Umgang mit manipulierten Google Cloud-Anmeldedaten

Google Cloud Anmeldedaten steuern den Zugriff auf Ihre Ressourcen, die in gehostet werden auf Google Cloud. Damit Ihre sonstigen Daten sicher und vor Angreifern geschützt sind, müssen Sie die Anmeldedaten mit größter Sorgfalt behandeln.

Wir empfehlen Ihnen, alle Ihre Google Cloud Anmeldedaten vor unbeabsichtigtem Zugriff zu schützen. Zu den Anmeldedaten gehören unter anderem folgende Daten:

• Dienstanmeldedaten:

  • Private Schlüssel für Dienstkonten (JSON- und p12-Dateien)
  • API-Schlüssel
  • OAuth2-Client-ID-Secrets

• Nutzeranmeldedaten, die auf Entwickler-Workstations oder anderen Computern erstellt und verwaltet werden:

  • Anmeldedaten für die Google Cloud CLI

  • Standardanmeldedaten für Anwendungen

  • Browser-Cookies

Anmeldedaten für die Google Cloud CLI werden im Basisverzeichnis des Nutzers gespeichert. Sie können sie mit dem Befehl gcloud auth list in der Google Cloud CLI auflisten. Standardanmeldedaten für Anwendungen werden auf der Workstation des Entwicklers gespeichert. Browser-Cookies sind browserspezifisch, werden jedoch in der Regel auf der Entwickler-Workstation gespeichert.

Wenn Sie vermuten, dass Ihre Anmeldedaten gehackt wurden, müssen Sie sofort Maßnahmen ergreifen, um die Auswirkungen des Hackings auf Ihr Google Cloud Konto zu begrenzen.

Anmeldedaten auf Hacking prüfen

Beachten Sie Folgendes, um ein potenzielles Hacking zu erkennen:

• Achten Sie auf verdächtige Kontoaktivitäten wie Rechteausweitung und die Erstellung mehrerer Konten. Achten Sie auf solche Aktivitäten mit Cloud-Audit-Logs, Policy Intelligence und Security Command Center. Verwenden Sie die folgenden Security Command Center-Dienste und -Funktionen:

  • Event Threat Detection , um Bedrohungen zu identifizieren, die auf Administratoraktivitäten, Gruppen änderungen und IAM-Berechtigungsänderungen (Identity and Access Management) basieren. Für jede Bedrohungs kategorie werden empfohlene Untersuchungs schritte bereitgestellt, die Ihnen bei der Reaktion helfen.
  • Sensitive Actions Service , um Aktionen in Ihrer Organisation, Ihren Ordnern und Projekten zu verfolgen, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
  • Cloud Infrastructure Entitlement Management (CIEM) (Vorabversion) zum Verwalten des Zugriffs für Identitäten und zum Generieren von Ergebnissen für Fehlkonfigurationen.

• Überwachen Sie Nutzeranmeldungen in Google Workspace und Cloud Identity. Zur besseren Nachverfolgung von Problemen sollten Sie die Logs nach Cloud Logging exportieren.

• Verwenden Sie Tools wie Anomaly Detection oder secret scanning, um in Ihren Code-Repositories auf Secrets zu prüfen.

• Mit Cloud Monitoring oder CIEM können Sie Anomalien bei der Nutzung von Dienstkontoschlüsseln überwachen.

Achten Sie darauf, dass Ihr Sicherheitscenter (SOC) sofort benachrichtigt wird und die Playbooks, Tools und den Zugriff hat, die erforderlich sind, um auf mutmaßliches Hacking von Anmeldedaten schnell zu reagieren. Mit der Security Command Center Enterprise-Version können Sie SIEM- und SOAR-Funktionen wie Playbooks, Reaktionsworkflows und automatisierte Aktionen aktivieren. Sie können Security Command Center auch in Ihr vorhandenes SIEM einbinden oder Logs zur weiteren Analyse in Google Security Operations importieren.

