Umgang mit gehackten Google Cloud-Anmeldedaten

Google Cloud-Anmeldedaten steuern den Zugriff auf Ihre Ressourcen, die in Google Cloud gehostet werden. Damit Ihre sonstigen Daten sicher und vor Angreifern geschützt sind, müssen Sie die Anmeldedaten mit größter Sorgfalt behandeln.

Wir empfehlen Ihnen, alle Ihre Google Cloud-Anmeldedaten vor einem unbeabsichtigten Zugriff zu schützen. Zu den Anmeldedaten gehören unter anderem folgende Daten:

• Dienstanmeldedaten:

  • Private Schlüssel für Dienstkonten (JSON- und p12-Dateien)
  • API-Schlüssel
  • OAuth2-Client-ID-Secrets

• Nutzeranmeldedaten, die auf Entwickler-Workstations oder anderen Computern erstellt und verwaltet werden:

  • Anmeldedaten für die Google Cloud CLI

  • Standardanmeldedaten für Anwendungen

  • Browser-Cookies

Anmeldedaten für die Google Cloud CLI werden im Basisverzeichnis des Nutzers gespeichert. Sie können sie mit dem Befehl gcloud auth list in der Google Cloud CLI auflisten. Standardanmeldedaten für Anwendungen werden auf der Workstation des Entwicklers gespeichert. Browser-Cookes sind browserspezifisch, werden jedoch in der Regel auf der Entwickler-Workstation gespeichert.

Wenn Sie vermuten, dass Ihre Anmeldedaten gehackt wurden, müssen Sie sofort Maßnahmen ergreifen, um die Auswirkungen des Hackings auf Ihr Google Cloud-Konto zu begrenzen.

Anmeldedaten auf Hacking prüfen

Beachten Sie Folgendes, um ein potenzielles Hacking zu erkennen:

• Achten Sie auf verdächtige Kontoaktivitäten wie Rechteausweitung und die Erstellung mehrerer Konten. Achten Sie auf solche Aktivitäten mit Cloud-Audit-Logs und Event Threat Detection. Konfigurieren Sie Benachrichtigungen basierend auf Administratoraktivitäten in Compute Engine-Audit-Logs und GKE-Audit-Logs (Google Kubernetes Engine). Verwenden Sie Event Threat Detection, um Bedrohungen zu identifizieren, die auf Administratoraktivitäten, Gruppenänderungen und IAM-Berechtigungsänderungen (Identity and Access Management) basieren.

• Überwachen Sie Nutzeranmeldungen in Google Workspace und Cloud Identity. Zur besseren Nachverfolgung von Problemen sollten Sie die Logs nach Cloud Logging exportieren.

• Verwenden Sie Tools wie Secret-Scans, um in Ihren Code-Repositories auf Secrets zu prüfen.

• Mit Cloud Monitoring können Sie Anomalien bei der Nutzung von Dienstkontoschlüsseln überwachen.

Achten Sie darauf, dass Ihr Sicherheitscenter (SOC) sofort benachrichtigt wird. Sie können das Security Command Center in Ihr SIEM einbinden, Logs aus Cloud Logging in Ihr SIEM exportieren oder Logs zur weiteren Analyse in Google Security Operations importieren.

Achten Sie darauf, dass Ihr SOC die Playbooks, Tools und den Zugriff hat, die erforderlich sind, um auf mutmaßliches Hacking von Anmeldedaten schnell zu reagieren.

Google Cloud-Ressourcen vor gehackten Anmeldedaten schützen

Führen Sie die Schritte in den folgenden Abschnitten so schnell wie möglich aus, um Ihre Ressourcen zu schützen, wenn Sie vermuten, dass Anmeldedaten gehackt wurde.

Anmeldedaten zurücksetzen und neu erstellen

Wenn Sie den Verdacht haben, dass Anmeldedaten gehackt wurden, widerrufen Sie sie und geben Sie sie noch einmal aus. Gehen Sie sorgfältig vor, damit es zu keinem Dienstausfall kommt, wenn Sie Anmeldedaten widerrufen.

Im Allgemeinen generieren Sie zur erneuten Ausgabe von Anmeldedaten neue Anmeldedaten, übertragen diese an alle Dienste und Nutzer, die sie benötigen, und widerrufen dann die alten Anmeldedaten.

Die folgenden Abschnitte enthalten spezifische Anleitungen für die einzelnen Arten von Anmeldedaten.

Dienstkontoschlüssel ersetzen

1. Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf:

   Zur Seite „Dienstkonten“

2. Suchen Sie nach dem betroffenen Dienstkonto.

3. Erstellen Sie einen neuen Schlüssel für das Dienstkonto.

4. Übertragen Sie den neuen Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde.

