Secrets in Umgebungsvariablen an Security Command Center melden

Auf dieser Seite wird beschrieben, wie Sie den Discovery-Dienst zum Schutz sensibler Daten verwenden können, um festzustellen, ob Secrets in Ihren Cloud Functions-Umgebungsvariablen vorhanden sind. Der Schutz sensibler Daten meldet alle Ergebnisse als Sicherheitslücken an Security Command Center.

Security Command Center

Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud. Security Command Center erkennt Fehlkonfigurationen, Sicherheitslücken, Beobachtungen und Bedrohungen und hilft Ihnen so, Ihren Sicherheitsstatus zu verbessern. Außerdem erhalten Sie Empfehlungen zur Untersuchung und Korrektur der Ergebnisse.

Gründe für das Scannen nach Secrets in Umgebungsvariablen

Das Speichern von Secrets wie Passwörtern in Umgebungsvariablen ist keine sichere Vorgehensweise, da Umgebungsvariablen nicht verschlüsselt werden. Ihre Werte können in verschiedenen Systemen, wie z. B. Logs, erfasst und verfügbar gemacht werden. Wir empfehlen, Ihre Secrets mit Secret Manager zu speichern. Weitere Informationen finden Sie in der Cloud Functions-Dokumentation unter Secrets konfigurieren.

Funktionsweise

Zum Ausführen der Secret-Erkennung erstellen Sie eine Konfiguration für den Discovery-Scan auf Organisations- oder Projektebene. Innerhalb des ausgewählten Bereichs scannt der Schutz sensibler Daten Cloud Functions regelmäßig nach Secrets in Build- und Laufzeit-Umgebungsvariablen.

Wenn eine Umgebungsvariable ein Secret enthält, sendet der Schutz sensibler Daten das Ergebnis Secrets in environment variables zur Sicherheitslücke an Security Command Center. Es werden keine Datenprofile generiert. Ergebnisse sind nur über Security Command Center verfügbar.

Der Schutz sensibler Daten generiert maximal ein Ergebnis pro Funktion. Wenn beispielsweise Secrets in zwei Umgebungsvariablen in derselben Funktion gefunden werden, wird in Security Command Center nur ein Ergebnis generiert.

In Security Command Center können Sie Secrets in environment variables-Ergebnisse ansehen, wenn Sie die folgenden Schritte ausführen:

Die generierten Ergebnisse in der Security Command Center-Ergebnisliste in der Google Cloud Console

Die folgende JSON-Datei zeigt ein Beispiel für ein Ergebnis Secrets in environment variables. Dieses Beispiel enthält nur die für dieses Feature relevanten Felder. Es ist keine vollständige Liste der Felder enthalten.

Secrets in Umgebungsvariablen

{
  "finding": {
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "SECRETS_IN_ENVIRONMENT_VARIABLES",
    "compliances": [
      {
        "standard": "cis",
        "version": "1.3",
        "ids": [
          "1.18"
        ]
      }
    ],
    "createTime": "DATE_TIME",
    "description": "The affected resource is storing credentials or other secret information in its environment variables. This is a security vulnerability because environment variables are stored unencrypted, and accessible to all users who have access to the code.",
    "eventTime": "DATE_TIME",
    "findingClass": "VULNERABILITY",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/dlp",
    "mute": "MUTE_STATUS",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Sensitive Data Protection",
    "resourceName": "//cloudfunctions.googleapis.com/projects/PROJECT_ID/locations/REGION/functions/FUNCTION_ID",
  },
  "resource": {
    "name": "//cloudfunctions.googleapis.com/projects/PROJECT_ID/locations/REGION/functions/FUNCTION_ID",
    "display_name": "projects/PROJECT_ID/locations/REGION/functions/FUNCTION_ID",
    "type": "google.cloudfunctions.CloudFunction",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "PARENT_DISPLAY_NAME"
  }
}
    

Generierungslatenz ermitteln

Nachdem Sie die Secret-Erkennung beim Schutz sensibler Daten aktiviert haben, kann es bis zu 12 Stunden dauern, bis der erste Scan der Umgebungsvariablen abgeschlossen ist. Anschließend scannt der Schutz sensibler Daten die Umgebungsvariablen alle 24 Stunden. In der Praxis können Scans auch häufiger durchgeführt werden.

Arten von gemeldeten Secrets

Beispiele für Secrets sind Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Eine vollständige Liste der Secret-Typen, nach denen der Schutz sensibler Daten in diesem Feature sucht, finden Sie unter Anmeldedaten und Secrets.

