Auf dieser Seite wird beschrieben, wie Sie mit dem Discovery-Dienst des Schutzes sensibler Daten feststellen können, ob sich Secrets in Ihren Cloud Run-Umgebungsvariablen befinden. Der Schutz sensibler Daten meldet alle Ergebnisse als Sicherheitslücken an Security Command Center.
Security Command Center
Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud. Security Command Center unterstützt Sie beim Verbessern Ihres Sicherheitsstatus. Dazu werden Fehlkonfigurationen, Sicherheitslücken, Beobachtungen und Bedrohungen ermittelt. Außerdem enthält sie Empfehlungen zur Untersuchung und Behebung der Ergebnisse.
Gründe für die Suche nach Secrets in Umgebungsvariablen
Das Speichern von Secrets wie Passwörtern in Umgebungsvariablen ist nicht sicher, da Umgebungsvariablen nicht verschlüsselt werden. Ihre Werte können in verschiedenen Systemen wie Protokollen erfasst und bereitgestellt werden. Wir empfehlen, zum Speichern Ihrer Secrets Secret Manager zu verwenden. Weitere Informationen zum Konfigurieren von Secrets finden Sie in der Dokumentation zu Cloud Run und Cloud Run-Funktionen.
Funktionsweise
Wenn Sie die Geheimnisse erkennen möchten, erstellen Sie eine Scankonfiguration auf Organisations- oder Projektebene. Innerhalb des ausgewählten Bereichs wird Cloud Run im Rahmen des Schutzes sensibler Daten regelmäßig auf Secrets in Build- und Laufzeitumgebungsvariablen geprüft.
Wenn eine Umgebungsvariable ein Secret enthält, sendet der Schutz sensibler Daten eine Secrets in environment variables-Sicherheitslücke an das Security Command Center. Es werden keine Datenprofile generiert. Alle Ergebnisse sind nur über das Security Command Center verfügbar.
Sensitive Data Protection generiert maximal ein Ergebnis pro Ressource. Wenn beispielsweise Secrets in zwei Umgebungsvariablen in derselben Cloud Run-Funktion gefunden werden, wird im Security Command Center nur ein Ergebnis generiert.
Sie können sich Secrets in environment variables-Ergebnisse im Security Command Center ansehen, wenn Sie Folgendes tun:
- Ergebnisse zum Schutz sensibler Daten überprüfen
- Compliance-Berichte für den CIS 1.3- oder CIS 2.0-Standard aufrufen oder exportieren
Das folgende JSON-Beispiel zeigt einen Secrets in environment variables-Ergebnisbereich. In diesem Beispiel sind nur die für diese Funktion relevanten Felder zu sehen. Es handelt sich nicht um eine vollständige Liste der Felder.
Secrets in Umgebungsvariablen
{ "finding": { "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "SECRETS_IN_ENVIRONMENT_VARIABLES", "compliances": [ { "standard": "cis", "version": "1.3", "ids": [ "1.18" ] } ], "createTime": "DATE_TIME", "description": "The affected resource is storing credentials or other secret information in its environment variables. This is a security vulnerability because environment variables are stored unencrypted, and accessible to all users who have access to the code.", "eventTime": "DATE_TIME", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/dlp", "mute": "MUTE_STATUS", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Sensitive Data Protection", "resourceName": "//cloudfunctions.googleapis.com/projects/PROJECT_ID/locations/REGION/functions/FUNCTION_ID", }, "resource": { "name": "//cloudfunctions.googleapis.com/projects/PROJECT_ID/locations/REGION/functions/FUNCTION_ID", "display_name": "projects/PROJECT_ID/locations/REGION/functions/FUNCTION_ID", "type": "google.cloudfunctions.CloudFunction", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "PARENT_DISPLAY_NAME" } }
Latenz der Ergebnisgenerierung
Nach der Aktivierung der Secrets-Erkennung im Schutz sensibler Daten kann es bis zu 12 Stunden dauern, bis der erste Scan der Umgebungsvariablen abgeschlossen ist und alle Secrets in environment variables-Ergebnisse im Security Command Center angezeigt werden. Anschließend werden die Umgebungsvariablen alle 24 Stunden vom Sensitive Data Protection-System gescannt. In der Praxis können Scans häufiger ausgeführt werden.
Gemeldete Arten von Secrets
Beispiele für Secrets sind Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Eine vollständige Liste der Geheimdatentypen, nach denen in dieser Funktion nach sensiblen Daten gesucht wird, finden Sie unter Anmeldedaten und Geheimnisse.
