Maneja credenciales de Google Cloud vulneradas

Las credenciales de Google Cloud controlan el acceso a tus recursos alojados en Google Cloud. Para ayudar a mantener tus datos seguros y protegidos de los atacantes, debes manejar tus credenciales con el máximo cuidado.

Te recomendamos que protejas todas tus credenciales de Google Cloud del acceso no deseado. Algunas de las credenciales incluyen, entre otras, las siguientes:

• Credenciales de servicio:

  • Claves privadas de cuentas de servicio (archivos p12 y JSON)
  • Claves de API
  • Secretos de ID de cliente de OAuth2

• Credenciales de usuario que se crean y administran en estaciones de trabajo para desarrolladores o en otras computadoras:

  • Credenciales de Google Cloud CLI

  • Credencial predeterminada de la aplicación

  • Cookies del navegador

Las credenciales de Google Cloud CLI se almacenan en el directorio principal del usuario. Puedes enumerarlas en Google Cloud CLI con el comando gcloud auth list. Las credenciales predeterminadas de la aplicación se almacenan en la estación de trabajo del desarrollador. Las cookies del navegador son específicas de cada navegador, pero, por lo general, se almacenan en la estación de trabajo del desarrollador.

Si sospechas que se vulneró alguna de tus credenciales, debes tomar medidas de inmediato para minimizar el impacto de la vulneración en tu cuenta de Google Cloud.

Supervisa la vulneración de credenciales

Para supervisar posibles vulneraciones, considera lo siguiente:

• Supervisa para detectar actividades sospechosas en las cuentas, como la elevación de privilegios y la creación de varias cuentas. Supervisa estas actividades mediante los Registros de auditoría de Cloud y la Event Threat Detection. Configura alertas según la actividad de los administradores en los registros de auditoría de Compute Engine y de Google Kubernetes Engine (GKE). Usa Event Threat Detection para identificar las amenazas basadas en actividades de administrador, cambios en los grupos y cambios en los permisos de Identity and Access Management (IAM).

• Supervisa los accesos de los usuarios en Google Workspace y Cloud Identity. Para realizar un mejor seguimiento de los problemas, considera exportar los registros a Cloud Logging.

• Supervisa los secretos en tus repositorios de código con herramientas como el análisis de secretos.

• Supervisa las anomalías en el uso de la clave de la cuenta de servicio mediante Cloud Monitoring.

Asegúrate de que el centro de operaciones de seguridad (SOC) reciba una notificación oportuna. Puedes integrar Security Command Center en tu SIEM, exportar registros de Cloud Logging a tu SIEM o importar registros a Chronicle para realizar un análisis más detallado.

Asegúrate de que el SOC tenga las guías, las herramientas y el acceso necesarios para responder con rapidez a las posibles sospechas de compromisos.

Protege tus recursos de Google Cloud de una credencial comprometida

Completa los pasos de las siguientes secciones en cuanto puedas para proteger tus recursos si sospechas que se vulneró una credencial.

Revoca las credenciales y vuelve a generarlas

Si sospechas que se vulneró una credencial, revócala y vuelve a emitirla. Realiza este paso con cuidado para evitar que se interrumpa el servicio debido a la revocación de credenciales.

En general, para volver a emitir credenciales, debes generar una credencial nueva, enviarla a todos los servicios y usuarios que la necesiten y, luego, revocar la credencial antigua.

En las siguientes secciones, se proporcionan instrucciones específicas para cada tipo de credencial.

Reemplaza una clave de cuenta de servicio

1. En la consola de Google Cloud, ve a la página Cuentas de servicio.

   Ir a Cuentas de servicio

2. Ubica la cuenta de servicio afectada.

3. Crea una clave nueva para la cuenta de servicio.

4. Envía la clave nueva a todas las ubicaciones que usaban la clave anterior.

5. Borra la clave antigua.

Para obtener más información, consulta Crea y administra cuentas de servicio.

Vuelve a generar las claves de API

1. En la consola de Google Cloud, ve a la página Credenciales.

   Ir a Credenciales

2. Crea una clave de API nueva con el botón Crear credenciales. Configura la clave nueva de la misma manera que la clave de API vulnerada. Las restricciones de ambas claves de API deben coincidir. De lo contrario, es posible que ocurra una interrupción.

3. Envía la clave de API a todas las ubicaciones que usen la clave anterior.

4. Borra la clave antigua.

Para obtener más información, consulta Usa claves de API.

Restablece un secreto de ID de cliente de OAuth2

Cambiar un secreto de ID de cliente producirá una interrupción temporal mientras se actualiza el secreto.

1. En la consola de Google Cloud, ve a la página Credenciales.

   Ir a Credenciales

2. Selecciona el ID de cliente de OAuth2 vulnerado y edítalo.

3. Haz clic en Restablecer secreto.

4. Envía el secreto nuevo a tu aplicación.

Si deseas obtener más información, consulta Configura OAuth 2.0 y Usa OAuth 2.0 para acceder a las API de Google.

Quita las credenciales de Google Cloud CLI como administrador

Como administrador de Google Workspace, quita el acceso a Google Cloud CLI de la lista de apps conectadas del usuario. Para obtener más información, consulta Ve y quita el acceso a aplicaciones de terceros.

Cuando el usuario vuelva a acceder a Google Cloud CLI, le pedirá de forma automática que vuelva a autorizar la aplicación.

