Laporan model ancaman BigQuery

Terakhir diperbarui: 16 April 2026

Dokumen ini mengidentifikasi potensi vektor serangan dan strategi mitigasi untuk kerahasiaan, integritas, dan ketersediaan data untuk BigQuery. Cakupan laporan ini terbatas pada perspektif Anda, yang berfokus pada risiko yang dapat Anda kelola dalam lingkungan BigQuery Anda.

Model ancaman ini adalah penilaian probabilistik berdasarkan vektor serangan yang saat ini diketahui, asumsi arsitektur, dan cakupan sistem yang ditentukan pada saat publikasi. Model ini tidak lengkap dan dimaksudkan untuk berfungsi sebagai dasar bagi penilaian keamanan dan risiko pelanggan Google Cloud serta untuk memandu keputusan pengurangan risiko.

Ancaman berikut teridentifikasi untuk layanan ini:

Detail ancaman

Bagian berikut memberikan informasi tentang setiap ancaman, manifestasinya, dan mitigasi yang direkomendasikan.

Penghancuran data menggunakan manipulasi skema

Penyerang dengan izin untuk mengubah skema tabel dapat menyebabkan potensi kehilangan data atau membuat tabel tidak dapat digunakan untuk aplikasi downstream. Pemalsuan ini menargetkan metadata dan struktur data, yang dapat merusak seperti memodifikasi data itu sendiri.

Kategori STRIDE

Gangguan
Taktik MITRE ATT&CK

Dampak
Ilustrasi

Pembaruan skema berbahaya: Principal dengan izin bigquery.tables.update dapat memanggil metode API tables.patch pada tabel BigQuery untuk mengubah skemanya. Mengubah jenis data kolom dapat merusak data atau menyebabkan hilangnya informasi, yang berpotensi merusak kueri dari aplikasi klien atau alat analisis bisnis, sehingga menyebabkan hilangnya kepercayaan pada pelaporan hilir.
Mitigasi

Batasi izin bigquery.tables.update secara ketat, yang merupakan bagian dari peran seperti roles/bigquery.dataOwner. Hanya berikan izin ini kepada sejumlah kecil administrator atau akun layanan CI/CD otomatis yang bertanggung jawab atas migrasi skema terkelola. Aktifkan pencadangan tabel BigQuery atau gunakan snapshot tabel untuk memulihkan dari perubahan skema yang tidak disengaja atau berbahaya. Pantau panggilan API tables.patch Cloud Audit Logs dan berikan pemberitahuan jika ada perubahan yang dilakukan di luar periode pemeliharaan yang direncanakan.

Eskalasi hak istimewa menggunakan manipulasi kebijakan izin IAM

Penyerang yang membahayakan prinsipal dengan izin untuk mengubah kebijakan izin IAM BigQuery dapat meningkatkan hak istimewanya untuk mendapatkan kontrol penuh atas resource data. Ancaman ini memungkinkan penyerang memberikan akses untuk membaca, mengubah, atau menghapus data sensitif, dengan melewati kontrol akses yang ada.

Kategori STRIDE

Peningkatan Hak Istimewa
Taktik MITRE ATT&CK

Eskalasi Akses
Ilustrasi

  • Modifikasi kebijakan set data: Principal dengan izin bigquery.datasets.update dapat memanggil metode API datasets.patch pada set data BigQuery untuk menambahkan identitasnya sendiri ke peran pemilik, sehingga memberikan kontrol penuh atas semua resource dalam set data tersebut.

  • Peniruan identitas akun layanan: Identitas dengan izin iam.serviceAccounts.actAs pada akun layanan dapat melampirkan akun layanan ke resource lain seperti instance Compute Engine untuk menjalankan kode dengan identitas akun layanan yang dilampirkan. Atau, identitas dengan izin iam.serviceAccounts.getAccessToken dapat membuat token akses untuk akun layanan tersebut. Jika akun layanan target memiliki izin yang ditingkatkan pada resource BigQuery, penyerang secara efektif mewarisi hak istimewa tersebut.
Mitigasi

Batasi secara ketat izin yang memungkinkan modifikasi kebijakan izin IAM (misalnya, bigquery.datasets.update, yang merupakan bagian dari peran seperti roles/bigquery.dataOwner). Hanya tetapkan peran ini kepada sejumlah minimum administrator tepercaya. Demikian pula, kontrol peran IAM dengan izin untuk bertindak sebagai atau meniru akun layanan secara ketat dan cakup peran ini ke akun utama tertentu yang memerlukannya. Pantau panggilan API SetIamPolicy dan datasets.patch di Cloud Audit Logs untuk mendeteksi perubahan kebijakan yang tidak sah.

