Google Cloud Le credenziali controllano l'accesso alle risorse ospitate su Google Cloud. Per proteggere i dati e metterli al sicuro dagli attacchi, devi gestire le credenziali con la massima cura.
Ti consigliamo di proteggere tutte le tue Google Cloud credenziali da accessi non intenzionali. Queste credenziali includono, a titolo esemplificativo:
Credenziali di servizio:
- Chiavi private del service account (file JSON e p12)
- Chiavi API
- Secret dell'ID client OAuth2
Credenziali utente create e gestite su workstation di sviluppo o altri computer:
Cookie del browser
Le credenziali di Google Cloud CLI vengono archiviate nella home directory dell'utente. Puoi elencarle in Google Cloud CLI utilizzando il gcloud
auth list comando.
Le credenziali predefinite dell'applicazione vengono archiviate nella workstation dello sviluppatore.
I cookie del browser sono specifici del browser, ma in genere vengono archiviati nella workstation dello sviluppatore.
Se sospetti che una delle tue credenziali sia stata compromessa, devi intervenire immediatamente per limitare l'impatto della compromissione sul tuo Google Cloud account.
Monitorare la compromissione delle credenziali
Per monitorare una potenziale compromissione, considera quanto segue:
Monitora l'attività dell'account sospetta, come l'escalation dei privilegi e la creazione di più account. Monitora queste attività utilizzando Cloud Audit Logs, Policy Intelligence e Security Command Center. Utilizza i seguenti servizi e funzionalità di Security Command Center:
- Event Threat Detection per identificare le minacce basate sulle attività dell'amministratore, sulle modifiche ai gruppi e sulle modifiche alle autorizzazioni di Identity and Access Management (IAM). Per ogni categoria di minacce, vengono forniti i passaggi di indagine consigliati per aiutarti nella risposta.
- Servizio Azioni sensibili per monitorare le azioni nella tua organizzazione, nelle cartelle e nei progetti che potrebbero essere dannose per la tua attività se intraprese da un attore malintenzionato.
Monitora gli accessi degli utenti in Google Workspace e Cloud Identity. Per monitorare meglio i problemi, valuta la possibilità di esportare i log in Cloud Logging.
Monitora i secret nei repository di codice utilizzando strumenti come Rilevamento anomalie o scansione dei secret.
Monitora le anomalie nell'utilizzo delle chiavi dei account di servizio utilizzando Cloud Monitoring.
Assicurati che il tuo Security Operations Center (SOC) venga informato tempestivamente e disponga dei playbook, degli strumenti e dell'accesso necessari per rispondere rapidamente a una sospetta compromissione delle credenziali. Attiva le funzionalità SIEM e SOAR, come playbook, workflow di risposta e azioni automatizzate. Puoi anche integrare Security Command Center con il tuo SIEM esistente o importare i log in Google Security Operations per ulteriori analisi.
Proteggere le risorse da una credenziale compromessa Google Cloud
Completa i passaggi nelle sezioni seguenti il prima possibile per proteggere le risorse se sospetti che una credenziale sia stata compromessa.
Revocare e riemettere le credenziali
Se sospetti che una credenziale sia stata compromessa, revocala e riemettila. Procedi con cautela per evitare un'interruzione del servizio a seguito della revoca delle credenziali.
In generale, per riemettere le credenziali, devi generare una nuova credenziale, inviarla a tutti i servizi e gli utenti che ne hanno bisogno e poi revocare la vecchia credenziale.
Le sezioni seguenti forniscono istruzioni specifiche per ogni tipo di qualifica.
Sostituire una chiave del account di servizio
Nella Google Cloud console, vai alla pagina Service account.
Individua il account di servizio interessato.
Crea una nuova chiave per il account di servizio.
Invia la nuova chiave a tutte le località in cui era in uso la vecchia chiave.
Elimina la vecchia chiave.
Per saperne di più, consulta Creare service account.
Rigenerare le chiavi API
Nella Google Cloud console, vai alla pagina Credenziali.
Crea una nuova chiave API utilizzando il pulsante Crea credenziali. Configura la nuova chiave in modo che sia uguale alla chiave API compromessa. Le restrizioni sulla chiave API devono corrispondere, altrimenti potresti subire un'interruzione.
Invia la chiave API a tutte le località in cui era in uso la vecchia chiave.
Elimina la vecchia chiave.
Per saperne di più, consulta Autenticarsi utilizzando le chiavi API.