Ressourcen vor gehackten Anmeldedaten schützen Google Cloud

Führen Sie die Schritte in den folgenden Abschnitten so schnell wie möglich aus, um Ihre Ressourcen zu schützen, wenn Sie vermuten, dass Anmeldedaten gehackt wurde.

Anmeldedaten zurücksetzen und neu erstellen

Wenn Sie den Verdacht haben, dass Anmeldedaten gehackt wurden, widerrufen Sie sie und geben Sie sie noch einmal aus. Gehen Sie sorgfältig vor, damit es zu keinem Dienstausfall kommt, wenn Sie Anmeldedaten widerrufen.

Im Allgemeinen generieren Sie zur erneuten Ausgabe von Anmeldedaten neue Anmeldedaten, übertragen diese an alle Dienste und Nutzer, die sie benötigen, und widerrufen dann die alten Anmeldedaten.

Die folgenden Abschnitte enthalten spezifische Anleitungen für die einzelnen Arten von Anmeldedaten.

Dienstkontoschlüssel ersetzen

1. Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

   Zur Seite „Dienstkonten“

2. Suchen Sie nach dem betroffenen Dienstkonto.

3. Erstellen Sie einen neuen Schlüssel für das Dienstkonto.

4. Übertragen Sie den neuen Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde.

5. Löschen Sie den alten Schlüssel.

Weitere Informationen finden Sie unter Dienst konten erstellen.

API-Schlüssel neu generieren

1. Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.

   Zu den Anmeldedaten

2. Erstellen Sie mithilfe des Buttons Anmeldedaten erstellen einen neuen API-Schlüssel. Konfigurieren Sie den neuen Schlüssel genauso wie den gehackten API-Schlüssel. Die Beschränkungen für den API-Schlüssel müssen übereinstimmen, da es ansonsten zu einem Ausfall kommen könnte.

3. Übertragen Sie den API-Schlüssel an alle Bereiche, in denen der alte Schlüssel verwendet wurde.

4. Löschen Sie den alten Schlüssel.

Weitere Informationen finden Sie unter Mit API Schlüsseln authentifizieren.

OAuth2-Client-ID-Secret zurücksetzen

Das Ändern eines Client-ID-Secrets führt zu einem temporären Ausfall, während das Secret rotiert wird.

1. Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.

   Zu den Anmeldedaten

2. Wählen Sie die gehackte OAuth2-Client-ID aus und bearbeiten Sie sie.

3. Klicken Sie auf Secret zurücksetzen.

4. Übertragen Sie das neue Secret an Ihre Anwendung.

Weitere Informationen finden Sie unter OAuth 2.0 einrichten und OAuth 2.0 für den Zugriff auf Google APIs verwenden.

Anmeldedaten der Google Cloud CLI als Administrator entfernen

Als Google Workspace-Administrator entfernen Sie den Zugriff auf die Google Cloud CLI aus der Liste der verbundenen Anwendungen des Nutzers. Weitere Informationen finden Sie unter Zugriff auf Anwendungen von Drittanbietern ansehen und entfernen.

Wenn der Nutzer noch einmal auf die Google Cloud CLI zugreift, wird er automatisch aufgefordert, die Anwendung neu zu autorisieren.

Anmeldedaten der Google Cloud CLI als Nutzer entfernen

1. Öffnen Sie die Liste der Apps mit Zugriff auf Ihr Google-Konto.

2. Entfernen Sie die Google Cloud CLI aus der Liste der verbundenen Anwendungen.

Wenn Sie noch einmal auf die Google Cloud CLI zugreifen, werden Sie automatisch aufgefordert, die Anwendung neu zu autorisieren.

Standardanmeldedaten für Anwendungen als Administrator widerrufen

Wenn Sie den Verdacht haben, dass Standardanmeldedaten für Anwendungen gehackt wurden, können Sie sie widerrufen. Diese Vorgehensweise kann zu einem vorübergehenden Ausfall führen, bis die Datei mit den Anmeldedaten neu erstellt wurde.

