Gestisci le credenziali Google Cloud compromesse

Le credenziali Google Cloud controllano l'accesso alle risorse ospitate su Google Cloud. Per aiutarti a mantenere i tuoi dati al sicuro gli utenti malintenzionati, devi gestire le tue credenziali con la massima cura.

Ti consigliamo di proteggere tutte le tue credenziali Google Cloud da accessi indesiderati. Questi le credenziali includono, a titolo esemplificativo:

Le credenziali di Google Cloud CLI vengono archiviate nella della home directory dell'utente. Puoi elencarli in Google Cloud CLI utilizzando il comando gcloud auth list. Le credenziali predefinite dell'applicazione vengono archiviate sulla workstation dello sviluppatore. I cookie sono specifici del browser, ma di solito vengono memorizzati sul la workstation.

Se sospetti che una delle tue credenziali sia stata compromessa, devi intervenire immediatamente per limitare l'impatto della compromissione sul tuo account Google Cloud.

Monitorare le credenziali compromesse

Per monitorare la presenza di potenziali compromessi, considera quanto segue:

Assicurarsi che il centro operativo di sicurezza (SOC) sia informato tempestivamente e abbia i programmi, gli strumenti e l'accesso necessari per rispondere rapidamente la sospetta compromissione delle credenziali. Utilizza il livello Security Command Center Enterprise per attivare funzionalità SIEM e SOAR come playbook, flussi di lavoro di risposta e azioni automatiche. Puoi anche integrare Security Command Center con i tuoi SIEM o importazione dei log in Google Security Operations per ulteriori analisi.

Proteggi le tue risorse Google Cloud da una credenziale compromessa

Completa i passaggi descritti nelle sezioni seguenti il prima possibile per contribuire a proteggere le tue risorse se sospetti che una credenziale sia compromessa.

Revocare e riemettere le credenziali

Se sospetti che una credenziale sia compromessa, revocala e riassegnala. Procedi con attenzione per assicurarti di non subire un'interruzione del servizio come conseguenza della revoca e credenziali.

In generale, per riemettere le credenziali, devi generare una nuova credenziale, eseguirne il push a tutti i servizi e gli utenti che ne hanno bisogno, quindi revoca la credenziale precedente.

Le sezioni seguenti forniscono istruzioni specifiche per ogni tipo di credenziale.

Sostituire una chiave dell'account di servizio

  1. Nella console Google Cloud, vai alla pagina Account di servizio.

    Vai ad Account di servizio

  2. Individua l'account di servizio interessato.

  3. Crea una nuova chiave per l'account di servizio.

  4. Invia la nuova chiave a tutte le posizioni in cui era in uso la vecchia chiave.

  5. Elimina la vecchia chiave.

Per ulteriori informazioni, consulta Creare un servizio Google Cloud.

Rigenerare le chiavi API

  1. Nella console Google Cloud, vai alla pagina Credenziali.

    Vai a credenziali

  2. Crea una nuova chiave API utilizzando il pulsante Crea credenziali. Configura il nuova chiave sia uguale alla chiave API compromessa. Le restrizioni sull'API la chiave deve corrispondere; altrimenti potresti subire un'interruzione.

  3. Invia la chiave API a tutte le posizioni in cui era in uso la vecchia chiave.

  4. Elimina la vecchia chiave.

Per maggiori informazioni, consulta Autenticazione tramite API chiave.

Reimposta un secret dell'ID client OAuth2

La modifica di un secret dell'ID client causerà un'interruzione temporanea durante la rotazione del secret.

  1. Nella console Google Cloud, vai alla pagina Credenziali.

    Vai a credenziali

  2. Seleziona l'ID client OAuth2 compromesso e modificalo.

  3. Fai clic su Reimposta secret.

  4. Esegui il push del nuovo secret nell'applicazione.

Per ulteriori informazioni, consulta la sezione Configurare OAuth. 2.0 e l'utilizzo di OAuth 2.0 per accedere alle API di Google.

Rimuovere le credenziali della CLI Google Cloud come amministratore

In qualità di amministratore di Google Workspace, rimuovi l'accesso a Google Cloud CLI dal l'elenco di app collegate dell'utente. Per ulteriori informazioni, leggi l'articolo Visualizzare e rimuovere l'accesso. a terze parti applicazioni.

Quando l'utente accede di nuovo a Google Cloud CLI, gli viene chiesto automaticamente di autorizzare nuovamente l'applicazione.

Rimuovere le credenziali di Google Cloud CLI come utente

  1. Apri l'elenco delle app con accesso al tuo Account Google.

  2. Rimuovi Google Cloud CLI dall'elenco delle app collegate.

Quando accedi di nuovo a Google Cloud CLI, ti verrà chiesto automaticamente di autorizzare nuovamente l'applicazione.

Revoca le credenziali predefinite dell'applicazione come amministratore

Se sospetti che una credenziale predefinita dell'applicazione sia compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea fino a quando il file delle credenziali non viene ricreato.

In qualità di amministratore di Google Workspace, rimuovi l'accesso alla libreria di autenticazione Google dall'elenco delle app collegate dell'utente. Per maggiori informazioni informazioni, consulta l'articolo Visualizzare e rimuovere l'accesso a applicazioni.

Revoca credenziali predefinite dell'applicazione come utente

Se sospetti che una credenziale predefinita dell'applicazione che hai creato sia compromesso, puoi revocarlo. Questa procedura può causare un'interruzione temporanea fino a quando il file delle credenziali non viene ricreato. Questa procedura può essere completata solo dal proprietario della credenziale compromessa.

