Menangani kredensial Google Cloud yang disusupi

Kredensial Google Cloud mengontrol akses ke resource Anda yang dihosting di Google Cloud. Untuk membantu menjaga keamanan dan perlindungan data Anda dari penyerang, Anda harus menangani kredensial dengan sangat hati-hati.

Sebaiknya lindungi semua kredensial Google Cloud Anda dari akses yang tidak diinginkan. Tindakan tersebut termasuk, tetapi tidak terbatas pada:

• Kredensial layanan:

  • Kunci pribadi akun layanan (file JSON dan p12)
  • Kunci API
  • Secret client ID OAuth2

• Kredensial pengguna yang dibuat dan dikelola di workstation developer atau komputer lain:

  • Kredensial Google Cloud CLI

  • Kredensial Default Aplikasi

  • Cookie browser

Kredensial Google Cloud CLI disimpan di direktori beranda pengguna. Anda dapat mencantumkannya di Google Cloud CLI menggunakan perintah gcloud auth list. Kredensial Default Aplikasi disimpan di workstation developer. Cookie browser dikhususkan untuk browser, tetapi biasanya disimpan di workstation developer.

Jika mencurigai bahwa kredensial Anda telah disusupi, Anda harus segera bertindak untuk membatasi dampak penyusupan pada akun Google Cloud Anda.

Memantau penyusupan kredensial

Untuk memantau potensi penyusupan, pertimbangkan hal berikut:

• Pantau aktivitas akun yang mencurigakan seperti eskalasi akses dan pembuatan beberapa akun. Pantau aktivitas ini menggunakan Cloud Audit Logs dan Event Threat Detection. Konfigurasikan pemberitahuan berdasarkan aktivitas administrator di log audit Compute Engine dan log audit Google Kubernetes Engine (GKE). Gunakan Event Threat Detection untuk mengidentifikasi ancaman yang didasarkan pada aktivitas administrator, perubahan Grup, dan perubahan izin Identity and Access Management (IAM).

• Pantau login pengguna di Google Workspace dan Cloud Identity. Untuk melacak masalah dengan lebih baik, pertimbangkan untuk mengekspor log ke Cloud Logging.

• Pantau secret di repositori kode Anda, menggunakan alat seperti pemindaian secret.

• Pantau anomali dalam penggunaan kunci akun layanan menggunakan Cloud Monitoring.

Pastikan pusat operasi keamanan (SOC) Anda segera diberi tahu. Anda dapat mengintegrasikan Security Command Center dengan SIEM, mengekspor log dari Cloud Logging ke SIEM, atau mengimpor log ke Chronicle untuk analisis lebih lanjut.

Pastikan SOC Anda memiliki playbook, alat, dan akses yang diperlukan untuk merespons dengan cepat jika ada dugaan penyusupan kredensial.

Lindungi resource Google Cloud Anda dari kredensial yang disusupi

Jalankan langkah-langkah di bagian berikut sesegera mungkin untuk membantu melindungi resource jika Anda mencurigai adanya penyusupan kredensial.

Mencabut dan menerbitkan ulang kredensial

Jika Anda mencurigai kredensial disusupi, cabut dan terbitkan ulang kredensial tersebut. Lanjutkan dengan hati-hati untuk memastikan Anda tidak mengalami pemadaman layanan akibat pencabutan kredensial.

Secara umum, untuk menerbitkan ulang kredensial, Anda harus membuat kredensial baru, mengirimnya ke semua layanan dan pengguna yang membutuhkannya, lalu mencabut kredensial lama.

Bagian berikut memberikan petunjuk khusus untuk setiap jenis kredensial.

Mengganti kunci akun layanan

1. Di Konsol Google Cloud, buka halaman Akun layanan.

   Buka halaman Akun layanan

2. Temukan akun layanan yang terdampak.

3. Buat kunci baru untuk akun layanan.

4. Kirim kunci baru ke semua lokasi tempat kunci lama digunakan.

5. Hapus kunci lama.

Untuk informasi selengkapnya, lihat Membuat dan mengelola akun layanan.

