets führt zu einem temporären Ausfall, während das Secret rotiert wird.

1. Wechseln Sie in der Google Cloud Console zur Seite Anmeldedaten.

   Zu den Anmeldedaten

2. Wählen Sie die gehackte OAuth2-Client-ID aus und bearbeiten Sie sie.

3. Klicken Sie auf Secret zurücksetzen.

4. Übertragen Sie das neue Secret an Ihre Anwendung.

Weitere Informationen finden Sie unter OAuth 2.0 einrichten und OAuth 2.0 für den Zugriff auf Google APIs verwenden.

Anmeldedaten der Google Cloud CLI als Administrator entfernen

Als Google Workspace-Administrator entfernen Sie den Zugriff auf die Google Cloud CLI aus der Liste der verbundenen Anwendungen des Nutzers. Weitere Informationen finden Sie unter Zugriff auf Anwendungen von Drittanbietern ansehen und entfernen.

Wenn der Nutzer noch einmal auf die Google Cloud CLI zugreift, wird er automatisch aufgefordert, die Anwendung neu zu autorisieren.

Anmeldedaten der Google Cloud CLI als Nutzer entfernen

1. Öffnen Sie die Liste der Apps mit Zugriff auf Ihr Google-Konto.

2. Entfernen Sie die Google Cloud CLI aus der Liste der verbundenen Anwendungen.

Wenn Sie noch einmal auf die Google Cloud CLI zugreifen, werden Sie automatisch aufgefordert, die Anwendung neu zu autorisieren.

Standardanmeldedaten für Anwendungen als Administrator widerrufen

Wenn Sie den Verdacht haben, dass Standardanmeldedaten für Anwendungen gehackt wurden, können Sie sie widerrufen. Diese Vorgehensweise kann zu einem vorübergehenden Ausfall führen, bis die Datei mit den Anmeldedaten neu erstellt wurde.

Als Google Workspace-Administrator entfernen Sie den Zugriff auf die Google-Authentifizierungsbibliothek aus der Liste der verbundenen Anwendungen des Nutzers. Weitere Informationen finden Sie unter Zugriff auf Anwendungen von Drittanbietern ansehen und entfernen.

Standardanmeldedaten für Anwendungen als Nutzer widerrufen

Wenn Sie vermuten, dass die von Ihnen erstellten Standardanmeldedaten für Anwendungen gehackt wurden, können Sie sie widerrufen. Diese Vorgehensweise kann zu einem vorübergehenden Ausfall führen, bis die Datei mit den Anmeldedaten neu erstellt wurde. Dieses Verfahren kann nur vom Inhaber der gehackten Anmeldedaten abgeschlossen werden.

1. Installieren und initialisieren Sie die Google Cloud CLI, falls noch nicht geschehen.

2. Autorisieren Sie die gcloud CLI mit Ihrer Nutzeridentität und nicht mit einem Dienstkonto:

    gcloud auth login
   

   Weitere Informationen finden Sie unter gcloud CLI autorisieren.

3. Widerrufen Sie die Anmeldedaten:

     gcloud auth application-default revoke
   

4. Löschen Sie optional die Datei application_default_credentials.json. Der Speicherort hängt von Ihrem Betriebssystem ab:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Erstellen Sie die Datei mit den Anmeldedaten neu:

    gcloud auth application-default login
   

Browser-Cookies als Administrator entwerten

Wenn Sie vermuten, dass Browser-Cookies gehackt wurden, können Google Workspace-Administratoren einen Nutzer von seinem Konto abmelden.

Außerdem sollten Sie sofort eine Passwortänderung erzwingen.

Bei diesen Aktionen werden alle vorhandenen Cookies ungültig gemacht und der Nutzer wird aufgefordert, sich noch einmal anzumelden.

Browser-Cookies als Nutzer entwerten

Wenn Sie vermuten, dass Browser-Cookies gehackt wurden, melden Sie sich von Ihrem Google-Konto ab und ändern Sie Ihr Passwort sofort.

Bei diesen Aktionen werden alle vorhandenen Cookies ungültig. Beim nächsten Zugriff auf Google Cloud müssen Sie sich noch einmal anmelden.

Nach unbefugtem Zugriff und nicht autorisierten Ressourcen suchen

Nachdem Sie gehackte Anmeldedaten widerrufen und Ihren Dienst wiederhergestellt haben, prüfen Sie den gesamten Zugriff auf Ihre Google Cloud-Ressourcen. Sie können die Protokollierung oder das Security Command Center verwenden.

Führen Sie unter „Logging“ (Protokollierung) die folgenden Schritte aus:

1. Sehen Sie sich Ihre Audit-Logs in der Google Cloud Console an.

   Zum Log-Explorer

2. Suchen Sie in allen potenziell betroffenen Ressourcen und prüfen Sie, ob alle Kontoaktivitäten (insbesondere im Zusammenhang mit den gehackten Anmeldedaten) so sind wie erwartet.