Quita las credenciales de Google Cloud CLI como usuario

1. Abre la lista de apps con acceso a tu Cuenta de Google.

2. Quita Google Cloud CLI de la lista de apps conectadas.

Cuando vuelvas a acceder a Google Cloud CLI, se te pedirá de forma automática que vuelvas a autorizar la aplicación.

Revoca las credenciales predeterminadas de la aplicación como administrador

Si sospechas que una credencial predeterminada de la aplicación está vulnerada, puedes revocarla. Este procedimiento puede causar una interrupción temporal hasta que se vuelva a crear el archivo de credenciales.

Como administrador de Google Workspace, quita el acceso a la biblioteca de Google Auth de la lista de apps conectadas del usuario. Para obtener más información, consulta Ve y quita el acceso a aplicaciones de terceros.

Revoca las credenciales predeterminadas de la aplicación como usuario

Si sospechas que la credencial predeterminada de la aplicación que creaste está comprometida, puedes revocarla. Este procedimiento puede causar una interrupción temporal hasta que se vuelva a crear el archivo de credenciales. Solo el propietario de la credencial vulnerada puede completar este procedimiento.

1. Instala e inicializa Google Cloud CLI, si aún no lo hiciste.

2. Autoriza a la CLI de gcloud con tu identidad de usuario, no con una cuenta de servicio:

    gcloud auth login
   

   Para obtener más información, consulta [Autoriza la CLI de gcloud] (/sdk/docs/authorizing).

3. Revoca las credenciales:

     gcloud auth application-default revoke
   

4. De manera opcional, borra el archivo application_default_credentials.json. La ubicación depende del sistema operativo:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Vuelve a crear el archivo de credenciales:

    gcloud auth application-default login
   

Invalida las cookies del navegador como administrador

Si sospechas que las cookies del navegador se vulneraron, los administradores de Google Workspace pueden cerrar la sesión de la cuenta de un usuario.

Además, pueden aplicar de inmediato un cambio de contraseña.

Estas acciones invalidan todas las cookies existentes y el usuario debe volver a acceder.

Invalida las cookies del navegador como usuario

Si sospechas que las cookies del navegador se vulneraron, sal de la Cuenta de Google y cambia tu contraseña de inmediato.

Estas acciones invalidan todas tus cookies existentes. La próxima vez que entres a Google Cloud, debes volver a acceder.

Busca instancias de acceso y recursos no autorizados

Después de revocar las credenciales vulneradas y restablecer el servicio, revisa todo el acceso a los recursos de Google Cloud.

1. Examina tus registros de auditoría en la consola de Google Cloud.

   Ir al Explorador de registros

2. Busca todos los recursos potencialmente afectados y asegúrate de que toda la actividad de la cuenta (en especial la relacionada con las credenciales vulneradas) sea la esperada.

Borra todos los recursos no autorizados

Asegúrate de que no haya recursos inesperados a los que podría acceder la credencial comprometida, como VM, apps de App Engine, cuentas de servicio, buckets de Cloud Storage, etc.

Cuando estés seguro de haber identificado todos los recursos no autorizados, puedes borrarlos de inmediato. Esto es muy importante para los recursos de Compute Engine, ya que los atacantes pueden usar cuentas vulneradas a fin de robar datos o vulnerar tus sistemas de producción.

También puedes intentar aislar los recursos no autorizados para que tus equipos de análisis puedan realizar análisis adicionales.

Comunícate con Atención al cliente de Cloud

Si deseas obtener ayuda a fin de encontrar los registros y las herramientas de Google Cloud que necesitas para tus pasos de investigación y mitigación, comunícate con Atención al cliente y abre un caso de ayuda.

Prácticas recomendadas para evitar la vulneración de credenciales

En esta sección, se describen las prácticas recomendadas que puedes implementar para evitar la vulneración de credenciales.

Separa las credenciales del código

Administra y almacena tus credenciales en una ubicación distinta a la del código fuente. Es muy común enviar por accidente tanto el código fuente como las credenciales a un sitio de administración de fuentes como GitHub, lo que provoca que las credenciales sean vulnerables a ataques.

Si usas GitHub u otro repositorio público, puedes implementar herramientas como el análisis de secretos, que te advierten sobre secretos expuestos en tus repositorios de GitHub. Para evitar que se confirmen las claves en tus repositorios de GitHub, considera usar herramientas como git-secrets.

Usa soluciones de administración de secretos, como Secret Manager y Hashicorp Vault para almacenar los secretos, rotarlos con regularidad y aplicar el privilegio mínimo.

Implementa las prácticas recomendadas para las cuentas de servicio

A fin de proteger las cuentas de servicio, revisa las prácticas recomendadas para trabajar con cuentas de servicio.

Limita la duración de las sesiones

A fin de forzar una reautenticación periódica, limita el tiempo que las sesiones permanecen activas para las cuentas de Google y Google Cloud. Para obtener más información, consulta lo siguiente:

• Establece la duración de la sesión para Google Workspace

• Establece la duración de la sesión para los servicios de Google Cloud.

• Establece la duración de la sesión para Cloud Identity

Usa los Controles del servicio de VPC para limitar el acceso

Para limitar el impacto de las credenciales vulneradas, crea perímetros de servicio mediante los Controles del servicio de VPC. Cuando configuras los Controles del servicio de VPC, los recursos dentro del perímetro solo pueden comunicarse con otros recursos dentro del perímetro.