Membuat kembali kunci API

1. Di Konsol Google Cloud, buka halaman Kredensial.

   Buka Kredensial

2. Buat kunci API baru menggunakan tombol Buat kredensial. Konfigurasikan kunci baru yang sama dengan kunci API yang disusupi. Pembatasan pada kunci API harus cocok. Jika tidak, Anda mungkin akan mengalami pemadaman layanan.

3. Kirim kunci API ke semua lokasi tempat kunci lama digunakan.

4. Hapus kunci lama.

Untuk informasi selengkapnya, lihat Menggunakan kunci API.

Mereset secret client ID OAuth2

Mengubah secret client ID akan menyebabkan pemadaman layanan sementara saat secret dirotasi.

1. Di Konsol Google Cloud, buka halaman Kredensial.

   Buka Kredensial

2. Pilih client ID OAuth2 yang telah disusupi, lalu edit.

3. Klik Reset Secret.

4. Kirim secret baru ke aplikasi Anda.

Untuk informasi selengkapnya, lihat Menyiapkan OAuth 2.0 dan Menggunakan OAuth 2.0 untuk mengakses Google API.

Menghapus kredensial Google Cloud CLI sebagai administrator

Sebagai administrator Google Workspace, hapus akses ke Google Cloud CLI dari daftar aplikasi yang terhubung milik pengguna. Untuk informasi selengkapnya, lihat Melihat dan menghapus akses ke aplikasi pihak ketiga.

Saat pengguna mengakses Google Cloud CLI lagi, Google Cloud CLI akan otomatis meminta mereka untuk mengizinkan ulang aplikasi.

Menghapus kredensial Google Cloud CLI sebagai pengguna

1. Buka daftar aplikasi yang dapat mengakses Akun Google Anda.

2. Hapus Google Cloud CLI dari daftar aplikasi yang terhubung.

Saat Anda mengakses Google Cloud CLI lagi, Google Cloud CLI akan secara otomatis meminta Anda untuk mengizinkan ulang aplikasi.

Mencabut Kredensial Default Aplikasi sebagai administrator

Jika mencurigai bahwa Kredensial Default Aplikasi disusupi, Anda dapat mencabutnya. Prosedur ini dapat menyebabkan pemadaman layanan sementara hingga file kredensial dibuat ulang.

Sebagai administrator Google Workspace, hapus akses ke Library Google Auth dari daftar aplikasi yang terhubung milik pengguna. Untuk informasi selengkapnya, lihat Melihat dan menghapus akses ke aplikasi pihak ketiga.

Mencabut Kredensial Default Aplikasi sebagai pengguna

Jika mencurigai bahwa Kredensial Default Aplikasi yang Anda buat disusupi, Anda dapat mencabutnya. Prosedur ini dapat menyebabkan pemadaman layanan sementara hingga file kredensial dibuat ulang. Prosedur ini hanya dapat dijalankan oleh pemilik dari kredensial yang disusupi.

1. Instal dan inisialisasi Google Cloud CLI, jika Anda belum melakukannya.

2. Beri otorisasi gcloud CLI dengan identitas pengguna Anda, bukan dengan akun layanan:

    gcloud auth login
   

   Untuk informasi selengkapnya, [Otorisasi gcloud CLI], lihat (/sdk/docs/authorizing).

3. Cabut kredensial:

     gcloud auth application-default revoke
   

4. Secara opsional, hapus file application_default_credentials.json. Lokasi bergantung pada sistem operasi Anda:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Buat ulang file kredensial:

    gcloud auth application-default login
   

Membatalkan cookie browser sebagai administrator

Jika Anda menduga cookie browser disusupi, administrator Google Workspace dapat membuat pengguna logout dari akunnya.