Unterstützte Ressourcen
Für die Geheimnissesuche unterstützt der Schutz sensibler Daten Cloud Run-Functions (einschließlich Cloud Functions der 1. Generation) und Cloud Run-Dienstversionen.
Preise
Für diese Funktion fallen keine Gebühren für den Schutz sensibler Daten an. Je nach Dienststufe können Security Command Center-Gebühren anfallen. Der Schutz sensibler Daten funktioniert mit allen Dienststufen von Security Command Center.
Datenstandort
Wenn Sie zum ersten Mal eine Scankonfiguration erstellen, geben Sie an, wo Sensitive Data Protection sie speichern soll. Alle nachfolgenden Scankonfigurationen, die Sie erstellen, werden in derselben Region gespeichert. Der Schutz vertraulicher Daten exportiert Ihre Cloud Run-Metadaten in die Region, in der Ihre Scankonfiguration gespeichert ist. Die Funktions- oder Dienstversion selbst wird jedoch nicht exportiert.
Wenn der Schutz sensibler Daten Geheimnisse in Umgebungsvariablen erkennt, werden die Ergebnisse an das Security Command Center gesendet und unterliegen den dort geltenden Verfahren zur Datenverarbeitung.
Erforderliche IAM-Rollen
Für die Geheimnisse-Erfassung benötigen Sie die Identity and Access Management-Rollen, die zum Profilieren von Daten erforderlich sind:
Informationen zur Suche nach Secrets auf Organisationsebene finden Sie unter Rollen, die für die Arbeit mit Datenprofilen auf Organisationsebene erforderlich sind.
Informationen zum Suchen nach Geheimnissen auf Projektebene finden Sie unter Rollen, die für die Arbeit mit Datenprofilen auf Projektebene erforderlich sind.
Außerdem benötigen Sie die entsprechenden Rollen, um mit Security Command Center-Ergebnissen arbeiten zu können. Weitere Informationen finden Sie in der Security Command Center-Dokumentation unter IAM für Aktivierungen auf Organisationsebene.
Hinweise
Prüfen Sie die Aktivierungsstufe von Security Command Center für Ihre Organisation. Wenn Sie Datenprofile an das Security Command Center senden möchten, muss Security Command Center in einer beliebigen Dienstebene auf Organisationsebene aktiviert sein. Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren.
Wenn Security Command Center nur auf Projektebene aktiviert ist, werden Ergebnisse zum Schutz sensibler Daten nicht im Security Command Center angezeigt.
Achten Sie darauf, dass in Security Command Center Schutz sensibler Daten als integrierter Dienst aktiviert ist. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.
Secrets Discovery auf Organisationsebene konfigurieren
Führen Sie diese Schritte aus, wenn Sie die Secrets Discovery in einer gesamten Organisation aktivieren möchten. Informationen zur Erkennung auf Projektebene finden Sie unter Erkennung von Geheimnissen auf Projektebene konfigurieren.
Auch wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, können Sie eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss eine Person mit einer dieser Rollen Ihrem Dienst-Agent jedoch Erkennungszugriff gewähren.
Rufen Sie die Seite Scankonfiguration erstellen auf.
Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.
Klicken Sie nach jedem Schritt auf dieser Seite auf Weiter.
Wählen Sie unter Erkennungstyp auswählen die Option Sicherheitslücken bei Geheimnissen/Anmeldedaten aus.
Wählen Sie unter Umfang auswählen aus, ob Sie die gesamte Organisation scannen möchten.
Geben Sie unter Dienst-Agent-Container und Abrechnung verwalten an, welches Projekt als Dienst-Agent-Container verwendet werden soll. Sie können entweder den Schutz sensibler Daten automatisch ein neues Projekt erstellen lassen oder ein vorhandenes auswählen.
Wenn Sie kein Projekt als Dienst-Agent-Container verwenden können, wählen Sie Neues Projekt als Dienst-Agent-Container erstellen aus. Sensitive Data Protection erstellt ein neues Projekt mit dem Namen DLP-Dienst-Agent-Container. Der Dienstagent in diesem Projekt wird verwendet, um sich bei Sensitive Data Protection und anderen APIs zu authentifizieren. Das System fordert Sie auf, das Konto auszuwählen, das für alle abrechenbaren Vorgänge in Rechnung gestellt werden soll, die sich auf dieses Projekt beziehen, einschließlich Vorgängen, die nicht mit der Datenerhebung zusammenhängen.
Wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen von Projekten haben, ist die Option Neues Projekt als Dienst-Agent-Container erstellen deaktiviert. In diesem Fall müssen Sie ein vorhandenes Projekt auswählen oder Ihren Google Cloud-Administrator bitten, Ihnen die Rolle „Projektersteller“ (
roles/resourcemanager.projectCreator) zu erteilen.Wenn Sie einen vorhandenen Dienst-Agent-Container wiederverwenden möchten, wählen Sie Vorhandenen Dienst-Agent-Container auswählen aus. Klicken Sie dann auf Durchsuchen, um die Projekt-ID des Dienstkontocontainers auszuwählen.
Wählen Sie für Speicherort für Konfiguration festlegen die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert. Informationen zu den Überlegungen zum Datenstandort finden Sie auf dieser Seite unter Datenspeicherort.
Optional: Wenn der Scan nicht kurz nach dem Erstellen der Scankonfiguration gestartet werden soll, wählen Sie Scan im pausierten Modus erstellen aus.
Diese Option ist in den folgenden Fällen nützlich:
- Ihr Google Cloud-Administrator muss dem Kundenservicemitarbeiter noch Discovery-Zugriff gewähren.
- Sie möchten mehrere Scankonfigurationen erstellen und manche andere überschreiben lassen.
Klicken Sie auf Erstellen.
Der Schutz sensibler Daten beginnt kurz nach dem Erstellen einer Scankonfiguration oder dem Fortsetzen einer pausierten Konfiguration mit dem Scannen Ihrer Cloud Run-Umgebungsvariablen. Informationen dazu, wie lange es dauert, bis Ergebnisse im Security Command Center angezeigt werden, finden Sie auf dieser Seite unter Latenz bei der Ergebnisgenerierung.
Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, muss ein Nutzer mit einer dieser Rollen Ihrem Kundenservicemitarbeiter Zugriff für die Suche gewähren, bevor die Suche beginnen kann.
Secrets Discovery auf Projektebene konfigurieren
Führen Sie diese Schritte aus, wenn Sie die Geheimnisse-Erkennung für ein einzelnes Projekt aktivieren möchten. Informationen zur Erkennung auf Organisationsebene finden Sie unter Erfassung von Geheimnissen auf Organisationsebene konfigurieren.
Rufen Sie die Seite Scankonfiguration erstellen auf.
Rufen Sie Ihr Projekt auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihr Projekt aus.
Klicken Sie nach jedem Schritt auf dieser Seite auf Weiter.
Wählen Sie unter Erkennungstyp auswählen die Option Sicherheitslücken bei Geheimnissen/Anmeldedaten aus.
Achten Sie darauf, dass unter Scan scope (Scanumfang) die Option Scan entire project (Ganzes Projekt scannen) ausgewählt ist. Wenn die Option nicht ausgewählt ist, prüfen Sie, ob Sie sich in der Projektansicht befinden.
Wählen Sie für Speicherort für Konfiguration festlegen die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert. Informationen zu den Überlegungen zum Datenstandort finden Sie auf dieser Seite unter Datenspeicherort.
Klicken Sie auf Erstellen.
Der Schutz sensibler Daten beginnt kurz nach dem Erstellen einer Scankonfiguration oder dem Fortsetzen einer pausierten Konfiguration mit dem Scannen Ihrer Cloud Run-Umgebungsvariablen. Informationen dazu, wie lange es dauert, bis Ergebnisse im Security Command Center angezeigt werden, finden Sie auf dieser Seite unter Latenz bei der Ergebnisgenerierung.
Abfrage nach Secrets in environment variables Ergebnissen
Im Folgenden finden Sie Beispielabfragen, mit denen Sie Secrets in
environment variables-Ergebnisse im Security Command Center finden. Sie können diese Abfragen in das Feld Abfrageeditor eingeben. Weitere Informationen zum Abfrageeditor finden Sie unter Ergebnisabfrage im Security Command Center-Dashboard bearbeiten.
Alle Secrets in environment variables-Ergebnisse auflisten
state="ACTIVE"
AND NOT mute="MUTED"
AND category="SECRETS_IN_ENVIRONMENT_VARIABLES"
Alle Secrets in environment variables-Ergebnisse für ein bestimmtes Projekt auflisten
state="ACTIVE"
AND NOT mute="MUTED"
AND category="SECRETS_IN_ENVIRONMENT_VARIABLES"
AND resource.project_name="//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
Ersetzen Sie Folgendes:
- PROJECT_NUMBER: die numerische ID des Projekts, für das Sie eine Abfrage ausführen möchten