Sicurezza dell'agente remoto

Supportato in:

Questo documento descrive in che modo Google Security Operations protegge la comunicazione tra i suoi componenti, concentrandosi in particolare sugli agenti e sul servizio Publisher. Il sistema utilizza un approccio multilivello che si avvale di crittografia, firme digitali e comunicazione unidirezionale per garantire l'integrità e la riservatezza dei dati.

Misure di sicurezza di alto livello

Di seguito è descritto il flusso delle misure di sicurezza:

  • Comunicazione criptata: tutti i dati vengono criptati in transito tra Google SecOps, l'editore e gli agenti.
  • Autenticazione dell'agente: l'editore mantiene un elenco consentito rigoroso di agenti autorizzati a comunicare con lui. Ogni agente ha una chiave dell'applicazione univoca per l'autenticazione. Gli agenti non autorizzati non possono comunicare.
  • Firme digitali: tutti i dati inviati dall'agente sono firmati digitalmente. Questa firma garantisce l'integrità e l'autenticità dei dati, assicurando che non siano stati manomessi durante il trasferimento.
  • Comunicazione unidirezionale: la comunicazione è unidirezionale, avviata dagli agenti o dal server Google SecOps. Né il server né gli agenti hanno porte in entrata aperte; il publisher non può avviare una connessione a meno che non sia stato sottoposto a polling.
  • Eliminazione dei dati: tutti i dati vengono eliminati automaticamente da Publisher dopo un periodo configurabile, impostato su tre giorni per impostazione predefinita.
  • Test di penetrazione: vengono testati tutti i dati sia dell'editore sia dell'agente.

Flusso di scambio di dati

I seguenti passaggi descrivono il processo end-to-end per la raccolta e la consegna dei dati da parte di un agente:

  1. Il server Google SecOps pubblica le attività remote e le invia al publisher.
  2. L'agente esegue il polling per nuove attività e le raccoglie dall'editore.
  3. L'agente esegue la nuova attività, raccoglie i dati richiesti e li invia di nuovo all'editore.
  4. Il server Google SecOps esegue il polling dell'editore per nuovi dati e li trasferisce al server.

Flusso di crittografia

La comunicazione utilizza un modello di crittografia ibrida per garantire lo scambio sicuro di dati:

  • Per ogni job viene generata una chiave simmetrica univoca.
  • Google SecOps utilizza la chiave pubblica pre-provisioning dell'agente per criptare la chiave simmetrica.
  • L'agente riceve la chiave criptata e utilizza la chiave privata corrispondente per decriptarla.
  • L'agente utilizza quindi questa chiave simmetrica decriptata per la crittografia collettiva dei dati del job.
  • L'editore gestisce solo i dati criptati e non ha accesso ad alcuna chiave di crittografia.

Polling dei job

  • L'agente remoto esegue il polling ogni 5 secondi per verificare la presenza di job in attesa.
  • Una volta completato un job, i relativi dettagli vengono rimossi dal sistema.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.