5. Löschen Sie den alten Schlüssel.

Weitere Informationen finden Sie unter Dienstkonten erstellen und verwalten.

API-Schlüssel neu generieren

1. Wechseln Sie in der Google Cloud Console zur Seite Anmeldedaten.

   Zu den Anmeldedaten

2. Erstellen Sie mithilfe der Schaltfläche Anmeldedaten erstellen einen neuen API-Schlüssel. Konfigurieren Sie den neuen Schlüssel genauso wie den gehackten API-Schlüssel. Die Beschränkungen für den API-Schlüssel müssen übereinstimmen, da es ansonsten zu einem Ausfall kommen könnte.

3. Übertragen Sie den API-Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde.

4. Löschen Sie den alten Schlüssel.

Weitere Informationen finden Sie unter API-Schlüssel verwenden.

OAuth2-Client-ID-Secret zurücksetzen

Das Ändern eines Client-ID-Secrets führt zu einem temporären Ausfall, während das Secret rotiert wird.

1. Wechseln Sie in der Google Cloud Console zur Seite Anmeldedaten.

   Zu den Anmeldedaten

2. Wählen Sie die gehackte OAuth2-Client-ID aus und bearbeiten Sie sie.

3. Klicken Sie auf Secret zurücksetzen.

4. Übertragen Sie das neue Secret an Ihre Anwendung.

Weitere Informationen finden Sie unter OAuth 2.0 einrichten und OAuth 2.0 für den Zugriff auf Google APIs verwenden.

Anmeldedaten der Google Cloud CLI als Administrator entfernen

Als Google Workspace-Administrator entfernen Sie den Zugriff auf die Google Cloud CLI aus der Liste der verbundenen Anwendungen des Nutzers. Weitere Informationen finden Sie unter Zugriff auf Anwendungen von Drittanbietern ansehen und entfernen.

Wenn der Nutzer noch einmal auf die Google Cloud CLI zugreift, wird er automatisch aufgefordert, die Anwendung neu zu autorisieren.

Anmeldedaten der Google Cloud CLI als Nutzer entfernen

1. Öffnen Sie die Liste der Apps mit Zugriff auf Ihr Google-Konto.

2. Entfernen Sie die Google Cloud CLI aus der Liste der verbundenen Anwendungen.

Wenn Sie noch einmal auf die Google Cloud CLI zugreifen, werden Sie automatisch aufgefordert, die Anwendung neu zu autorisieren.

Standardanmeldedaten für Anwendungen als Administrator widerrufen

Wenn Sie den Verdacht haben, dass Standardanmeldedaten für Anwendungen gehackt wurden, können Sie sie widerrufen. Diese Vorgehensweise kann zu einem vorübergehenden Ausfall führen, bis die Datei mit den Anmeldedaten neu erstellt wurde.

Als Google Workspace-Administrator entfernen Sie den Zugriff auf die Google-Authentifizierungsbibliothek aus der Liste der verbundenen Anwendungen des Nutzers. Weitere Informationen finden Sie unter Zugriff auf Anwendungen von Drittanbietern ansehen und entfernen.

Standardanmeldedaten für Anwendungen als Nutzer widerrufen

Wenn Sie vermuten, dass die von Ihnen erstellten Standardanmeldedaten für Anwendungen gehackt wurden, können Sie sie widerrufen. Diese Vorgehensweise kann zu einem vorübergehenden Ausfall führen, bis die Datei mit den Anmeldedaten neu erstellt wurde. Dieses Verfahren kann nur vom Inhaber der gehackten Anmeldedaten abgeschlossen werden.

1. Installieren und initialisieren Sie die Google Cloud CLI, falls noch nicht geschehen.

2. Autorisieren Sie die gcloud CLI mit Ihrer Nutzeridentität und nicht mit einem Dienstkonto:

    gcloud auth login
   

   Weitere Informationen finden Sie unter „gcloud CLI autorisieren“.

3. Widerrufen Sie die Anmeldedaten:

     gcloud auth application-default revoke
   

4. Löschen Sie optional die Datei application_default_credentials.json. Der Speicherort hängt von Ihrem Betriebssystem ab:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Erstellen Sie die Datei mit den Anmeldedaten neu:

    gcloud auth application-default login
   

Browser-Cookies als Administrator entwerten

Wenn Sie vermuten, dass Browser-Cookies gehackt wurden, können Google Workspace-Administratoren einen Nutzer von seinem Konto abmelden.

