טיפול בפרטי כניסה שנחשפו ב-Google Cloud

Google Cloud פרטי הכניסה שולטים בגישה למשאבים שמתארחים ב- Google Cloud. כדי לשמור על אבטחת המידע ולהגן עליכם מפני תוקפים, אתם צריכים לשמור היטב את פרטי הכניסה.

מומלץ להגן על כל פרטי הכניסה ל- Google Cloud ולמנוע חשיפה לא מכוונת. בין השאר, פרטי הכניסה האלה הם:

• פרטי הכניסה לשירות:

  • מפתחות פרטיים לחשבונות שירות (קובצי JSON ו-p12)
  • מפתחות API
  • סודות של מזהי לקוחות ב-OAuth2

• פרטי כניסה של משתמשים, שנוצרים ומנוהלים בתחנות עבודה של מפתחים או במחשבים אחרים:

  • פרטי הכניסה ל-Google Cloud CLI

  • Application Default Credentials

  • קובצי cookie בדפדפן

פרטי הכניסה ל-Google Cloud CLI נשמרים בספריית הבית של המשתמש. אפשר לרשום אותם ב-Google Cloud CLI באמצעות הפקודה gcloud auth list. פרטי הכניסה של Application Default Credentials נשמרים בתחנת העבודה של המפַתח. קובצי Cookie בדפדפן הם ספציפיים לדפדפן, אבל בדרך כלל נשמרים בתחנת העבודה של המפתח.

אם אתם חושדים שפרטי כניסה כלשהם נחשפו, חשוב שתפעלו מיידית כדי להגביל את ההשפעה עלGoogle Cloud החשבון שלכם.

מעקב לזיהוי חשיפה של פרטי כניסה

כדי להיות עם יד על הדופק ולזהות חשיפות פוטנציאליות, כדאי:

• לעקוב אחרי פעילות חשודה בחשבון, כמו הסלמת הרשאות (privilege escalation) ויצירת חשבונות מרובים. תוכלו לעקוב אחרי הפעילויות האלה באמצעות יומני הביקורת של Cloud,‏ כלים לבקרת מדיניות ו-Security Command Center. שימוש בשירותים וביכולות הבאים של Security Command Center:

  • ‫Event Threat Detection כדי לזהות איומים שמבוססים על פעילויות ניהול, שינויים בקבוצות ושינויים בהרשאות בממשק לניהול זהויות והרשאות גישה (IAM). לכל קטגוריית איומים, מוצגים שלבים מומלצים לחקירה שיעזרו לכם להגיב.
  • Sensitive Actions Service כדי לעקוב אחרי פעולות בארגון, בתיקיות ובפרויקטים שיכולות לגרום נזק לעסק אם הן מבוצעות על ידי גורם זדוני.
  • ניהול הרשאות גישה בתשתית ענן (CIEM) (גרסת Preview) לניהול גישה לזהויות וליצירת ממצאים לגבי הגדרות שגויות.

• לעקוב אחרי התחברות של משתמשים ב-Google Workspace וב-Cloud Identity. כדאי לייצא את היומנים ל-Cloud Logging כדי שיהיה מעקב טוב יותר אחרי בעיות.

• לפקח על סודות במאגרי הקודים שלכם באמצעות כלים כמו זיהוי אנומליות או סריקת סודות.

• לעקוב אחרי חריגות בשימוש במפתחות של חשבונות שירות באמצעות Cloud Monitoring או CIEM.

חשוב לוודא שאתם מקבלים התראות מיידיות במרכז האבטחה (SOC) שלכם, ושב-SOC יש את הפלייבוקים, הרשאות הגישה והכלים הנדרשים כדי להגיב במהירות לכל חשד לחשיפה של פרטי הכניסה. אפשר להשתמש במהדורת Enterprise של Security Command Center כדי להפעיל יכולות SIEM ו-SOAR כמו תוכניות פעולה, תהליכי עבודה לתגובה ופעולות אוטומטיות. אפשר גם לשלב את Security Command Center עם הכלי הקיים לניהול אירועים ואבטחת מידע (SIEM) או לייבא יומנים ל-Google Security Operations להמשך ניתוח.