Selain itu, segera paksa perubahan sandi.

Tindakan ini akan membatalkan semua cookie yang ada, dan pengguna diminta untuk login lagi.

Membatalkan cookie browser sebagai pengguna

Jika Anda mencurigai bahwa cookie browser disusupi, logout dari Akun Google Anda dan segera ubah sandi Anda.

Tindakan ini akan membatalkan semua cookie yang ada. Saat mengakses Google Cloud lagi, Anda harus login kembali.

Mencari akses dan resource tidak sah

Setelah mencabut kredensial yang disusupi dan memulihkan layanan, tinjau semua akses ke resource Google Cloud Anda.

1. Periksa log audit Anda di Konsol Google Cloud.

   Buka Logs Explorer

2. Telusuri semua resource yang berpotensi terpengaruh, dan pastikan semua aktivitas akun (terutama yang terkait dengan kredensial yang disusupi) sesuai yang diharapkan.

Menghapus semua resource tidak sah

Pastikan tidak ada resource tidak terduga, seperti VM, aplikasi App Engine, akun layanan, bucket Cloud Storage, dan sebagainya, yang dapat diakses oleh kredensial yang disusupi.

Setelah yakin bahwa semua resource tidak sah telah diidentifikasi, Anda dapat memilih untuk segera menghapus resource ini. Hal ini terutama penting untuk resource Compute Engine, karena penyerang dapat menggunakan akun yang telah disusupi untuk mengambil data secara tidak sah atau menyusupi sistem produksi Anda.

Atau, Anda dapat mencoba mengisolasi resource tidak sah agar tim forensik Anda dapat melakukan analisis tambahan.

Menghubungi Cloud Customer Care

Untuk mendapatkan bantuan dalam menemukan log dan alat Google Cloud yang Anda perlukan untuk langkah investigasi dan mitigasi, hubungi Layanan Pelanggan dan buka kasus dukungan.

Praktik terbaik agar kredensial tidak disusupi

Bagian ini menjelaskan praktik terbaik yang dapat Anda terapkan untuk membantu Anda menghindari kredensial yang disusupi.

Memisahkan kredensial dari kode

Kelola dan simpan kredensial Anda secara terpisah dari kode sumber. Sangatlah umum terjadi pengiriman kredensial dan kode sumber secara tidak sengaja ke situs pengelolaan sumber seperti GitHub, sehingga kredensial Anda rentan terhadap serangan.

Jika menggunakan GitHub atau repositori publik lainnya, Anda dapat mengimplementasikan alat seperti pemindaian secret, yang memperingatkan Anda tentang secret yang terekspos di repositori GitHub. Agar kunci tidak di-commit ke repositori GitHub Anda, pertimbangkan untuk menggunakan alat seperti git-secrets.

Gunakan solusi pengelolaan secret seperti Secret Manager dan Hashicorp Vault untuk menyimpan secret, merotasi nya secara rutin, dan menerapkan hak istimewa terendah.

Menerapkan praktik terbaik akun layanan

Untuk membantu melindungi akun layanan, pelajari praktik terbaik untuk menggunakan akun layanan.

Membatasi durasi sesi

Untuk memaksa autentikasi ulang secara berkala, batasi waktu sesi tetap aktif untuk akun Google dan Google Cloud. Untuk informasi selengkapnya, lihat referensi berikut:

• Menetapkan durasi sesi untuk Google Workspace

• Menetapkan durasi sesi untuk layanan Google Cloud

• Menetapkan durasi sesi untuk Cloud Identity

Menggunakan Kontrol Layanan VPC untuk membatasi akses

Untuk membatasi dampak kredensial yang disusupi, buat perimeter layanan menggunakan Kontrol Layanan VPC. Saat Anda mengonfigurasi Kontrol Layanan VPC, resource di dalam perimeter hanya dapat berkomunikasi dengan resource lain di dalam perimeter.