Reimpostare un secret dell'ID client OAuth2
La modifica di un secret dell'ID client causerà un'interruzione temporanea durante la rotazione del secret.
Nella Google Cloud console, vai alla pagina Credenziali.
Seleziona l'ID client OAuth2 compromesso e modificalo.
Fai clic su Reimposta secret.
Invia il nuovo secret alla tua applicazione.
Per saperne di più, consulta Configurare OAuth 2.0 e Utilizzare OAuth 2.0 per accedere alle API di Google.
Rimuovere le credenziali di Google Cloud CLI come amministratore
In qualità di amministratore di Google Workspace, rimuovi l'accesso a Google Cloud CLI dall'elenco delle app connesse dell'utente. Per saperne di più, consulta Visualizzare e rimuovere l'accesso alle applicazioni di terze parti.
Quando l'utente accede di nuovo a Google Cloud CLI, gli verrà chiesto automaticamente di autorizzare di nuovo l'applicazione.
Rimuovere le credenziali di Google Cloud CLI come utente
Apri l'elenco delle app con accesso al tuo Account Google.
Rimuovi Google Cloud CLI dall'elenco delle app connesse.
Quando accedi di nuovo a Google Cloud CLI, ti verrà chiesto automaticamente di autorizzare di nuovo l'applicazione.
Revocare le credenziali predefinite dell'applicazione come amministratore
Se sospetti che una credenziale predefinita dell'applicazione sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea fino alla ricreazione del file delle credenziali.
In qualità di amministratore di Google Workspace, rimuovi l'accesso alla libreria di autenticazione di Google dall'elenco delle app connesse dell'utente. Per saperne di più, consulta Visualizzare e rimuovere l'accesso alle applicazioni di terze parti.
Revocare le credenziali predefinite dell'applicazione come utente
Se sospetti che una credenziale predefinita dell'applicazione che hai creato sia stata compromessa, puoi revocarla. Questa procedura può causare un'interruzione temporanea fino alla ricreazione del file delle credenziali. Questa procedura può essere completata solo dal proprietario della credenziale compromessa.
Installa e inizializza Google Cloud CLI, se non l'hai già fatto.
Autorizza gcloud CLI con la tua identità utente, non con un service account:
gcloud auth loginPer saperne di più, consulta Autenticarsi per la gcloud CLI.
Revoca le credenziali:
gcloud auth application-default revoke(Facoltativo) Elimina il file
application_default_credentials.json. La posizione dipende dal sistema operativo:- Linux, macOS:
$HOME/.config/gcloud/ - Windows:
%APPDATA%\gcloud\
- Linux, macOS:
Ricrea il file delle credenziali:
gcloud auth application-default login
Invalidare i cookie del browser come amministratore
Se sospetti che i cookie del browser siano stati compromessi, gli amministratori di Google Workspace possono disconnettere un utente dal suo account.
Inoltre, forza immediatamente una modifica della password.
Queste azioni invalidano tutti i cookie esistenti e all'utente viene chiesto di accedere di nuovo.
Invalidare i cookie del browser come utente
Se sospetti che i cookie del browser siano stati compromessi, esci dal tuo Account Google e cambia immediatamente la password.
Queste azioni invalidano tutti i cookie esistenti. La prossima volta che accedi a Google Cloud, dovrai accedere di nuovo.
Cercare risorse e accessi non autorizzati
Dopo aver revocato le credenziali compromesse e ripristinato il servizio, esamina tutti gli accessi alle tue Google Cloud risorse. Puoi utilizzare Logging o Security Command Center.
In Logging, completa quanto segue:
Esamina i log di audit nella Google Cloud console.
Cerca tutte le risorse potenzialmente interessate e assicurati che tutte le attività dell'account (soprattutto quelle correlate alle credenziali compromesse) siano quelle previste.
In Security Command Center, completa quanto segue:
Nella Google Cloud console, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il tuo Google Cloud progetto o la tua organizzazione.
Nella sezione Filtri rapidi, fai clic su un filtro appropriato per visualizzare il risultato di cui hai bisogno nella tabella Risultati della query sui risultati. Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato origine, nei risultati vengono visualizzati solo i risultati del servizio selezionato.
La tabella viene compilata con i risultati dell'origine selezionata.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in
Category. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.Per visualizzare tutti i risultati causati dalle azioni dello stesso utente:
- Nel riquadro dei dettagli del risultato, copia l'indirizzo email accanto a Email principale.
- Chiudi il riquadro.
