Umgang mit manipulierten GCP-Anmeldedaten

Mit den Anmeldedaten für die Google Cloud Platform (GCP) wird der Zugriff auf Ihre Ressourcen gesteuert, die auf der GCP gehostet sind. Damit die Anmeldedaten sicher sind und vor Angreifern geschützt werden, müssen Sie sie mit größter Sorgfalt behandeln.

Sie sollten alle Ihre GCP-Anmeldedaten vor einem unbeabsichtigten Zugriff schützen. Zu den Anmeldedaten gehören unter anderem folgende Daten:

Dienstanmeldedaten, die in der Cloud Platform Console erstellt und verwaltet werden:

  • Private Schlüssel für Dienstkonten (JSON- und p12-Dateien)
  • API-Schlüssel
  • OAuth2-Client-ID-Schlüssel

Nutzeranmeldedaten, die Sie auf Entwickler-Workstations erstellen und verwalten:

  • Google Cloud SDK-Anmeldedaten – werden im User Config-Verzeichnis gespeichert und durch Ausführung des Befehls gcloud info erhoben.
  • Browser-Cookies – sind zwar browserspezifisch, werden in der Regel aber auf der Entwicklerworkstation gespeichert.

Wenn Sie vermuten, dass Ihre Anmeldedaten manipuliert wurden, sollten Sie sofortige Maßnahmen ergreifen, um die Auswirkungen auf Ihr GCP-Konto zu begrenzen.

Sofortige Maßnahmen, um Ihr GCP-Konto zu schützen

Anmeldedaten zurücksetzen und neu erstellen

Alle Arten von Anmeldedaten können zurückgesetzt und neu erstellt werden. Gehen Sie sorgfältig vor, damit es zu keinem Dienstausfall kommt, wenn Sie Ihre Anmeldedaten zurücksetzen.

Im Allgemeinen ist es empfehlenswert, zuerst neue Anmeldedaten zu erstellen, diese anschließend auf alle erforderlichen Dienste und Nutzer zu übertragen und zuletzt die alten Anmeldedaten zurückzusetzen.

Private Schlüssel für Dienstkonten ersetzen

Suchen Sie in der Cloud Platform Console nach "Dienstkonten" und anschließend nach dem betroffenen Dienstkonto. Erstellen Sie einen neuen Schlüssel für das Dienstkonto, übertragen Sie diesen Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde, und löschen Sie anschließend den alten Schlüssel.

API-Schlüssel neu generieren

Suchen Sie in der Cloud Platform Console nach "Anmeldedaten". Erstellen Sie mithilfe der Schaltfläche Anmeldedaten erstellen einen neuen API-Schlüssel, der wie der manipulierte API-Schlüssel konfiguriert ist. Die Beschränkungen für den API-Schlüssel müssen übereinstimmen, da es ansonsten zu einem Ausfall kommen könnte. Übertragen Sie den API-Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde, und löschen Sie anschließend den alten Schlüssel.

OAuth2-Client-ID-Schlüssel zurücksetzen

Hinweis: Wenn Sie einen Client-ID-Schlüssel ändern, kommt es zu einem temporären Ausfall, während der Schlüssel rotiert wird.

Suchen Sie in der Cloud Platform Console nach "Anmeldedaten". Wählen Sie die gewünschte OAuth2-Client-ID aus und bearbeiten Sie sie. Klicken Sie auf Schlüssel zurücksetzen und übertragen Sie den neuen Schlüssel an Ihre Anwendung.

Google Cloud SDK-Anmeldedaten entfernen

Ein Nutzer, dessen Google Cloud SDK-Anmeldedaten manipuliert wurden, sollte die Seite accounts.google.com aufrufen, Apps mit Zugriff auf mein Konto öffnen und das Google Cloud SDK aus der Liste der verbundenen Anwendungen entfernen.

Wenn Sie das Befehlszeilentool gcloud noch einmal verwenden, wird der Nutzer automatisch gebeten, die Anwendung noch einmal zu autorisieren.

Diese Aktion kann auch von einem G Suite-Administrator im Auftrag des Nutzers durchgeführt werden.

Browser-Cookies ungültig machen

Wenn ein Nutzer vermutet, dass seine Browser-Cookies manipuliert wurden, sollte er umgehend das Passwort unter accounts.google.com löschen. Dadurch werden alle vorhandenen Cookies ungültig gemacht und der Nutzer wird gebeten, sich noch einmal im Browser anzumelden.

Diese Aktion kann auch von einem G Suite-Administrator im Auftrag des Nutzers durchgeführt werden.

Nach unbefugtem Zugriff und nicht autorisierten Ressourcen suchen

Nachdem Sie die gehackten Anmeldedaten zurückgesetzt und den Dienst wiederhergestellt haben, sollten Sie den Zugriff auf Ihre GCP-Ressourcen überprüfen.

Dabei sollten Sie vor allem Ihr Aktivitätsprotokoll in der Cloud Platform Console überprüfen (suchen Sie dazu nach "Aktivität"), und zwar in allen betroffenen GCP-Projekten. Kontrollieren Sie außerdem, ob alle Zugriffe (insbesondere im Zusammenhang mit den gehackten Anmeldedaten) so sind wie erwartet.

Alle nicht autorisierten Ressourcen löschen

Überprüfen Sie, ob keine unerwarteten Ressourcen, wie VMs, Google App Engine-Apps, Dienstkonten, Google Cloud Storage-Buckets usw., mit dem Projekt verknüpft sind.

Wenn Sie sicher sind, dass Sie alle nicht autorisierten Ressourcen identifiziert haben, können Sie diese Ressourcen sofort löschen. Dies ist besonders für computerähnliche Ressourcen wichtig, die Daten unbefugt weitergeben oder Ihre Produktionssysteme anderweitig gefährden können.

Alternativ können Sie auch versuchen, nicht autorisierte Ressourcen zu isolieren, damit Ihre Forensikteams und der Google Cloud-Support weitere forensische Analysen durchführen können.

Google Cloud-Support kontaktieren

Wenden Sie sich an den Google Cloud-Support.

Allgemeine Best Practices

Anmeldedaten von Code trennen

Verwalten und speichern Sie Ihre Anmeldedaten getrennt von Ihrem Quellcode. Anmeldedaten und Quellcode werden sehr häufig versehentlich gemeinsam an ein Versionsverwaltungssystem wie Github übertragen, wodurch Ihre Anmeldedaten anfällig für Angriffe werden.

Best Practices für Dienstkonten

Befolgen Sie die Best Practices für Dienstkonten.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...