Unterstützte Ressourcen

Für die Erkennung von Secrets unterstützt der Schutz sensibler Daten Cloud Functions (1. und 2. Generation).

Preise

Für diese Funktion fallen keine Gebühren für den Schutz sensibler Daten an. Je nach Dienststufe (Standard oder Premium) können Security Command Center-Gebühren anfallen. Der Schutz sensibler Daten funktioniert mit Security Command Center sowohl in der Standard- als auch in der Premium-Stufe.

Datenstandort

Wenn Sie eine Scankonfiguration zum ersten Mal erstellen, geben Sie an, wo sie vom Schutz sensibler Daten gespeichert werden soll. Alle nachfolgenden Scankonfigurationen, die Sie erstellen, werden in derselben Region gespeichert. Beim Schutz sensibler Daten werden Ihre Cloud Functions-Metadaten in die Region exportiert, in der die Scankonfiguration gespeichert ist, die Funktion selbst wird jedoch nicht exportiert.

Wenn der Schutz sensibler Daten Secrets in Umgebungsvariablen erkennt, werden die Ergebnisse an Security Command Center gesendet und unterliegen dessen Datenverarbeitungsprozessen.

Erforderliche IAM-Rollen

Für die Erkennung von Secrets benötigen Sie die Rollen von Identity and Access Management, die zum Profilieren von Daten erforderlich sind:

Darüber hinaus benötigen Sie die entsprechenden Rollen, um mit Security Command Center-Ergebnissen zu arbeiten. Weitere Informationen finden Sie in der Dokumentation zu Security Command Center unter IAM für Aktivierungen auf Organisationsebene.

Hinweise

  1. Prüfen Sie die Aktivierungsstufe von Security Command Center für Ihre Organisation. Zum Senden von Datenprofilen an Security Command Center muss Security Command Center auf Organisationsebene in der Standard- oder Premium-Stufe aktiviert sein. Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren.

    Wenn Security Command Center nur auf Projektebene aktiviert ist, werden Ergebnisse des Schutzes sensibler Daten nicht in Security Command Center angezeigt.

  2. Achten Sie darauf, dass in Security Command Center der Schutz sensibler Daten als integrierter Dienst aktiviert ist. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.

Secret-Erkennung auf Organisationsebene konfigurieren

Führen Sie diese Schritte aus, wenn Sie die Erkennung von Secrets in einer gesamten Organisation aktivieren möchten. Informationen zur Erkennung auf Projektebene finden Sie unter Secret-Erkennung auf Projektebene konfigurieren.

Sie können auch ohne die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder Sicherheitsadministrator“ (roles/iam.securityAdmin) eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss jedoch ein Nutzer mit einer dieser Rollen dem Dienst-Agent Erkennungszugriff gewähren.

  1. Rufen Sie die Seite Scankonfiguration erstellen auf.

    Zur Seite „Scankonfiguration erstellen”

  2. Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.

    Klicken Sie nach jedem Schritt auf dieser Seite auf Weiter.

  3. Wählen Sie unter Erkennungstyp auswählen die Option Sicherheitslücken für Secrets/Anmeldedaten aus.

  4. Wählen Sie unter Bereich auswählen aus, ob Sie die gesamte Organisation scannen möchten.

  5. Geben Sie unter Dienst-Agent-Container und Abrechnung verwalten das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können festlegen, dass der Schutz sensibler Daten automatisch ein neues Projekt erstellt, oder Sie können ein vorhandenes Projekt auswählen.

    • Wenn Sie kein Projekt haben, das als Dienst-Agent-Container verwendet werden kann, wählen Sie Neues Projekt als Dienst-Agent-Container erstellen aus. Der Schutz sensibler Daten erstellt ein neues Projekt mit dem Namen DLP-Dienst-Agent-Container. Der Dienst-Agent in diesem Projekt wird zur Authentifizierung beim Schutz sensibler Daten und anderen APIs verwendet. Sie werden aufgefordert, das Konto auszuwählen, über das alle kostenpflichtigen Vorgänge im Zusammenhang mit diesem Projekt abgerechnet werden. Dazu gehören auch Vorgänge, die nicht mit der Erkennung zusammenhängen.

      Wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen von Projekten haben, ist die Option Neues Projekt als Dienst-Agent-Container erstellen deaktiviert. In diesem Fall müssen Sie ein vorhandenes Projekt auswählen oder Ihren Google Cloud-Administrator bitten, Ihnen die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator) zu gewähren.