  1. Installa e inizializza Google Cloud CLI, se non hai .

  2. Autorizza gcloud CLI con la tua identità utente, non con un account di servizio:

     gcloud auth login
    

    Per ulteriori informazioni, consulta la sezione Autorizzare gcloud CLI.

  3. Revoca le credenziali:

      gcloud auth application-default revoke
    
  4. Se vuoi, elimina il file application_default_credentials.json. La località dipende Sistema operativo:

    • Linux, macOS: $HOME/.config/gcloud/
    • Windows: %APPDATA%\gcloud\
  5. Ricrea il file delle credenziali:

     gcloud auth application-default login
    

Annullare l'autenticazione dei cookie del browser come amministratore

Se sospetti che i cookie del browser siano stati compromessi, gli amministratori di Google Workspace possono disconnettere un utente dal proprio .

Inoltre, forza immediatamente la modifica della password.

Queste azioni rendono non validi tutti i cookie esistenti e all'utente viene chiesto di eseguire di nuovo l'accesso.

Annullare l'autenticazione dei cookie del browser come utente

Se sospetti che i cookie del browser siano stati compromessi, esci dal tuo Account Google e cambia immediatamente la password.

Queste azioni invalidano tutti i cookie esistenti. Al prossimo accesso Google Cloud, devi accedere di nuovo.

Cerca risorse e accessi non autorizzati

Dopo aver revocato le credenziali compromesse e aver ripristinato il servizio, controlla tutti alle tue risorse Google Cloud. Puoi utilizzare la registrazione o Security Command Center.

In Log, completa quanto segue:

  1. Esamina i log di controllo nella console Google Cloud.

    Vai a Esplora log

  2. Cerca in tutte le risorse potenzialmente interessate e assicurati che tutte le attività dell'account (in particolare quelle correlate alle credenziali compromesse) come previsto.

In Security Command Center, completa i seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Se necessario, seleziona il progetto o l'organizzazione Google Cloud.

  3. Nella sezione Filtri rapidi, fai clic su un filtro appropriato per visualizzare il risultato che ti serve nella tabella Risultati della query sui risultati. Per Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato origine, solo i risultati della e il servizio selezionato vengono visualizzati nei risultati.

    La tabella viene completata con i risultati per l'origine selezionata.

  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Category Il riquadro dei dettagli del risultato si espande per visualizzare un riepilogo dei dettagli del risultato.

  5. Per visualizzare tutti i risultati causati dalle azioni dello stesso utente:

    1. Nel riquadro dei dettagli del risultato, copia l'indirizzo email accanto a Email principale.
    2. Chiudi il riquadro.
    3. In Editor di query, inserisci la seguente query:

      access.principal_email="USER_EMAIL"
      

      Sostituisci USER_EMAIL con l'indirizzo email che hai copiato in precedenza.

      Security Command Center mostra tutti i risultati associati alle azioni svolte dall'utente specificato.

Elimina tutte le risorse non autorizzate

Assicurati che non ci siano risorse impreviste, come VM, app App Engine, account di servizio, bucket Cloud Storage e così via, a cui la credenziale compromessa potrebbe accedere.

Dopo aver verificato di aver identificato tutte le risorse non autorizzate, puoi scegliere di eliminare immediatamente le risorse. Questo è particolarmente importante per le risorse Compute Engine, perché gli attaccanti possono utilizzare gli account compromessi per esfiltrare i dati o compromettere i sistemi di produzione.

In alternativa, puoi provare a isolare le risorse non autorizzate per consentire ai tuoi team forensi di eseguire analisi aggiuntive.

Contattare l'assistenza clienti Google Cloud

Per farti aiutare a trovare i log e gli strumenti di Google Cloud di cui hai bisogno per la tua le misure di indagine e mitigazione, contatta l'assistenza clienti e apri una richiesta di assistenza.

Best practice per evitare credenziali compromesse

In questa sezione vengono descritte le best practice che puoi implementare per evitare le credenziali compromesse.

Separare le credenziali dal codice

Gestisci e memorizza le tue credenziali separatamente dal codice sorgente. È estremamente comune spingere accidentalmente sia le credenziali sia il codice sorgente su un sito di gestione del codice sorgente come GitHub, il che rende le credenziali vulnerabili agli attacchi.

Se utilizzi GitHub o un altro repository pubblico, puoi implementare strumenti come Anomaly Detection o Scanning dei segreti, che ti avvisano degli accessi esposti nei tuoi repository GitHub. Per impedire che le chiavi vengano committate nei tuoi repository GitHub, ti consigliamo di utilizzare strumenti come git-secrets.

Utilizzare soluzioni di gestione dei secret come Secret Manager e Hashicorp Vault per archiviare i tuoi secret e ruotarli regolarmente e applicare il privilegio minimo.

Implementa le best practice per gli account di servizio

Per contribuire a proteggere gli account di servizio, consulta le best practice per l'utilizzo degli account di servizio.

Limita la durata delle sessioni

Per forzare una riautenticazione periodica, limita il tempo in cui le sessioni rimangono attive per gli account Google e Google Cloud. Per ulteriori informazioni, consulta quanto segue:

Utilizzare i Controlli di servizio VPC per limitare l'accesso

Per limitare l’impatto dei compromissioni e credenziali, crea perimetri di servizio utilizzando Controlli di servizio VPC. Quando configuri Controlli di servizio VPC, le risorse all'interno del perimetro possono comunicare solo con altre risorse all'interno del perimetro.