Als Google Workspace-Administrator entfernen Sie den Zugriff auf die Google-Authentifizierungsbibliothek aus der Liste der verbundenen Anwendungen des Nutzers. Weitere Informationen finden Sie unter Zugriff auf Anwendungen von Drittanbietern ansehen und entfernen.

Standardanmeldedaten für Anwendungen als Nutzer widerrufen

Wenn Sie vermuten, dass die von Ihnen erstellten Standardanmeldedaten für Anwendungen gehackt wurden, können Sie sie widerrufen. Diese Vorgehensweise kann zu einem vorübergehenden Ausfall führen, bis die Datei mit den Anmeldedaten neu erstellt wurde. Dieses Verfahren kann nur vom Inhaber der gehackten Anmeldedaten abgeschlossen werden.

1. Installieren und initialisieren Sie die Google Cloud CLI, falls noch nicht geschehen.

2. Autorisieren Sie die gcloud CLI mit Ihrer Nutzeridentität und nicht mit einem Dienstkonto:

    gcloud auth login
   

   Weitere Informationen finden Sie unter Für die gcloud CLI authentifizieren.

3. Widerrufen Sie die Anmeldedaten:

     gcloud auth application-default revoke
   

4. Löschen Sie optional die Datei application_default_credentials.json. Der Speicherort hängt von Ihrem Betriebssystem ab:

   • Linux, macOS: $HOME/.config/gcloud/
   • Windows: %APPDATA%\gcloud\

5. Erstellen Sie die Datei mit den Anmeldedaten neu:

    gcloud auth application-default login
   

Browser-Cookies als Administrator entwerten

Wenn Sie vermuten, dass Browser-Cookies gehackt wurden, können Google Workspace-Administratoren einen Nutzer von seinem Konto abmelden.

Außerdem sollten Sie sofort eine Passwortänderung erzwingen.

Bei diesen Aktionen werden alle vorhandenen Cookies ungültig gemacht und der Nutzer wird aufgefordert, sich noch einmal anzumelden.

Browser-Cookies als Nutzer entwerten

Wenn Sie vermuten, dass Browser-Cookies gehackt wurden, melden Sie sich von Ihrem Google-Konto ab und ändern Sie Ihr Passwort sofort.

Bei diesen Aktionen werden alle vorhandenen Cookies ungültig. Beim nächsten Zugriff auf Google Cloudmüssen Sie sich noch einmal anmelden.

Nach unbefugtem Zugriff und nicht autorisierten Ressourcen suchen

Nachdem Sie gehackte Anmeldedaten widerrufen und Ihren Dienst wiederhergestellt haben, prüfen Sie den gesamten Zugriff auf Ihre Google Cloud Ressourcen. Sie können Logging oder Security Command Center verwenden.

Führen Sie in Logging folgende Schritte aus:

1. Sehen Sie sich Ihre Audit-Logs in der Google Cloud Console an.

   Zum Log-Explorer

2. Suchen Sie in allen potenziell betroffenen Ressourcen und prüfen Sie, ob alle Kontoaktivitäten (insbesondere im Zusammenhang mit den gehackten Anmeldedaten) so sind wie erwartet.

Führen Sie in Security Command Center folgende Schritte aus:

1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

   Zu Ergebnissen

2. Wählen Sie ggf. Ihr Google Cloud Projekt oder Ihre Organisation aus.

3. Klicken Sie im Abschnitt Schnellfilter auf einen geeigneten Filter, um das gewünschte Ergebnis in der Tabelle Ergebnisse der Ergebnisabfrage anzuzeigen. Wenn Sie beispielsweise im Unterabschnitt Anzeigename der Quelle die Option Event Threat Detection oder Container Threat Detection auswählen, werden in den Ergebnissen nur Ergebnisse aus dem ausgewählten Dienst angezeigt.

   Die Tabelle enthält die Ergebnisse für die ausgewählte Quelle.

4. Klicken Sie auf den Namen des Ergebnisses unter Category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird maximiert und zeigt eine Zusammenfassung der Ergebnisdetails an.