הגנה על Google Cloud המשאבים מפני חשיפה של פרטי הכניסה

חושדים שפרטי כניסה נחשפו? חשוב שתבצעו את הפעולות הבאות במהירות האפשרית כדי להגן על המשאבים שלכם:

ביטול פרטי הכניסה ויצירתם מחדש

אם אתם חושדים שפרטי כניסה נחשפו, תוכלו לבטל אותם וליצור פרטי כניסה חדשים. לפני שתמשיכו, חשוב לנקוט משנה זהירות כדי לא לגרום להפסקות זמניות בשירות כתוצאה מביטול פרטי הכניסה.

באופן כללי, מומלץ ליצור תחילה פרטי כניסה חדשים, לשלוח אותם לכל השירותים והמשתמשים שזקוקים להם ורק אז לבטל את פרטי הכניסה הישנים.

בקטעים הבאים מוסבר בהרחבה איך עושים זאת לכל סוג של פרטי כניסה.

החלפת מפתחות של חשבונות שירות

1. נכנסים לדף Service accounts במסוף Google Cloud .

   כניסה לדף Service accounts

2. מוצאים את חשבון השירות שהושפע מהחשיפה.

3. יוצרים מפתח חדש לחשבון השירות.

4. שולחים את המפתח החדש לכל המקומות שבהם המפתח הקודם היה בשימוש.

5. מוחקים את המפתח הישן.

למידע נוסף, ראו יצירת חשבונות שירות.

יצירה מחדש של מפתחות API

1. נכנסים לדף Credentials במסוף Google Cloud .

   כניסה לדף Credentials

2. לוחצים על Create credentials כדי ליצור מפתח API חדש. מגדירים את המפתח החדש כמו מפתח ה-API שנחשף. כדי למנוע הפסקה זמנית בשירות, ההגבלות על מפתח ה-API צריכות להיות זהות.

3. שולחים את מפתח ה-API לכל המקומות שבהם המפתח הישן היה בשימוש.

4. מוחקים את המפתח הישן.

מידע נוסף זמין במאמר אימות באמצעות מפתחות API.

איפוס הסוד של מזהה הלקוח ב-OAuth2

כשמשנים סודות של מזהי לקוחות, בזמן שהסוד החדש מועבר יש הפסקה זמנית בשירות.

1. נכנסים לדף Credentials במסוף Google Cloud .

   כניסה לדף Credentials

2. בוחרים את מזהה הלקוח שנחשף ב-OAuth2 ועורכים אותו.

3. לוחצים על Reset Secret.

4. שולחים את הסוד החדש לאפליקציה.

למידע נוסף, תוכלו לקרוא את המאמר הגדרת OAuth 2.0 ושימוש ב-OAuth 2.0 לגישה ל-Google APIs.

הסרת פרטי הכניסה ל-Google Cloud CLI כאדמינים

כאדמינים ב-Google Workspace, אתם יכולים להסיר את הגישה ל-Google Cloud CLI מרשימת האפליקציות המקושרות של משתמש. למידע נוסף, ראו הצגה והסרה של גישה לאפליקציות צד שלישי.

כשהמשתמש ינסה להשתמש שוב ב-Google Cloud CLI, הוא יתבקש לאשר מחדש את האפליקציה.

הסרת פרטי הכניסה ל-Google Cloud CLI כמשתמשים

1. פותחים את רשימת האפליקציות שיש להן גישה לחשבון Google שלכם.

2. מסירים את Google Cloud CLI מרשימת האפליקציות המקושרות.

כשתנסו להתחבר שוב ל-Google Cloud CLI, תתבקשו לאשר מחדש את האפליקציה.

ביטול Application Default Credentials כאדמינים

אם אתם חושדים שהפרטים של Application Default Credentials נחשפו, תוכלו לבטל אותם. חשוב לזכור שהפעולה הזו עלולה לגרום להפסקה זמנית בשירות עד ליצירה מחדש של קובץ פרטי הכניסה.