    • Wenn Sie bereits einen Dienst-Agent-Container haben, den Sie wiederverwenden möchten, wählen Sie Vorhandenen Dienst-Agent-Container auswählen aus. Klicken Sie dann auf Browse (Durchsuchen), um die Projekt-ID des Dienst-Agent-Containers auszuwählen.

  6. Wählen Sie unter Standort zum Speichern der Konfiguration festlegen die Region aus, in der Sie die Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert. Informationen zum Datenstandort finden Sie auf dieser Seite unter Datenstandort.

  7. Optional: Wenn der Scan nicht kurz nach dem Erstellen der Scankonfiguration beginnen soll, wählen Sie Scan im pausierten Modus erstellen aus.

    Diese Option ist in den folgenden Fällen nützlich:

    • Der Google Cloud-Administrator muss dem Dienst-Agent weiterhin Erkennungszugriff gewähren.
    • Sie möchten mehrere Scankonfigurationen erstellen und möchten, dass einige Konfigurationen andere überschreiben.
  8. Klicken Sie auf Erstellen.

Der Schutz sensibler Daten beginnt mit dem Scannen Ihrer Cloud Functions-Umgebungsvariablen, kurz nachdem Sie eine Scankonfiguration erstellt oder eine pausierte Konfiguration fortgesetzt haben. Informationen darüber, wie lange es dauert, bis Ergebnisse in Security Command Center angezeigt werden, finden Sie auf dieser Seite unter Latenz bei der Generierung ermitteln.

Wenn Sie nicht die Rolle des Organisationsadministrator (roles/resourcemanager.organizationAdmin) oder des Sicherheitsadministrator (roles/iam.securityAdmin) haben, muss ein Nutzer mit einer dieser Rollen Ihrem Dienst-Agent Erkennungszugriff gewähren, bevor die Erkennung beginnen kann.

Secret-Erkennung auf Projektebene konfigurieren

Führen Sie diese Schritte aus, wenn Sie die Secret-Erkennung für ein einzelnes Projekt aktivieren möchten. Weitere Informationen zur Erkennung auf Organisationsebene finden Sie unter Secret-Erkennung auf Organisationsebene konfigurieren.

  1. Rufen Sie die Seite Scankonfiguration erstellen auf.

    Zur Seite „Scankonfiguration erstellen”

  2. Rufen Sie Ihr Projekt auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihr Projekt aus.

    Klicken Sie nach jedem Schritt auf dieser Seite auf Weiter.

  3. Wählen Sie unter Erkennungstyp auswählen die Option Sicherheitslücken für Secrets/Anmeldedaten aus.

  4. Achten Sie darauf, dass unter Bereich auswählen die Option Gesamtes Projekt scannen ausgewählt ist. Sollte es nicht ausgewählt sein, prüfen Sie, ob Sie sich in der Projektansicht befinden.

  5. Wählen Sie unter Standort zum Speichern der Konfiguration festlegen die Region aus, in der Sie die Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert. Informationen zum Datenstandort finden Sie auf dieser Seite unter Datenstandort.

  6. Klicken Sie auf Erstellen.

Der Schutz sensibler Daten beginnt mit dem Scannen Ihrer Cloud Functions-Umgebungsvariablen, kurz nachdem Sie eine Scankonfiguration erstellt oder eine pausierte Konfiguration fortgesetzt haben. Informationen darüber, wie lange es dauert, bis Ergebnisse in Security Command Center angezeigt werden, finden Sie auf dieser Seite unter Latenz bei der Generierung ermitteln.

Secrets in environment variables Ergebnisse abfragen

Mit den folgenden Beispielabfragen können Sie Secrets in environment variables-Ergebnisse in Security Command Center finden. Sie können diese Abfragen in den Abfrageeditor eingeben. Weitere Informationen zum Abfrageeditor finden Sie unter Ergebnisabfrage im Security Command Center-Dashboard bearbeiten.

Alle Secrets in environment variables Ergebnisse auflisten

state="ACTIVE"
AND NOT mute="MUTED"
AND category="SECRETS_IN_ENVIRONMENT_VARIABLES"

Alle Secrets in environment variables Ergebnisse für ein bestimmtes Projekt auflisten

state="ACTIVE"
AND NOT mute="MUTED"
AND category="SECRETS_IN_ENVIRONMENT_VARIABLES"
AND resource.project_name="//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"

Ersetzen Sie Folgendes:

  • PROJECT_NUMBER: die numerische ID des Projekts, das Sie abfragen möchten