Führen Sie im Security Command Center die folgenden Schritte aus:

1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

   Zu Ergebnissen

2. Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.

3. Klicken Sie im Bereich Schnellfilter auf einen geeigneten Filter, um das gewünschte Ergebnis in der Tabelle Ergebnisse der Ergebnisabfrage anzuzeigen. Wenn Sie beispielsweise im Unterabschnitt Anzeigename der Quelle die Option Event Threat Detection oder Container Threat Detection auswählen, werden in den Ergebnissen nur Ergebnisse des ausgewählten Dienstes angezeigt.

   Die Tabelle enthält die Ergebnisse für die ausgewählte Quelle.

4. Klicken Sie auf den Namen des Ergebnisses unter Category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird maximiert und zeigt eine Zusammenfassung der Details des Ergebnisses an.

5. So zeigen Sie alle Ergebnisse an, die durch die Aktionen eines Nutzers ausgelöst wurden:

   1. Kopieren Sie im Detailbereich mit den Ergebnissen die E-Mail-Adresse neben Haupt-E-Mail-Adresse.
   2. Schließen Sie den Bereich.

   3. Geben Sie im Abfrageeditor die folgende Abfrage ein:

      access.principal_email="USER_EMAIL"
      

      Ersetzen Sie USER_EMAIL durch die zuvor kopierte E-Mail-Adresse.

      Security Command Center zeigt alle Ergebnisse an, die mit Aktionen verknüpft sind, die von dem angegebenen Nutzer ausgeführt wurden.

Alle nicht autorisierten Ressourcen löschen

Achten Sie darauf, dass keine unerwarteten Ressourcen wie VMs, App Engine-Anwendungen, Dienstkonten, Cloud Storage-Buckets usw. vorhanden sind, auf die mit gehackten Anmeldedaten zugegriffen werden könnte.

Wenn Sie sich sicher sind, dass Sie alle nicht autorisierten Ressourcen identifiziert haben, können Sie diese Ressourcen sofort löschen. Dies ist besonders für Compute Engine-Ressourcen wichtig, da Angreifer gehackte Konten verwenden können, um Daten zu exfiltrieren oder Ihre Produktionssysteme anderweitig zu hacken.

Alternativ können Sie versuchen, nicht autorisierte Ressourcen zu isolieren, damit Ihre Forensikteams zusätzliche Analysen durchführen können.

Cloud Customer Care kontaktieren

Wenn Sie Hilfe bei der Suche nach den Google Cloud-Logs und -Tools benötigen, die Sie für Ihre Untersuchungs- und Abhilfemaßnahmen benötigen, wenden Sie sich an Customer Care und eröffnen Sie einen Supportfall.

Best Practices zur Vermeidung gehackter Anmeldedaten

In diesem Abschnitt werden Best Practices beschrieben, die Sie implementieren können, um gehackte Anmeldedaten zu vermeiden.

Anmeldedaten von Code trennen

Verwalten und speichern Sie Ihre Anmeldedaten getrennt von Ihrem Quellcode. Anmeldedaten und Quellcode werden sehr häufig versehentlich gemeinsam an ein Versionsverwaltungssystem wie Github übertragen, wodurch Ihre Anmeldedaten anfällig für Angriffe werden.

Wenn Sie GitHub oder ein anderes öffentliches Repository verwenden, können Sie Tools wie Anomalieerkennung oder den Secret-Scan implementieren, der Sie bei offengelegten Secrets in Ihren GitHub-Repositories warnt. Wenn Sie verhindern möchten, dass Schlüssel in Ihre GitHub-Repositories übertragen werden, sollten Sie Tools wie git-secrets verwenden.

Verwenden Sie Lösungen zur Secretverwaltung wie Secret Manager und Hashicorp Vault, um Ihre Secrets zu speichern, sie regelmäßig zu rotieren und die geringsten Berechtigungen anzuwenden.

Best Practices für Dienstkonten implementieren

Informationen zum Schutz von Dienstkonten finden Sie in den Best Practices für die Arbeit mit Dienstkonten.

Sitzungsdauer beschränken

Wenn Sie eine regelmäßige erneute Authentifizierung erzwingen möchten, begrenzen Sie die Zeit, die Sitzungen für Google- und Google Cloud-Konten aktiv bleiben. Hier finden Sie weitere Informationen:

• Sitzungsdauer für Google Workspace festlegen

• Sitzungsdauer für Google Cloud-Dienste festlegen

• Sitzungsdauer für Cloud Identity festlegen

Mit VPC Service Controls den Zugriff einschränken

Erstellen Sie Dienstperimeter mit VPC Service Controls, um die Auswirkungen gehackter Anmeldedaten zu begrenzen. Wenn Sie VPC Service Controls konfigurieren, können Ressourcen innerhalb des Perimeters nur mit anderen Ressourcen innerhalb des Perimeters kommunizieren.