Penyalahgunaan wakil yang tidak berwenang menggunakan layanan hilir yang dipicu BigQuery

Penyerang dengan izin BigQuery terbatas membuat tugas atau kueri yang memicu layanan downstream (misalnya, Cloud Function, tugas Dataflow, atau DAG Cloud Composer), yang berjalan dengan hak istimewa yang lebih tinggi. Layanan downstream, meskipun mengira sedang melakukan tindakan yang sah atas nama BigQuery, ditipu untuk melakukan tindakan pada resource yang berbeda atau dengan data yang berbeda dari yang dimaksudkan oleh desainer sistem.

Kategori STRIDE

Peningkatan Hak Istimewa
Taktik MITRE ATT&CK

Eskalasi Akses
Ilustrasi

  • Pemicu fungsi berbahaya: Perubahan BigQuery memicu Cloud Function yang memiliki izin luas, dan penyerang memanipulasi data BigQuery untuk mengontrol tindakan fungsi.

  • Eksploitasi pipeline Dataflow: Hasil kueri BigQuery digunakan sebagai input ke tugas Dataflow, dan penyerang menulis hasil kueri untuk menyebabkan tugas Dataflow menyerap data yang telah dimodifikasi.
Mitigasi

Terapkan prinsip hak istimewa terendah ke akun layanan yang digunakan oleh layanan hilir yang dipicu oleh BigQuery. Pastikan layanan ini memvalidasi dan membersihkan semua input atau parameter yang diterima dari tugas BigQuery. Gunakan Kontrol Layanan VPC untuk membatasi jalur jaringan dan interaksi layanan. Desain layanan hilir agar tidak secara inheren memercayai input dari BigQuery tanpa verifikasi.

Pemindahan data yang tidak sah menggunakan traffic keluar jaringan yang tidak dibatasi

Jika kontrol keamanan tingkat jaringan tidak diterapkan, pokok keamanan internal yang disusupi dapat mengakses BigQuery dan mengekstraksi data sensitif ke lokasi arbitrer di internet. Meskipun dengan kontrol IAM yang kuat, tidak adanya perimeter jaringan memungkinkan penyerang yang telah mendapatkan kredensial yang valid melewati pertahanan berbasis lokasi dan mentransfer data ke luar lingkungan tepercaya.

Kategori STRIDE

Pengungkapan Informasi
Taktik MITRE ATT&CK

Pemindahan yang tidak sah
Ilustrasi

  • Akses API dari jaringan yang tidak tepercaya: Penyerang menggunakan kredensial yang disusupi untuk terhubung ke BigQuery API publik atau BigQuery Storage Read API dari mesin eksternal, dengan melewati kontrol jaringan yang dikonfigurasi untuk host lokal atau perangkat pengguna.

  • Mengekspor ke layanan Google Cloud eksternal: Akun layanan yang disusupi dengan izin bigquery.jobs.create dan Cloud Storage menjalankan kueri yang mengekspor hasil ke bucket Cloud Storage publik di luar kontrol organisasi.
Mitigasi

Terapkan kontrol traffic keluar jaringan untuk mengurangi risiko pemindahan data yang tidak sah ke layanan eksternal arbitrer. Terapkan perimeter Kontrol Layanan VPC di sekitar project yang berisi resource BigQuery. Perimeter ini membantu membatasi pemindahan data yang tidak sah ke layanan Google Cloud di luar perimeter. Konfigurasi tingkat akses untuk perimeter agar hanya mengizinkan permintaan API yang berasal dari rentang IP tepercaya atau jaringan VPC tertentu, sehingga mencegah data diakses atau dipindahkan ke luar batas keamanan yang ditentukan.

Penyimpangan integritas data menggunakan tabel referensi atau pencarian yang dirusak

Penyerang dengan akses tulis ke tabel referensi atau tabel lookup (misalnya, tabel dimensi) memodifikasi kontennya secara halus. Kueri yang menggabungkan dengan tabel yang telah diracuni ini akan menghasilkan hasil yang salah dan menyesatkan, sehingga mengganggu integritas analisis dan keputusan bisnis di hilir, yang berpotensi tanpa error yang jelas.

Kategori STRIDE

Gangguan
Taktik MITRE ATT&CK

Dampak
Ilustrasi

  • Manipulasi tabel dimensi: Mengubah nilai atau atribut utama dalam tabel dimensi produk.

  • Kerusakan penelusuran: Mengubah data pemetaan dalam tabel penelusuran.
Mitigasi

Batasi akses tulis (bigquery.tables.updateData) secara ketat ke tabel referensi atau lookup hanya untuk proses penyerapan data tepercaya. Menerapkan pemeriksaan kualitas data dan pipeline validasi. Gunakan snapshot atau pembuatan versi tabel untuk melacak perubahan dan mengaktifkan rollback. Pantau log audit untuk mengetahui perubahan pada tabel penting ini.

