Como gerenciar credenciais comprometidas do GCP

As credenciais do Google Cloud Platform (GCP) controlam o acesso aos recursos hospedados no GCP. Para manter os dados seguros e protegidos contra ataques, é preciso ter o máximo cuidado ao gerenciá-las.

Você deve proteger todas as credenciais do GCP contra acesso indesejado. Essas credenciais incluem, sem caráter exclusivo, as listas a seguir.

Credenciais de serviço criadas e gerenciadas no Console do Cloud Platform:

  • chaves privadas de conta de serviço (arquivos JSON e p12)
  • chaves de API
  • chaves secretas de ID do cliente OAuth2

Credenciais de usuário que você cria e gerencia em estações de trabalho de desenvolvedor:

  • Credenciais do Google Cloud SDK: armazenadas no diretório de configurações do usuário, descobertas pela execução do comando gcloud info.
  • Cookies de navegador: específicos do navegador, mas costumam ser armazenados na estação de trabalho do desenvolvedor.

Se você suspeita que alguma credencial foi comprometida, aja imediatamente para limitar o impacto disso sobre a conta do GCP.

Etapas imediatas para proteger a conta do GCP

Revogar e reemitir credenciais

Todos os tipos de credenciais podem ser revogados e reemitidos. Tenha cuidado para que a revogação de credenciais não cause uma interrupção do serviço.

Em geral, é melhor primeiro gerar uma nova credencial, depois enviá-la por push para todos os serviços e usuários que precisam dela e, finalmente, revogar a credencial antiga.

Substituir chaves privadas de conta de serviço

Procure "Contas de serviço" no Console do Cloud Platform e localize a conta de serviço afetada. Crie uma nova chave para a conta de serviço, envie essa chave por push a todos os locais onde a chave antiga estava em uso e, em seguida, exclua a chave antiga.

Regenerar chaves de API

Procure "Credenciais" no Console do Cloud Platform. Crie uma nova chave de API usando o botão Criar credenciais, configurado do mesmo modo que a chave de API comprometida. As restrições na chave de API precisam corresponder, senão poderá ocorrer interrupção. Envie a chave de API por push a todos os locais onde a chave antiga estava em uso e, em seguida, exclua a chave antiga.

Redefinir chaves secretas de ID do cliente OAuth2

Alterar uma chave secreta de ID do cliente causa uma interrupção temporária enquanto a chave secreta é alternada.

Procure "Credenciais" no Console do Cloud Platform. Selecione o ID do cliente OAuth2 que você quer e edite-o. Clique no botão Redefinir chave secreta e envie a nova chave secreta por push ao aplicativo.

Remover credenciais do Google Cloud SDK

Um usuário que teve as credenciais do Google Cloud SDK comprometidas deve acessar accounts.google.com, navegar até Aplicativos e sites conectados e remover o Google Cloud SDK da lista.

Quando você usar de novo a ferramenta de linha de comando gcloud, ela solicitará de forma automática que o usuário autorize o aplicativo novamente.

Essa ação também pode ser executada por um administrador do G Suite em nome do usuário.

Invalidar cookies do navegador

Um usuário que suspeite que os cookies do navegador foram comprometidos, deve alterar a senha imediatamente em accounts.google.com. Isso invalidará todos os cookies existentes, e o usuário será solicitado a fazer login novamente no navegador.

Essa ação também pode ser executada por um administrador do G Suite em nome do usuário.

Procurar acesso e recursos não autorizados

Depois de revogar as credenciais vazadas e restaurar o serviço, você deve analisar todo o acesso aos recursos do GCP.

Em primeiro lugar, examine o registro de atividades no Console do Cloud Platform (procure "atividade") em todos os projetos do GCP afetados. Em seguida, certifique-se de que todos os acessos (especialmente os relacionados às credenciais vazadas) correspondem ao esperado.

Excluir todos os recursos não autorizados

Certifique-se de que não haja nenhum recurso inesperado, como VMs, aplicativos do Google App Engine, contas de serviço, intervalos do Google Cloud Storage etc., associados ao projeto.

Quando estiver satisfeito com a identificação de todos os recursos não autorizados, você poderá excluí-los imediatamente. Isso é especialmente importante para recursos tipo computação, que podem ser capazes de exfiltrar dados ou comprometer os sistemas de produção.

Como alternativa, você pode tentar isolar os recursos não autorizados para que suas próprias equipes forenses e o suporte do Google Cloud realizem perícia adicional.

Entrar em contato com o suporte do Google Cloud

Entre em contato com o suporte do Google Cloud.

Práticas recomendadas gerais

Separar credenciais do código

Gerencie e armazene as credenciais separadamente do código-fonte. É extremamente comum enviar acidentalmente as credenciais e o código-fonte por push a um site de gerenciamento de códigos, como o GitHub, o que torna as credenciais vulneráveis a ataques.

Práticas recomendadas para contas de serviço

Siga as práticas recomendadas para contas de serviço.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…