Controla las credenciales vulneradas de Google Cloud

Las credenciales de Google Cloud controlan el acceso a tus recursos alojados en Google Cloud. Para ayudar a mantener tus datos seguros y protegidos de los atacantes, debes manejar tus credenciales con el máximo cuidado.

Te recomendamos que protejas todas tus credenciales de Google Cloud del acceso no deseado. Algunas de las credenciales incluyen, entre otras, las siguientes:

Las credenciales de Google Cloud CLI se almacenan en el directorio principal del usuario. Puedes enumerarlas en Google Cloud CLI con el comando gcloud auth list. Las credenciales predeterminadas de la aplicación se almacenan en la estación de trabajo del desarrollador. Las cookies del navegador son específicas de cada navegador, pero, por lo general, se almacenan en la estación de trabajo del desarrollador.

Si sospechas que se vulneró alguna de tus credenciales, debes tomar medidas de inmediato para minimizar el impacto de la vulneración en tu cuenta de Google Cloud.

Supervisa la vulneración de credenciales

Para supervisar posibles vulneraciones, considera lo siguiente:

Asegúrate de que el centro de operaciones de seguridad (SOC) reciba una notificación oportuna y tenga las guías, las herramientas y el acceso necesarios para responder con rapidez a las posibles sospechas de compromisos. Usa el nivel Security Command Center Enterprise para habilitar las funciones de SIEM y SOAR, como guías, flujos de trabajo de respuesta y acciones automatizadas. También puedes integrar Security Command Center en tu SIEM existente o importar registros a Google Security Operations para realizar un análisis más detallado.

Protege tus recursos de Google Cloud de una credencial comprometida

Completa los pasos de las siguientes secciones en cuanto puedas para proteger tus recursos si sospechas que se vulneró una credencial.

Revoca las credenciales y vuelve a generarlas

Si sospechas que se vulneró una credencial, revócala y vuelve a emitirla. Realiza este paso con cuidado para evitar que se interrumpa el servicio debido a la revocación de credenciales.

En general, para volver a emitir credenciales, debes generar una credencial nueva, enviarla a todos los servicios y usuarios que la necesiten y, luego, revocar la credencial antigua.

En las siguientes secciones, se proporcionan instrucciones específicas para cada tipo de credencial.

Reemplaza una clave de cuenta de servicio

  1. En la consola de Google Cloud, ve a la página Cuentas de servicio.

    Ir a Cuentas de servicio

  2. Ubica la cuenta de servicio afectada.

  3. Crea una clave nueva para la cuenta de servicio.

  4. Envía la clave nueva a todas las ubicaciones que usaban la clave anterior.

  5. Borra la clave antigua.

Para obtener más información, consulta Crea cuentas de servicio.

Vuelve a generar las claves de API

  1. En la consola de Google Cloud, ve a la página Credenciales.

    Ir a Credenciales

  2. Crea una clave de API nueva con el botón Crear credenciales. Configura la clave nueva de la misma manera que la clave de API vulnerada. Las restricciones de ambas claves de API deben coincidir. De lo contrario, es posible que ocurra una interrupción.

  3. Envía la clave de API a todas las ubicaciones que usen la clave anterior.

  4. Borra la clave antigua.

Para obtener más información, consulta Autentica mediante claves de API.

Restablece un secreto de ID de cliente de OAuth2

Cambiar un secreto de ID de cliente producirá una interrupción temporal mientras se actualiza el secreto.

  1. En la consola de Google Cloud, ve a la página Credenciales.

    Ir a Credenciales

  2. Selecciona el ID de cliente de OAuth2 vulnerado y edítalo.

  3. Haz clic en Restablecer secreto.

  4. Envía el secreto nuevo a tu aplicación.

Si deseas obtener más información, consulta Configura OAuth 2.0 y Usa OAuth 2.0 para acceder a las API de Google.

Quita las credenciales de Google Cloud CLI como administrador

Como administrador de Google Workspace, quita el acceso a Google Cloud CLI de la lista de apps conectadas del usuario. Para obtener más información, consulta Ve y quita el acceso a aplicaciones de terceros.

Cuando el usuario vuelva a acceder a Google Cloud CLI, le pedirá de forma automática que vuelva a autorizar la aplicación.

Quita las credenciales de Google Cloud CLI como usuario

  1. Abre la lista de apps con acceso a tu Cuenta de Google.

  2. Quita Google Cloud CLI de la lista de apps conectadas.

Cuando vuelvas a acceder a Google Cloud CLI, se te pedirá de forma automática que vuelvas a autorizar la aplicación.

Revoca las credenciales predeterminadas de la aplicación como administrador

Si sospechas que una credencial predeterminada de la aplicación está vulnerada, puedes revocarla. Este procedimiento puede causar una interrupción temporal hasta que se vuelva a crear el archivo de credenciales.

Como administrador de Google Workspace, quita el acceso a la biblioteca de Google Auth de la lista de apps conectadas del usuario. Para obtener más información, consulta Ve y quita el acceso a aplicaciones de terceros.

Revoca las credenciales predeterminadas de la aplicación como usuario

Si sospechas que la credencial predeterminada de la aplicación que creaste está comprometida, puedes revocarla. Este procedimiento puede causar una interrupción temporal hasta que se vuelva a crear el archivo de credenciales. Solo el propietario de la credencial vulnerada puede completar este procedimiento.

