Para proteger los entornos de la nube, es necesario proteger las cuentas de Identity and Access Management contra el riesgo de vulneración. Si se vulnera una cuenta de usuario con privilegios, un atacante puede realizar cambios en un entorno de la nube, por lo que detectar posibles vulneraciones es esencial para proteger organizaciones de todos los tamaños. Para ayudar a las organizaciones a mantener la seguridad, Google Cloud registra las acciones sensibles que realizan las cuentas de usuario de IAM y notifica a los administradores de la organización sobre esas acciones directamente a través de las Notificaciones de aviso.
Las acciones sensibles son acciones que pueden tener un efecto negativo significativo en tu Google Cloud organización si las realiza un agente malicioso con una cuenta vulnerada. Estas acciones por sí solas no representan necesariamente una amenaza para tu organización ni indican que se vulneró una cuenta. Sin embargo, te recomendamos que confirmes que tus usuarios realizaron las acciones con fines legítimos.
Quién recibe las notificaciones de acciones sensibles
Google Cloud notifica a tu organización sobre las acciones sensibles enviando una notificación por correo electrónico a los contactos esenciales de seguridad a nivel de la organización. Si no hay contactos esenciales configurados, la notificación por correo electrónico se envía a todas las cuentas que tienen el rol de IAM de administrador de la organización a nivel de la organización.
Rechazando
Si no quieres recibir notificaciones de acciones sensibles en tu organización, puedes inhabilitarlas. Para obtener más información, consulta Configura las notificaciones. La inhabilitación de las notificaciones de acciones sensibles solo afecta las notificaciones que se entregan a través de las Notificaciones de aviso. Los registros de acciones sensibles siempre se generan y no se ven afectados por la inhabilitación de las notificaciones. Si usas Security Command Center, el Servicio de acciones sensibles no se ve afectado por la inhabilitación de las notificaciones de acciones sensibles.
Cómo funcionan las acciones sensibles
Google Cloud detecta acciones sensibles supervisando los registros de auditoría de actividad del administrador de tu organización . Cuando se detecta una acción sensible, Google Cloud escribe la acción en el registro de la plataforma del Servicio de acciones sensibles en el mismo recurso en el que ocurrió la actividad. Google Cloud también incluye el evento en una notificación que se entrega a través de Notificaciones de aviso.
Frecuencia de las notificaciones
La primera vez que se observa una acción sensible en tu organización, recibes un informe que incluye la acción inicial, además de cualquier otra acción que ocurra en la hora siguiente. Después del informe inicial, recibirás informes sobre las nuevas acciones sensibles en tu organización como máximo una vez cada 30 días. Si no hubo acciones sensibles en tu organización durante mucho tiempo, es posible que recibas el informe de una hora la próxima vez que se observe una acción sensible.
Cuándo no se producen acciones sensibles
Google Cloud informa sobre las acciones sensibles solo si la entidad principal que realiza la acción es una cuenta de usuario. No se informan las acciones que realiza una cuenta de servicio. Google desarrolló esta capacidad para protegerse de los adversarios que obtienen acceso a las credenciales de los usuarios finales y las usan para realizar acciones no deseadas en entornos de la nube. Debido a que muchas de estas acciones son un comportamiento común para las cuentas de servicio, no se producen registros ni notificaciones de asesoramiento para estas identidades.
Las acciones sensibles no se pueden detectar si configuraste tus registros de auditoría de actividad del administrador para que se ubiquen en una región específica (es decir, no en la región global). Por ejemplo, si has
especificado una región de almacenamiento
para el bucket de registros _Required en un recurso determinado, los registros de ese recurso
no se podrán analizar en busca de acciones sensibles.
Si configuraste tus registros de auditoría de actividad del administrador para que se encripten con claves de encriptación administradas por el cliente, no se podrán analizar tus registros en busca de acciones sensibles.
Acciones sensibles en Security Command Center
Si usas Security Command Center, puedes recibir acciones sensibles como resultados a través del Servicio de acciones sensibles.
Si bien los registros de acciones sensibles y las Notificaciones de aviso proporcionan una perspectiva sobre el comportamiento de la cuenta en tu organización, Security Command Center proporciona capacidades adicionales de estadísticas y administración para los equipos de seguridad que protegen cargas de trabajo y entornos más complejos, grandes o importantes. Te recomendamos que supervises las acciones sensibles como parte de tu estrategia general de supervisión de seguridad.
Para obtener más información sobre Security Command Center, consulta lo siguiente:
Precios
Las notificaciones de acciones sensibles en las Notificaciones de aviso se proporcionan sin cargo adicional. Los registros de acciones sensibles en Cloud Logging generan costos de ingesta y almacenamiento de acuerdo con los precios de Logging. El volumen de entradas de registro de acciones sensibles depende de la frecuencia con la que las cuentas de usuario de tu organización realizan acciones sensibles. Por lo general, estas acciones no son comunes.
Tipos de acciones sensibles
Google Cloud te informa sobre los siguientes tipos de acciones sensibles.
Sensitive Roles Added
Se otorgó una entidad principal con un rol de IAM de propietario (roles/owner) o editor (roles/editor) a nivel de la organización. Estos roles permiten una gran cantidad de acciones en toda tu organización.
Billing Admin Removed
Se quitó un rol de IAM de administrador de cuentas de facturación (roles/billing.admin) a nivel de la organización. Quitar este rol puede impedir que los usuarios tengan visibilidad y proporcionar un mecanismo para que un adversario permanezca sin ser detectado.
Organization Policy Changed
Se creó, actualizó o borró una política de la organización a nivel de la organización. Las políticas de la organización en este nivel pueden afectar la seguridad de todos los recursos de tu organización Google Cloud .
Project-level SSH Key Added
Se agregó una clave SSH a nivel del proyecto a un Google Cloud proyecto que no tenía una clave de este tipo. Las claves SSH a nivel del proyecto pueden otorgar acceso a todas las máquinas virtuales (VMs) del proyecto.
GPU Instance Created
Una persona que no había creado una instancia de GPU en ese proyecto recientemente creó una VM con una GPU en un proyecto. Las instancias de Compute Engine con GPU pueden alojar cargas de trabajo, como la minería de criptomonedas.
Many Instances Created
Un usuario creó varias instancias de VM en un proyecto determinado. Se pueden usar grandes cantidades de instancias de VM para cargas de trabajo inesperadas, como la minería de criptomonedas o los ataques de denegación de servicio.
Many Instances Deleted
Un usuario borró varias instancias de VM en un proyecto determinado. Grandes cantidades de borrado de instancias pueden interrumpir tu empresa.
¿Qué sigue?
- Obtén información para ver las notificaciones.
- Obtén información para responder a las notificaciones de acciones sensibles.
- Obtén información para habilitar o inhabilitar las notificaciones.