5. So zeigen Sie alle Ergebnisse an, die durch die Aktionen eines Nutzers ausgelöst wurden:

   1. Kopieren Sie im Detailbereich mit den Ergebnissen die E-Mail-Adresse neben Haupt-E-Mail-Adresse.
   2. Schließen Sie den Bereich.

   3. Geben Sie im Abfrageeditor die folgende Abfrage ein:

      access.principal_email="USER_EMAIL"
      

      Ersetzen Sie USER_EMAIL durch die E-Mail-Adresse, die Sie zuvor kopiert haben.

      Security Command Center zeigt alle Ergebnisse an, die mit Aktionen verknüpft sind, die von dem angegebenen Nutzer ausgeführt wurden.

Alle nicht autorisierten Ressourcen löschen

Achten Sie darauf, dass keine unerwarteten Ressourcen wie VMs, App Engine-Anwendungen, Dienstkonten, Cloud Storage-Buckets usw. vorhanden sind, auf die mit gehackten Anmeldedaten zugegriffen werden könnte.

Wenn Sie sich sicher sind, dass Sie alle nicht autorisierten Ressourcen identifiziert haben, können Sie diese Ressourcen sofort löschen. Dies ist besonders für Compute Engine-Ressourcen wichtig, da Angreifer gehackte Konten verwenden können, um Daten zu exfiltrieren oder Ihre Produktionssysteme anderweitig zu hacken.

Alternativ können Sie versuchen, nicht autorisierte Ressourcen zu isolieren, damit Ihre Forensikteams zusätzliche Analysen durchführen können.

Cloud Customer Care kontaktieren

Wenn Sie Hilfe bei der Suche nach den Google Cloud Logs und Tools benötigen, die Sie für Ihre Untersuchungs- und Abhilfemaßnahmen benötigen, wenden Sie sich an Customer Care und eröffnen Sie einen Supportfall.

Best Practices zur Vermeidung gehackter Anmeldedaten

In diesem Abschnitt werden Best Practices beschrieben, die Sie implementieren können, um gehackte Anmeldedaten zu vermeiden.

Anmeldedaten von Code trennen

Verwalten und speichern Sie Ihre Anmeldedaten getrennt von Ihrem Quellcode. Anmeldedaten und Quellcode werden sehr häufig versehentlich gemeinsam an ein Versionsverwaltungssystem wie Github übertragen, wodurch Ihre Anmeldedaten anfällig für Angriffe werden.

Wenn Sie GitHub oder ein anderes öffentliches Repository verwenden, können Sie Tools wie Anomalieerkennung oder den Secret-Scan implementieren, der Sie bei offengelegten Secrets in Ihren GitHub-Repositories warnt. Wenn Sie verhindern möchten, dass Schlüssel in Ihre GitHub-Repositories übertragen werden, sollten Sie Tools wie git-secrets verwenden.

Verwenden Sie Lösungen zur Secretverwaltung wie Secret Manager und Hashicorp Vault, um Ihre Secrets zu speichern, sie regelmäßig zu rotieren und die geringsten Berechtigungen anzuwenden.

Best Practices für Dienstkonten implementieren

Informationen zum Schutz von Dienstkonten finden Sie in den Best Practices für die Arbeit mit Dienstkonten.

Sitzungsdauer beschränken

Wenn Sie eine regelmäßige erneute Authentifizierung erzwingen möchten, begrenzen Sie die Zeit, die Sitzungen aktiv bleiben für Google und Google Cloud Konten. Hier finden Sie weitere Informationen:

• Sitzungsdauer für Google Workspace festlegen

• Sitzungsdauer für Google Cloud Dienste festlegen

• Sitzungsdauer für Cloud Identity festlegen

Mit VPC Service Controls den Zugriff einschränken

Erstellen Sie Dienstperimeter mit VPC Service Controls, um die Auswirkungen gehackter Anmeldedaten zu begrenzen. Wenn Sie VPC Service Controls konfigurieren, können Ressourcen innerhalb des Perimeters nur mit anderen Ressourcen innerhalb des Perimeters kommunizieren.