  1. Instala e inicializa Google Cloud CLI, si aún no lo hiciste.

  2. Autoriza a la CLI de gcloud con tu identidad de usuario, no con una cuenta de servicio:

     gcloud auth login
    

    Para obtener más información, consulta Autoriza gcloud CLI.

  3. Revoca las credenciales:

      gcloud auth application-default revoke
    
  4. De manera opcional, borra el archivo application_default_credentials.json. La ubicación depende del sistema operativo:

    • Linux, macOS: $HOME/.config/gcloud/
    • Windows: %APPDATA%\gcloud\
  5. Vuelve a crear el archivo de credenciales:

     gcloud auth application-default login
    

Invalida las cookies del navegador como administrador

Si sospechas que las cookies del navegador se vulneraron, los administradores de Google Workspace pueden cerrar la sesión de la cuenta de un usuario.

Además, pueden aplicar de inmediato un cambio de contraseña.

Estas acciones invalidan todas las cookies existentes y el usuario debe volver a acceder.

Invalida las cookies del navegador como usuario

Si sospechas que las cookies del navegador se vulneraron, sal de la Cuenta de Google y cambia tu contraseña de inmediato.

Estas acciones invalidan todas tus cookies existentes. La próxima vez que entres a Google Cloud, debes volver a acceder.

Busca instancias de acceso y recursos no autorizados

Después de revocar las credenciales vulneradas y restablecer el servicio, revisa todo el acceso a los recursos de Google Cloud. Puedes usar el registro o Security Command Center.

En Logging, completa lo siguiente:

  1. Examina tus registros de auditoría en la consola de Google Cloud.

    Ir al Explorador de registros

  2. Busca todos los recursos potencialmente afectados y asegúrate de que toda la actividad de la cuenta (en especial la relacionada con las credenciales vulneradas) sea la esperada.

En Security Command Center, completa lo siguiente:

  1. En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.

    Ir a hallazgos

  2. Si es necesario, selecciona tu organización o proyecto de Google Cloud.

  3. En la sección Filtros rápidos, haz clic en un filtro apropiado para mostrar el resultado que necesitas en la tabla Resultados de la consulta. Por ejemplo, si seleccionas Event Threat Detection o Container Threat Detection en la subsección Source display name, solo aparecerán en los resultados los resultados del servicio seleccionado.

    La tabla se propaga con los hallazgos de la fuente que seleccionaste.

  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Category. El panel de detalles de resultados se expande para mostrar un resumen de los detalles del resultado.

  5. Para mostrar todos los resultados que generaron las mismas acciones del usuario, haz lo siguiente:

    1. En el panel de detalles de los resultados, copia la dirección de correo electrónico junto a Correo electrónico principal
    2. Cerrar el panel
    3. En el Editor de consultas, ingresa la consulta siguiente:

      access.principal_email="USER_EMAIL"
      

      Reemplaza USER_EMAIL con la dirección de correo electrónico que copiaste antes.

      Security Command Center muestra todos los resultados asociados con las acciones que realizó el usuario que especificaste.

Borra todos los recursos no autorizados

Asegúrate de que no haya recursos inesperados a los que podría acceder la credencial comprometida, como VM, apps de App Engine, cuentas de servicio, buckets de Cloud Storage, etc.

Cuando estés seguro de haber identificado todos los recursos no autorizados, puedes borrarlos de inmediato. Esto es muy importante para los recursos de Compute Engine, ya que los atacantes pueden usar cuentas vulneradas a fin de robar datos o vulnerar tus sistemas de producción.

También puedes intentar aislar los recursos no autorizados para que tus equipos de análisis puedan realizar análisis adicionales.

Comunícate con Atención al cliente de Cloud

Si deseas obtener ayuda a fin de encontrar los registros y las herramientas de Google Cloud que necesitas para tus pasos de investigación y mitigación, comunícate con Atención al cliente y abre un caso de ayuda.

Prácticas recomendadas para evitar la vulneración de credenciales

En esta sección, se describen las prácticas recomendadas que puedes implementar para evitar la vulneración de credenciales.

Separa las credenciales del código

Administra y almacena tus credenciales en una ubicación distinta a la del código fuente. Es muy común enviar por accidente tanto el código fuente como las credenciales a un sitio de administración de fuentes como GitHub, lo que provoca que las credenciales sean vulnerables a ataques.

Si usas GitHub u otro repositorio público, puedes implementar herramientas como Anomaly Detection o el análisis de secretos que te advierten sobre secretos expuestos en tus repositorios de GitHub. Para evitar que se confirmen las claves en tus repositorios de GitHub, considera usar herramientas como git-secrets.

Usa soluciones de administración de secretos, como Secret Manager y Hashicorp Vault para almacenar los secretos, rotarlos con regularidad y aplicar el privilegio mínimo.

Implementa las prácticas recomendadas para las cuentas de servicio

A fin de proteger las cuentas de servicio, revisa las prácticas recomendadas para trabajar con cuentas de servicio.

Limita la duración de las sesiones

A fin de forzar una reautenticación periódica, limita el tiempo que las sesiones permanecen activas para las cuentas de Google y Google Cloud. Para obtener más información, consulta lo siguiente:

Usa los Controles del servicio de VPC para limitar el acceso

Para limitar el impacto de las credenciales vulneradas, crea perímetros de servicio mediante los Controles del servicio de VPC. Cuando configuras los Controles del servicio de VPC, los recursos dentro del perímetro solo pueden comunicarse con otros recursos dentro del perímetro.