Menangani kredensial Google Cloud yang disusupi

Kredensial Google Cloud mengontrol akses ke resource Anda yang dihosting di Google Cloud. Untuk membantu menjaga keamanan dan perlindungan data Anda dari penyerang, Anda harus menangani kredensial dengan sangat hati-hati.

Sebaiknya lindungi semua kredensial Google Cloud Anda dari akses yang tidak diinginkan. Tindakan tersebut termasuk, tetapi tidak terbatas pada:

• Kredensial layanan:

  • Kunci pribadi akun layanan (file JSON dan p12)
  • Kunci API
  • Secret client ID OAuth2

• Kredensial pengguna yang dibuat dan dikelola di workstation developer atau komputer lain:

  • Kredensial Google Cloud CLI

  • Kredensial Default Aplikasi

  • Cookie browser

Kredensial Google Cloud CLI disimpan di direktori beranda pengguna. Anda dapat mencantumkannya di Google Cloud CLI menggunakan perintah gcloud auth list. Kredensial Default Aplikasi disimpan di workstation developer. Cookie browser dikhususkan untuk browser, tetapi biasanya disimpan di workstation developer.

Jika mencurigai bahwa kredensial Anda telah disusupi, Anda harus segera bertindak untuk membatasi dampak penyusupan pada akun Google Cloud Anda.

Memantau penyusupan kredensial

Untuk memantau potensi penyusupan, pertimbangkan hal berikut:

• Pantau aktivitas akun yang mencurigakan seperti eskalasi akses dan pembuatan beberapa akun. Pantau aktivitas ini menggunakan Cloud Audit Logs, Policy Intelligence, dan Security Command Center. Gunakan layanan dan kemampuan Security Command Center berikut:

  • Event Threat Detection untuk mengidentifikasi ancaman yang didasarkan pada aktivitas administrator, perubahan Grup, dan perubahan izin Identity and Access Management (IAM). Untuk setiap kategori ancaman, langkah-langkah penyelidikan yang direkomendasikan disediakan untuk membantu respons Anda.
  • Layanan Tindakan sensitif untuk melacak tindakan di organisasi, folder, dan project Anda yang dapat merusak bisnis Anda jika dilakukan oleh pelaku kejahatan.
  • Cloud Infrastructure Entitlement Management (CIEM) (Pratinjau) untuk mengelola akses untuk identitas dan menghasilkan temuan untuk kesalahan konfigurasi.

• Pantau login pengguna di Google Workspace dan Cloud Identity. Untuk melacak masalah dengan lebih baik, pertimbangkan untuk mengekspor log ke Cloud Logging.

• Pantau secret di repositori kode Anda, menggunakan alat seperti Deteksi Anomali atau pemindaian secret.

• Pantau anomali dalam penggunaan kunci akun layanan menggunakan Cloud Monitoring atau CIEM.

Pastikan pusat operasi keamanan (SOC) Anda segera diberi tahu dan memiliki playbook, alat, dan akses yang diperlukan untuk merespons dengan cepat jika ada dugaan penyusupan kredensial. Gunakan tingkat Enterprise Security Command Center untuk mengaktifkan kemampuan SIEM dan SOAR seperti playbook, alur kerja respons, dan tindakan otomatis. Anda juga dapat mengintegrasikan Security Command Center dengan SIEM yang ada atau mengimpor log ke Google Security Operations untuk analisis lebih lanjut.

Melindungi resource Google Cloud Anda dari kredensial yang disusupi

Jalankan langkah-langkah di bagian berikut sesegera mungkin untuk membantu melindungi resource jika Anda mencurigai adanya penyusupan kredensial.

Mencabut dan menerbitkan ulang kredensial

Jika Anda mencurigai kredensial disusupi, cabut dan terbitkan ulang kredensial tersebut. Lanjutkan dengan hati-hati untuk memastikan Anda tidak mengalami pemadaman layanan akibat pencabutan kredensial.

Secara umum, untuk menerbitkan ulang kredensial, Anda harus membuat kredensial baru, mengirimnya ke semua layanan dan pengguna yang membutuhkannya, lalu mencabut kredensial lama.

Bagian berikut memberikan petunjuk khusus untuk setiap jenis kredensial.

Mengganti kunci akun layanan

1. Di Konsol Google Cloud, buka halaman Akun layanan.

   Buka halaman Akun layanan

2. Temukan akun layanan yang terdampak.

3. Buat kunci baru untuk akun layanan.

4. Kirim kunci baru ke semua lokasi tempat kunci lama digunakan.

5. Hapus kunci lama.

Untuk informasi selengkapnya, lihat Membuat akun layanan.

