處理遭駭的 GCP 憑證

Google Cloud Platform (GCP) 憑證是用來針對託管於 GCP 的資源控管其存取權。為了確保您的資料安全無虞,不受攻擊者的侵擾,處理憑證時務必要格外謹慎。

您必須保護自己所有的 GCP 憑證,避免意外遭他人存取。這類憑證包括但不限於下列項目。

在 Cloud Platform 主控台中建立及管理的服務憑證:

  • 服務帳戶私密金鑰 (JSON 和 p12 檔案)
  • API 金鑰
  • OAuth2 用戶端 ID 密鑰

您在開發人員工作站中建立及管理的使用者憑證:

  • Google Cloud SDK 憑證 - 儲存在執行 gcloud info 指令後回報的使用者設定目錄中。
  • 瀏覽器 Cookie - 這是瀏覽器專用的,但通常儲存在開發人員工作站中。

如果您懷疑有任何憑證遭駭,則應立即採取行動,減輕 GCP 帳戶受到的影響。

立即採取相關措施來保護 GCP 帳戶

撤銷並重新核發憑證

所有類型的憑證都可撤銷並重新核發。進行這類作業時請小心,確保不會因撤銷憑證而導致服務中斷。

一般來說,建議您先產生新的憑證,接著將其推送給所有需要憑證的服務和使用者,最後再撤銷舊的憑證。

取代服務帳戶私密金鑰

在 Cloud Platform 主控台中搜尋「服務帳戶」,然後找出受影響的服務帳戶。接著為該服務帳戶建立新的金鑰,並將金鑰推送到所有使用了舊金鑰的位置,然後再刪除舊的金鑰。

重新產生 API 金鑰

在 Cloud Platform 主控台中搜尋「憑證」。接著使用 [建立憑證] 按鈕建立新的 API 金鑰,並為其套用與遭駭的 API 金鑰相同的設定。API 金鑰的限制必須一致,否則服務可能會中斷。最後將 API 金鑰推送到所有使用了舊金鑰的位置,然後再刪除舊的金鑰。

重設 OAuth2 用戶端 ID 密鑰

請注意,變更用戶端 ID 密鑰後,服務在密鑰輪替期間會暫時中斷。

在 Cloud Platform 主控台中搜尋「憑證」。接著選取要修改的 OAuth2 用戶端 ID 並進行編輯,然後按一下 [重設密鑰] 按鈕,並將新的密鑰推送到應用程式。

移除 Google Cloud SDK 憑證

Google Cloud SDK 憑證遭駭的使用者應前往 accounts.google.com >「Connected apps & sites」(已連結的應用程式和網站) 頁面,從已連結的應用程式清單中移除 Google Cloud SDK。

當您再次使用 gcloud 指令列工具時,系統會自動要求使用者再次為應用程式授予權限。

G Suite 管理員也可代表使用者執行這項操作。

撤銷瀏覽器 Cookie

如果使用者懷疑瀏覽器 Cookie 遭駭,則應立即前往 accounts.google.com 變更密碼。這會撤銷所有現有的 Cookie,且使用者會被要求在瀏覽器中再次登入。

G Suite 管理員也可代表使用者執行這項操作。

檢查未經授權的存取行為和資源

撤銷外洩的憑證並還原服務後,請檢查 GCP 資源的所有存取記錄。

您主要應在所有受影響 GCP 專案中,前往 Cloud Platform 主控台檢查活動記錄,確保沒有任何異常的存取記錄 (尤其是與外洩的憑證相關的記錄)。

刪除所有未經授權的資源

請確認專案並未連結至任何非預期的資源,例如 VM、Google App Engine 應用程式、服務帳戶、Google Cloud Storage 值區等。

確定已找出所有未經授權的資源後,您可以選擇立即刪除這些資源。這對運算式資源而言特別重要,因為這類資源或許能夠竊取資料或入侵您的實際工作環境系統。

或者,您可以選擇嘗試隔離未經授權的資源,讓您自己的鑑識團隊和 Google Cloud 支援小組進行額外的鑑識作業。

與 Google Cloud 支援小組聯絡

Google Cloud 支援小組聯絡。

通用的最佳做法

將憑證與程式碼分開

請將您的憑證和原始碼分開管理及儲存。常常有人不小心將憑證和原始碼一起推送到 GitHub 等原始碼管理網站,導致憑證容易受到攻擊。

服務帳戶最佳做法

請遵循服務帳戶的最佳做法

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
說明文件