כאדמינים ב-Google Workspace, אתם יכולים להסיר את הגישה ל-Google Auth Library מרשימת האפליקציות המקושרות של משתמש. למידע נוסף, ראו הצגה והסרה של גישה לאפליקציות צד שלישי.

ביטול Application Default Credentials כמשתמשים

אם אתם חושדים שהפרטים של Application Default Credentials שיצרתם נחשפו, תוכלו לבטל אותם. חשוב לזכור שהפעולה הזו עלולה לגרום להפסקה זמנית בשירות עד ליצירה מחדש של קובץ פרטי הכניסה. רק הבעלים של פרטי הכניסה שנחשפו יכול לבצע את הפעולה הזו.

1. מתקינים ומפעילים את Google Cloud CLI אם עדיין לא עשיתם זאת.

2. מבצעים אימות לכניסה ל-CLI של gcloud עם שם המשתמש ולא עם חשבון שירות:

    gcloud auth login
   

   מידע נוסף זמין במאמר מתן הרשאה ל-CLI של gcloud.

3. מבטלים את פרטי הכניסה:

     gcloud auth application-default revoke
   

4. אפשר גם למחוק את הקובץ application_default_credentials.json. המיקום שלו תלוי במערכת ההפעלה:

   • ב-Linux ו-macOS:‏ $HOME/.config/gcloud/‎
   • ב-Windows:‏ %APPDATA%\gcloud\‎

5. יוצרים מחדש את הקובץ של פרטי הכניסה:

    gcloud auth application-default login
   

ביטול התוקף של קובצי cookie בדפדפן כאדמינים

אם אתם חושדים שקובצי cookie בדפדפן נחשפו, כאדמינים ב-Google Workspace אתם יכולים להוציא משתמשים מהחשבונות שלהם.

בנוסף, תוכלו לאלץ אותם לשנות את הסיסמה מיידית.

הפעולות האלו מבטלות את התוקף של כל קובצי ה-cookie הקיימים, והמשתמשים יצטרכו להתחבר מחדש.

ביטול התוקף של קובצי cookie בדפדפן כמשתמשים

אם אתם חושדים שקובצי cookie בדפדפן נחשפו, אתם צריכים לצאת מחשבון Google שלכם ולשנות את הסיסמה מיידית.

הפעולות האלה מבטלות את התוקף של כל קובצי ה-Cookie הקיימים. בפעם הבאה שתנסו לגשת אלGoogle Cloud, תצטרכו להיכנס שוב לחשבון.

חיפוש גישה לא מורשית למשאבים ושימוש בהם

אחרי שמבטלים את פרטי הכניסה שנחשפו ומשחזרים את הגישה לשירות, כדאי לבדוק את כל הגישה למשאבים שלכם. Google Cloud אפשר להשתמש ב-Logging או ב-Security Command Center.

בקטע 'רישום ביומן', מבצעים את הפעולות הבאות:

1. בודקים את יומני הביקורת במסוףGoogle Cloud .

   כניסה לדף Logs Explorer

2. מחפשים את כל המשאבים שיכול להיות הושפעו, ומוודאים שכל הפעילות בחשבון (במיוחד כזו שקשורה לפרטי הכניסה שנחשפו) היא כמצופה.

ב-Security Command Center, מבצעים את הפעולות הבאות:

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. אם צריך, בוחרים את Google Cloud הפרויקט או הארגון.

3. בקטע Quick filters (מסננים מהירים), לוחצים על המסנן המתאים כדי להציג את הממצא שרוצים בטבלה Findings query results (תוצאות שאילתת ממצאים). לדוגמה, אם בוחרים באפשרות Event Threat Detection או זיהוי איומים בקונטיינר בקטע המשנה שם התצוגה של המקור, בתוצאות יופיעו רק ממצאים מהשירות שנבחר.

   הטבלה תאוכלס בממצאים לגבי המקור שבחרתם.