Membuat kembali kunci API

1. Di Konsol Google Cloud, buka halaman Kredensial.

   Buka Kredensial

2. Buat kunci API baru menggunakan tombol Buat kredensial. Konfigurasikan kunci baru agar sama dengan kunci API yang disusupi. Pembatasan pada kunci API harus cocok. Jika tidak, Anda mungkin akan mengalami pemadaman layanan.

3. Kirim kunci API ke semua lokasi tempat kunci lama digunakan.

4. Hapus kunci lama.

Untuk informasi selengkapnya, lihat Melakukan autentikasi menggunakan kunci API.

Mereset secret client ID OAuth2

Mengubah secret client ID akan menyebabkan pemadaman layanan sementara saat secret dirotasi.

1. Di Konsol Google Cloud, buka halaman Kredensial.

   Buka Kredensial

2. Pilih client ID OAuth2 yang telah disusupi, lalu edit.

3. Klik Reset Secret.

4. Kirim secret baru ke aplikasi Anda.

Untuk informasi selengkapnya, lihat Menyiapkan OAuth 2.0 dan Menggunakan OAuth 2.0 untuk mengakses Google API.

Menghapus kredensial Google Cloud CLI sebagai administrator

Sebagai administrator Google Workspace, hapus akses ke Google Cloud CLI dari daftar aplikasi yang terhubung milik pengguna. Untuk informasi selengkapnya, lihat Melihat dan menghapus akses ke aplikasi pihak ketiga.

Saat pengguna mengakses Google Cloud CLI lagi, Google Cloud CLI akan otomatis meminta mereka untuk mengizinkan ulang aplikasi.

Menghapus kredensial Google Cloud CLI sebagai pengguna

1. Buka daftar aplikasi yang dapat mengakses Akun Google Anda.

2. Hapus Google Cloud CLI dari daftar aplikasi yang terhubung.

Saat Anda mengakses Google Cloud CLI lagi, Google Cloud CLI akan secara otomatis meminta Anda untuk mengizinkan ulang aplikasi.

Mencabut Kredensial Default Aplikasi sebagai administrator

Jika mencurigai bahwa Kredensial Default Aplikasi disusupi, Anda dapat mencabutnya. Prosedur ini dapat menyebabkan pemadaman layanan sementara hingga file kredensial dibuat ulang.

Sebagai administrator Google Workspace, hapus akses ke Library Google Auth dari daftar aplikasi yang terhubung milik pengguna. Untuk informasi selengkapnya, lihat Melihat dan menghapus akses ke aplikasi pihak ketiga.

Mencabut Kredensial Default Aplikasi sebagai pengguna

Jika mencurigai bahwa Kredensial Default Aplikasi yang Anda buat disusupi, Anda dapat mencabutnya. Prosedur ini dapat menyebabkan pemadaman layanan sementara hingga file kredensial dibuat ulang. Prosedur ini hanya dapat dijalankan oleh pemilik dari kredensial yang disusupi.

1. Instal dan inisialisasi Google Cloud CLI, jika Anda belum melakukannya.

2. Beri otorisasi gcloud CLI dengan identitas pengguna Anda, bukan dengan akun layanan:

    gcloud auth login
   

   Untuk mengetahui informasi selengkapnya, lihat Mengizinkan gcloud CLI.

3. Cabut kredensial:

     gcloud auth application-default revoke
   

4. Secara opsional, hapus file application_default_credentials.json. Lokasi bergantung pada sistem operasi Anda:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Buat ulang file kredensial:

    gcloud auth application-default login
   

Membatalkan cookie browser sebagai administrator

Jika Anda menduga cookie browser disusupi, administrator Google Workspace dapat membuat pengguna logout dari akunnya.

Selain itu, segera paksa perubahan sandi.

Tindakan ini akan membatalkan semua cookie yang ada, dan pengguna diminta untuk login lagi.

Membatalkan cookie browser sebagai pengguna

Jika Anda mencurigai bahwa cookie browser disusupi, logout dari Akun Google Anda dan segera ubah sandi Anda.

Tindakan ini akan membatalkan semua cookie yang ada. Saat mengakses Google Cloud lagi, Anda harus login kembali.

Mencari akses dan resource tidak sah

Setelah mencabut kredensial yang disusupi dan memulihkan layanan, tinjau semua akses ke resource Google Cloud Anda. Anda dapat menggunakan Logging atau Security Command Center.

