Administra credenciales de GCP vulneradas

Las credenciales de Google Cloud Platform (GCP) te permiten controlar el acceso a tus recursos alojados en GCP. Debes manejar tus credenciales con el máximo cuidado a fin de proteger tus datos de los atacantes.

Debes proteger todas tus credenciales de GCP contra el acceso no autorizado. Algunas de las credenciales incluyen, entre otras, las siguientes listas.

Credenciales de servicio creadas y administradas en Cloud Platform Console:

  • Claves privadas de cuentas de servicio (archivos p12 y JSON)
  • Claves de API
  • Secretos de ID de cliente de OAuth2

Credenciales de usuario que creas y administras en estaciones de trabajo para desarrolladores:

  • Credenciales del SDK de Google Cloud: se almacenan en el directorio de configuración de usuario que se indica después de ejecutar el comando gcloud info.
  • Cookies del navegador: son específicas del navegador, pero se suelen almacenar en la estación de trabajo del desarrollador.

Si sospechas que se vulneró alguna de tus credenciales, debes tomar medidas de inmediato para minimizar el impacto en tu cuenta de GCP.

Pasos inmediatos para proteger tu cuenta de GCP

Revoca las credenciales y vuelve a generarlas

Se pueden revocar y volver a generar todos los tipos de credenciales. Realiza este paso con cuidado para evitar que se interrumpa el servicio tras la revocación.

En general, es mejor generar una credencial nueva primero y enviarla a todos los servicios y usuarios que la necesiten, y después revocar la credencial antigua.

Reemplaza las claves privadas de cuentas de servicio

Ve a “Cuentas de servicio” en Cloud Platform Console y busca la cuenta de servicio en cuestión. Crea una clave nueva para la cuenta de servicio, envíala a todas las ubicaciones en las que se use la clave antigua y, luego, bórrala.

Vuelve a generar las claves de API

Ve a “Credenciales” en Cloud Platform Console. Crea una clave de API nueva con el botón Crear credenciales y usa la misma configuración que tiene la clave de API vulnerada. Las restricciones de ambas claves de API deben coincidir. De lo contrario, es posible que ocurra una interrupción. Envía la clave de API a todas las ubicaciones que usen la clave anterior y, luego, bórrala.

Restablece los secretos de ID de cliente de OAuth2

Ten en cuenta que cambiar un secreto de ID de cliente producirá una interrupción temporal mientras se actualiza el secreto.

Ve a “Credenciales” en Cloud Platform Console. Selecciona el ID de cliente de OAuth2 que quieras y edítalo. Haz clic en el botón Restablecer secreto y envía el secreto nuevo a la aplicación.

Quita las credenciales del SDK de Google Cloud

Si un usuario detecta que se vulneraron sus credenciales del SDK de Google Cloud, debe visitar accounts.google.com, ir a Aplicaciones y sitios conectados y, luego, quitar el SDK de Google Cloud de la lista de apps conectadas.

Cuando vuelvas a usar la herramienta de línea de comandos de gcloud, automáticamente se le pedirá al usuario volver a autorizar la aplicación.

Esta medida también la puede realizar un administrador de G Suite en nombre del usuario.

Invalida las cookies del navegador

Si un usuario sospecha que se vulneró la seguridad de las cookies del navegador, debe cambiar de inmediato su contraseña en accounts.google.com. Esto invalidará todas las cookies existentes y el usuario deberá volver a acceder en el navegador.

Esta medida también la puede realizar un administrador de G Suite en nombre del usuario.

Busca instancias de acceso y recursos no autorizados

Después de que revoques las credenciales filtradas y restablezcas el servicio, debes revisar el acceso a todos tus recursos de GCP.

Principalmente, debes revisar el registro de actividad en Cloud Platform Console (busca “Actividad”) de todos los proyectos de GCP afectados y garantizar que todas las instancias de acceso sean las esperadas (sobre todo aquellas relacionadas con las credenciales filtradas).

Borra todos los recursos no autorizados

Asegúrate de que no haya recursos inesperados asociados con el proyecto, como VM, apps de Google App Engine, cuentas de servicio o depósitos de Google Cloud Storage, entre otros.

Cuando estés seguro de haber identificado todos los recursos no autorizados, puedes borrarlos de inmediato. Este paso es muy importante para los recursos de procesamiento, ya que podrían robar datos o vulnerar tus sistemas de producción.

También puedes intentar aislar los recursos no autorizados para que tu equipo de análisis y la Asistencia de Google Cloud realicen peritajes adicionales.

Comunícate con la Asistencia de Google Cloud

Comunícate con la Asistencia de Google Cloud.

Recomendaciones generales

Separa las credenciales del código

Administra y almacena tus credenciales en una ubicación distinta a la del código fuente. Es muy común enviar por accidente tanto el código fuente como las credenciales a un sitio de administración de fuentes como GitHub, lo que provoca que las credenciales sean vulnerables a ataques.

Recomendaciones para las cuentas de servicio

Sigue las recomendaciones para las cuentas de servicio.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...