4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בקטע Category. חלונית הפרטים של הממצא מתרחבת ומוצג בה סיכום של פרטי הממצא.

5. כדי להציג את כל הממצאים שנגרמו כתוצאה מהפעולות של אותו משתמש:

   1. בחלונית הפרטים של הממצא, מעתיקים את כתובת האימייל שלצד כתובת אימייל ראשית.
   2. סוגרים את החלונית.

   3. בעורך השאילתות, מזינים את השאילתה הבאה:

      access.principal_email="USER_EMAIL"
      

      מחליפים את USER_EMAIL בכתובת האימייל שהעתקתם קודם.

      ב-Security Command Center מוצגים כל הממצאים שמשויכים לפעולות שבוצעו על ידי המשתמש שציינתם.

מחיקת כל המשאבים הלא מורשים

ודאו שאין בפרויקט משאבים לא צפויים שיכולה להיות אליהם גישה עם פרטי הכניסה שנחשפו, כמו מכונות וירטואליות, אפליקציות של App Engine, חשבונות שירות, קטגוריות של Google Cloud Storage וכו'.

כשתהיו בטוחים שזיהיתם את כל המשאבים הלא מורשים, תוכלו למחוק אותם מיידית. הדבר חשוב במיוחד למשאבים ב-Compute Engine, כי תוקפים עלולים להשתמש בחשבונות שנפרצו כדי להשיג מידע ונתונים או לסכן בדרך אחרת את מערכות הייצור שלכם.

תוכלו גם לבודד משאבים לא מורשים כדי לאפשר לצוותי הבדיקה שלכם לערוך בדיקות נוספות.

פנייה ל-Cloud Customer Care

לקבלת עזרה במציאת היומנים והכלים שאתם צריכים לפעולות החקירה והטיפול, צרו קשר עם Customer Care ופתחו בקשת תמיכה. Google Cloud

שיטות מומלצות למניעת חשיפה של פרטי הכניסה

תוכלו להיעזר בשיטות המומלצות שכאן כדי למנוע חשיפה של פרטי הכניסה.

הפרדה בין פרטי הכניסה לקוד

חשוב לנהל ולאחסן את פרטי הכניסה בנפרד מקוד המקור. הרבה פעמים קורה ששולחים בטעות גם את פרטי הכניסה וגם את קוד המקור לאתר ניהול מקורות, כמו GitHub. הטעות הזו חושפת את פרטי הכניסה למתקפות.

אם אתם משתמשים ב-GitHub או במאגר ציבורי אחר, תוכלו להשתמש בכלים כמו זיהוי אנומליות או סריקת סודות ולקבל אזהרות לגבי סודות שנחשפו במאגרים שלכם ב-GitHub. כדי למנוע קשר מחייב בין המפתחות למאגרים ב-GitHub, כדאי להשתמש בכלים כמו git-secrets.

כדאי להשתמש בפתרונות לניהול סודות, כמו Secret Manager ו-Hashicorp Vault לצורך שמירת הסודות, החלפתם באופן שוטף ושימוש בהרשאות מינימליות.

שימוש בשיטות מומלצות בחשבון השירות

מומלץ לקרוא את השיטות המומלצות לשימוש בחשבונות שירות כדי לעזור בהגנה עליהם.

הגבלה של אורך סשנים

כדי לאכוף אימות מחדש מדי פעם, כדאי להגביל את משך הזמן שבו הסשנים נשארים פעילים בחשבונות Google ו- Google Cloud . למידע נוסף, תוכלו לקרוא את המאמרים הבאים:

• הגדרת אורך הסשן עבור Google Workspace

• הגדרת אורך הסשן עבור שירותי Google Cloud

• הגדרת אורך הסשן עבור Cloud Identity

שימוש ב-VPC Service Controls להגבלת גישה

כדי להגביל את ההשפעה של פרטי כניסה שנחשפו, תוכלו ליצור service perimeters באמצעות VPC Service Controls. כשמגדירים את VPC Service Controls, המשאבים שב-perimeter יכולים לתקשר רק אחד עם השני.