In Editor di query, inserisci la seguente query:
access.principal_email="USER_EMAIL"Sostituisci USER_EMAIL con l'indirizzo email che hai copiato in precedenza.
Security Command Center mostra tutti i risultati associati alle azioni intraprese dall'utente specificato.
Eliminare tutte le risorse non autorizzate
Assicurati che non siano presenti risorse impreviste, come VM, app App Engine, service account, bucket Cloud Storage e così via, a cui la credenziale compromessa potrebbe accedere.
Dopo aver verificato di aver identificato tutte le risorse non autorizzate, puoi scegliere di eliminarle immediatamente. Questo è particolarmente importante per le risorse Compute Engine, perché gli autori degli attacchi possono utilizzare gli account compromessi per esfiltrare i dati o compromettere in altro modo i sistemi di produzione.
In alternativa, puoi provare a isolare le risorse non autorizzate per consentire ai tuoi team di scienza digitale forense di eseguire ulteriori analisi.
Contattare l'assistenza clienti Google Cloud
Per ricevere assistenza nella ricerca dei Google Cloud log e degli strumenti necessari per i passaggi di indagine e mitigazione, contatta l'assistenza clienti e apri una richiesta di assistenza.
Gestire i blocchi dell'account
Se non riesci ad accedere al tuo account, valuta le seguenti opzioni:
Utilizza il modulo di recupero dell'account Google Workspace, disponibile nella casella degli strumenti di amministrazione di Google Workspace. Per saperne di più, consulta Recuperare l'accesso amministrativo al proprio account.
Se un autore di attacchi sta creando risorse fraudolente mentre non riesci ad accedere e hai diritto all'assistenza, completa quanto segue:
In una finestra Incognito, vai allo strumento per la risoluzione dei problemi di contatto con l'assistenza Support Contact Troubleshooter.
Seleziona Sì e fai clic su Apri una richiesta.
Compila e invia il modulo con i tuoi dati.
Se un autore di attacchi sta creando risorse fraudolente mentre non riesci ad accedere e non hai diritto all'assistenza, completa quanto segue:
In una finestra Incognito, vai allo strumento per la risoluzione dei problemi di contatto con l'assistenza Support Contact Troubleshooter.
Rispondi alle domande nel seguente modo:
Domanda dello strumento per la risoluzione dei problemi Selezione obbligatoria Hai diritto all'assistenza? No Stai usufruendo del periodo di prova senza costi? No Sei l'amministratore della fatturazione di un account di fatturazione Google Cloud (Google Cloud)? No Stai riscontrando una di queste situazioni? Non riesco più ad accedere al mio progetto o account di fatturazione Google Cloud e devo recuperare l'accesso. Fai clic su Apri una richiesta al nostro team di recupero dell'accesso.
Compila e invia il modulo di contatto non autenticato con i tuoi dati, inclusi gli ID account di fatturazione o gli indicatori di pagamento che puoi fornire per verificare la tua identità.
Best practice per evitare credenziali compromesse
Questa sezione descrive le best practice che puoi implementare per evitare credenziali compromesse.
Separare le credenziali dal codice
Gestisci e archivia le credenziali separatamente dal codice sorgente. È molto comune inviare accidentalmente sia le credenziali sia il codice sorgente a un sito di gestione dell'origine come GitHub, il che rende le credenziali vulnerabili agli attacchi.
Se utilizzi GitHub o un altro repository pubblico, puoi implementare strumenti come Rilevamento anomalie o scansione dei secret, che ti avvisano dei secret esposti nei repository GitHub. Per impedire il commit delle chiavi nei repository GitHub, valuta la possibilità di utilizzare strumenti come git-secrets.
Utilizza soluzioni di gestione dei secret come Secret Manager e Hashicorp Vault per archiviare i secret, ruotarli regolarmente e applicare il privilegio minimo.
Implementare le best practice per account di servizio
Per proteggere i service account, consulta le best practice per l'utilizzo dei service account.
Limitare la durata delle sessioni
Per forzare la riautenticazione periodica, limita il tempo in cui le sessioni rimangono attive per Google e Google Cloud gli account. Per saperne di più, consulta:
Utilizzare i Controlli di servizio VPC per limitare l'accesso
Per limitare l'impatto delle credenziali compromesse, crea perimetri di servizio utilizzando i Controlli di servizio VPC. Quando configuri i Controlli di servizio VPC, le risorse all'interno del perimetro possono comunicare solo con altre risorse all'interno del perimetro.