Segurança do agente remoto

Compatível com:

Este documento descreve como o Google Security Operations protege a comunicação entre os componentes, com foco específico nos agentes e no serviço Publisher. O sistema usa uma abordagem de várias camadas com criptografia, assinaturas digitais e comunicação unidirecional para garantir a integridade e a confidencialidade dos dados.

Medidas de segurança de alto nível

Confira a seguir o fluxo de medidas de segurança:

  • Comunicação criptografada: todos os dados são criptografados em trânsito entre o Google SecOps, o editor e os agentes.
  • Autenticação do agente: o editor mantém uma lista de permissões estrita de agentes autorizados a se comunicar com ele. Cada agente tem uma chave de aplicativo exclusiva para autenticação. Agentes não autorizados são impedidos de se comunicar.
  • Assinaturas digitais: todos os dados enviados pelo agente são assinados digitalmente. Essa assinatura garante a integridade e a autenticidade dos dados, garantindo que eles não foram adulterados em trânsito.
  • Comunicação unidirecional: a comunicação é unidirecional, iniciada pelos agentes ou pelo servidor do Google SecOps. Nem o servidor nem os agentes têm portas de entrada abertas. O Publisher não pode iniciar uma conexão com eles, a menos que tenha sido pesquisado.
  • Exclusão de dados: todos os dados são excluídos automaticamente do Publisher após um período configurável, que é definido como três dias por padrão.
  • Teste de penetração: todos os dados do editor e do agente são testados.

Fluxo de troca de dados

As etapas a seguir descrevem o processo completo para um agente coletar e entregar dados:

  1. O servidor do Google SecOps publica tarefas remotas e as envia para o Publisher.
  2. O agente pesquisa novas tarefas e as coleta do editor.
  3. O agente executa a nova tarefa, coleta os dados solicitados e os envia de volta ao editor.
  4. O servidor do Google SecOps pesquisa novos dados no editor e os extrai para o servidor.

Fluxo de criptografia

A comunicação usa um modelo de criptografia híbrida para garantir a troca segura de dados:

  • Uma chave simétrica exclusiva é gerada para cada job.
  • O Google SecOps usa a chave pública pré-provisionada do agente para criptografar a chave simétrica.
  • O agente recebe a chave criptografada e usa a chave privada correspondente para descriptografá-la.
  • Em seguida, o agente usa essa chave simétrica descriptografada para a criptografia em massa dos dados do job.
  • O editor processa apenas dados criptografados e não tem acesso a chaves de criptografia.

Pesquisa de jobs

  • O agente remoto faz uma pesquisa a cada cinco segundos para verificar se há jobs pendentes.
  • Quando um job é concluído, os detalhes dele são removidos do sistema.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.