Di Logging, selesaikan langkah-langkah berikut:

1. Periksa log audit Anda di Konsol Google Cloud.

   Buka Logs Explorer

2. Telusuri semua resource yang berpotensi terpengaruh, dan pastikan semua aktivitas akun (terutama yang terkait dengan kredensial yang disusupi) sesuai yang diharapkan.

Di Security Command Center, selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman Temuan Security Command Center.

   Buka Temuan

2. Jika perlu, pilih project atau organisasi Google Cloud Anda.

3. Di bagian Filter cepat, klik filter yang sesuai untuk menampilkan temuan yang Anda perlukan di tabel Hasil kueri temuan. Misalnya, jika Anda memilih Event Threat Detection atau Container Threat Detection di subbagian Source display name, hanya temuan dari layanan yang dipilih yang akan muncul dalam hasil.

   Tabel diisi dengan temuan untuk sumber yang Anda pilih.

4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail temuan akan diluaskan untuk menampilkan ringkasan detail temuan.

5. Untuk menampilkan semua temuan yang disebabkan oleh tindakan pengguna yang sama:

   1. Di panel detail penemuan, salin alamat email di samping Email utama.
   2. Tutup panel.

   3. Di Query editor, masukkan kueri berikut:

      access.principal_email="USER_EMAIL"
      

      Ganti USER_EMAIL dengan alamat email yang sebelumnya Anda salin.

      Security Command Center menampilkan semua temuan yang terkait dengan tindakan yang dilakukan oleh pengguna yang Anda tentukan.

Menghapus semua resource tidak sah

Pastikan tidak ada resource tidak terduga, seperti VM, aplikasi App Engine, akun layanan, bucket Cloud Storage, dan sebagainya, yang dapat diakses oleh kredensial yang disusupi.

Setelah yakin bahwa semua resource tidak sah telah diidentifikasi, Anda dapat memilih untuk segera menghapus resource ini. Hal ini terutama penting untuk resource Compute Engine, karena penyerang dapat menggunakan akun yang telah disusupi untuk mengambil data secara tidak sah atau menyusupi sistem produksi Anda.

Atau, Anda dapat mencoba mengisolasi resource tidak sah agar tim forensik Anda dapat melakukan analisis tambahan.

Menghubungi Cloud Customer Care

Untuk mendapatkan bantuan dalam menemukan log dan alat Google Cloud yang Anda perlukan untuk langkah investigasi dan mitigasi, hubungi Layanan Pelanggan dan buka kasus dukungan.

Praktik terbaik agar kredensial tidak disusupi

Bagian ini menjelaskan praktik terbaik yang dapat Anda terapkan untuk membantu Anda menghindari kredensial yang disusupi.

Memisahkan kredensial dari kode

Kelola dan simpan kredensial Anda secara terpisah dari kode sumber. Sangatlah umum terjadi pengiriman kredensial dan kode sumber secara tidak sengaja ke situs pengelolaan sumber seperti GitHub, sehingga kredensial Anda rentan terhadap serangan.

Jika menggunakan GitHub atau repositori publik lainnya, Anda dapat mengimplementasikan alat seperti Anomaly Detection atau secret scanning, yang memperingatkan Anda tentang secret yang terekspos di repositori GitHub. Agar kunci tidak di-commit ke repositori GitHub Anda, pertimbangkan untuk menggunakan alat seperti git-secrets.

Gunakan solusi pengelolaan secret seperti Secret Manager dan Hashicorp Vault untuk menyimpan secret, merotasi nya secara rutin, dan menerapkan hak istimewa terendah.

Menerapkan praktik terbaik akun layanan

Untuk membantu melindungi akun layanan, pelajari praktik terbaik untuk menggunakan akun layanan.

Membatasi durasi sesi

Untuk memaksa autentikasi ulang secara berkala, batasi waktu sesi tetap aktif untuk akun Google dan Google Cloud. Untuk informasi selengkapnya, lihat referensi berikut:

• Menetapkan durasi sesi untuk Google Workspace

• Menetapkan durasi sesi untuk layanan Google Cloud

• Menetapkan durasi sesi untuk Cloud Identity

Menggunakan Kontrol Layanan VPC untuk membatasi akses

Untuk membatasi dampak kredensial yang disusupi, buat perimeter layanan menggunakan Kontrol Layanan VPC. Saat Anda mengonfigurasi Kontrol Layanan VPC, resource di dalam perimeter hanya dapat berkomunikasi dengan resource lain di dalam perimeter.