Außerdem sollten Sie sofort eine Passwortänderung erzwingen.

Bei diesen Aktionen werden alle vorhandenen Cookies ungültig gemacht und der Nutzer wird aufgefordert, sich noch einmal anzumelden.

Browser-Cookies als Nutzer entwerten

Wenn Sie vermuten, dass Browser-Cookies gehackt wurden, melden Sie sich von Ihrem Google-Konto ab und ändern Sie Ihr Passwort sofort.

Bei diesen Aktionen werden alle vorhandenen Cookies ungültig. Beim nächsten Zugriff auf Google Cloud müssen Sie sich noch einmal anmelden.

Nach unbefugtem Zugriff und nicht autorisierten Ressourcen suchen

Nachdem Sie gehackte Anmeldedaten widerrufen und Ihren Dienst wiederhergestellt haben, prüfen Sie den gesamten Zugriff auf Ihre Google Cloud-Ressourcen.

1. Sehen Sie sich Ihre Audit-Logs in der Google Cloud Console an.

   Zum Log-Explorer

2. Suchen Sie in allen potenziell betroffenen Ressourcen und prüfen Sie, ob alle Kontoaktivitäten (insbesondere im Zusammenhang mit den gehackten Anmeldedaten) so sind wie erwartet.

Alle nicht autorisierten Ressourcen löschen

Achten Sie darauf, dass keine unerwarteten Ressourcen wie VMs, App Engine-Anwendungen, Dienstkonten, Cloud Storage-Buckets usw. vorhanden sind, auf die mit gehackten Anmeldedaten zugegriffen werden könnte.

Wenn Sie sich sicher sind, dass Sie alle nicht autorisierten Ressourcen identifiziert haben, können Sie diese Ressourcen sofort löschen. Dies ist besonders für Compute Engine-Ressourcen wichtig, da Angreifer gehackte Konten verwenden können, um Daten zu exfiltrieren oder Ihre Produktionssysteme anderweitig zu hacken.

Alternativ können Sie versuchen, nicht autorisierte Ressourcen zu isolieren, damit Ihre Forensikteams zusätzliche Analysen durchführen können.

Cloud Customer Care kontaktieren

Wenn Sie Hilfe bei der Suche nach den Google Cloud-Logs und -Tools benötigen, die Sie für Ihre Untersuchungs- und Abhilfemaßnahmen benötigen, wenden Sie sich an Customer Care und eröffnen Sie einen Supportfall.

Best Practices zur Vermeidung gehackter Anmeldedaten

In diesem Abschnitt werden Best Practices beschrieben, die Sie implementieren können, um gehackte Anmeldedaten zu vermeiden.

Anmeldedaten von Code trennen

Verwalten und speichern Sie Ihre Anmeldedaten getrennt von Ihrem Quellcode. Anmeldedaten und Quellcode werden sehr häufig versehentlich gemeinsam an ein Versionsverwaltungssystem wie GitHub übertragen, wodurch Ihre Anmeldedaten anfällig für Angriffe werden.

Wenn Sie GitHub oder ein anderes öffentliches Repository verwenden, können Sie Tools wie den Secret-Scan implementieren, der Sie bei offengelegten Secrets in Ihren GitHub-Repositories warnt. Wenn Sie verhindern möchten, dass Schlüssel in Ihre GitHub-Repositories übertragen werden, sollten Sie Tools wie git-secrets verwenden.

Verwenden Sie Lösungen zur Secretverwaltung wie Secret Manager und Hashicorp Vault, um Ihre Secrets zu speichern, sie regelmäßig zu rotieren und die geringsten Berechtigungen anzuwenden.

Best Practices für Dienstkonten implementieren

Informationen zum Schutz von Dienstkonten finden Sie in den Best Practices für die Arbeit mit Dienstkonten.

Sitzungsdauer beschränken

Wenn Sie eine regelmäßige erneute Authentifizierung erzwingen möchten, begrenzen Sie die Zeit, die Sitzungen für Google- und Google Cloud-Konten aktiv bleiben. Hier finden Sie weitere Informationen:

• Sitzungsdauer für Google Workspace festlegen

• Sitzungsdauer für Google Cloud-Dienste festlegen

• Sitzungsdauer für Cloud Identity festlegen

Mit VPC Service Controls den Zugriff einschränken

Erstellen Sie Dienstperimeter mit VPC Service Controls, um die Auswirkungen gehackter Anmeldedaten zu begrenzen. Wenn Sie VPC Service Controls konfigurieren, können Ressourcen innerhalb des Perimeters nur mit anderen Ressourcen innerhalb des Perimeters kommunizieren.