Pemalsuan data menggunakan tugas pemuatan berbahaya

Penyerang dengan izin yang memadai dapat merusak atau menimpa data penting dalam tabel BigQuery secara sengaja dengan menjalankan tugas pemuatan berbahaya. Ancaman ini membahayakan integritas data, yang dapat menyebabkan analisis bisnis yang tidak akurat, kegagalan aplikasi, dan hilangnya kepercayaan pelanggan.

Kategori STRIDE

Gangguan
Taktik MITRE ATT&CK

Dampak
Ilustrasi

  • Penimpaan tabel: Principal dengan bigquery.jobs.create dan bigquery.tables.updateData memulai tugas pemuatan dengan disposisi penulisan yang ditetapkan ke WRITE_TRUNCATE, menghapus semua data yang ada dan menggantinya dengan data berbahaya dari sumber eksternal.

  • Penambahan data berbahaya: Penyerang menggunakan tugas pemuatan dengan WRITE_APPEND untuk menyuntikkan data sampah atau berbahaya ke dalam tabel yang ada, sehingga merusak analisis tanpa menghapus data asli.
Mitigasi

Terapkan prinsip hak istimewa terendah. Kontrol izin secara ketat seperti bigquery.jobs.create dan bigquery.tables.updateData (ditemukan dalam peran seperti roles/bigquery.dataEditor). Berikan izin ini hanya kepada akun utama tepercaya dan cakupannya untuk set data atau tabel tertentu. Pantau Cloud Audit Logs untuk penyelesaian tugas pemuatan, terutama yang memiliki disposisi WRITE_TRUNCATE, dan buat pemberitahuan untuk tugas yang berasal dari pengguna yang tidak terduga atau memuat data dari sumber yang tidak tepercaya.

Izin IAM yang berlebihan menyebabkan pengungkapan informasi

Peran IAM yang terlalu permisif dapat memberikan akses berlebihan ke data sensitif yang disimpan dalam tabel BigQuery. Penyerang yang membobol principal dengan izin akses data yang luas dapat mengekstraksi data dalam jumlah besar, sehingga menyebabkan pelanggaran data yang signifikan. Ancaman ini terjadi saat izin seperti bigquery.tables.getData atau bigquery.jobs.create diberikan dalam cakupan yang luas (misalnya, di tingkat project) dan tidak dibatasi untuk set data atau tabel tertentu yang diperlukan untuk fungsi bisnis.

Kategori STRIDE

Pengungkapan Informasi
Taktik MITRE ATT&CK

Pemindahan yang tidak sah
Ilustrasi

  • Pembacaan data langsung: Principal dengan izin bigquery.tables.getData dapat membaca data langsung dari tabel menggunakan metode API tabledata.list atau BigQuery Storage Read API dengan throughput tinggi.

  • Penyusupan berbasis kueri: Principal dengan izin bigquery.jobs.create dapat menjalankan tugas kueri menggunakan jobs.insert atau jobs.query untuk membaca data dari tabel mana pun yang dapat diaksesnya, lalu mengambil hasilnya menggunakan jobs.getQueryResults.

  • Aksesibilitas publik: Kebijakan izin IAM pada set data BigQuery atau tabel BigQuery dapat dikonfigurasi untuk mengizinkan akses publik dengan memberikan peran kepada prinsipal khusus seperti allUsers atau allAuthenticatedUsers, sehingga data dapat diakses di internet.
Mitigasi

Terapkan prinsip hak istimewa terendah untuk semua kebijakan IAM yang mengizinkan. Berikan izin pada tingkat terperinci yang paling diperlukan (misalnya, tabel atau set data BigQuery tertentu), bukan pada tingkat project. Gunakan peran IAM dengan hak istimewa terendah yang hanya berisi izin yang diperlukan (misalnya, bigquery.tables.getData, bigquery.jobs.create) untuk tugas tertentu. Audit kebijakan izin IAM secara rutin untuk peran yang terlalu permisif seperti roles/bigquery.dataViewer atau roles/bigquery.user yang diterapkan di tingkat tinggi dalam hierarki resource.

Pemindahan data yang tidak sah menggunakan transfer ke project atau akun cloud yang dikontrol oleh penyerang

Penyerang menggunakan kemampuan pemindahan data BigQuery (misalnya, tugas ekspor ke Cloud Storage, kueri lintas project, BigQuery Data Transfer Service) untuk memindahkan data sensitif dari project yang diamankan ke project Google Cloud atau akun cloud lain di bawah kendali mereka.

Kategori STRIDE

Pengungkapan Informasi
Taktik MITRE ATT&CK

Pemindahan yang tidak sah
Ilustrasi

  • Mengekspor ke bucket eksternal: Menggunakan tugas ekspor untuk menyimpan data tabel ke bucket Cloud Storage dalam project penyerang.

  • Tujuan kueri lintas project: Menjalankan kueri dan menyetel tabel tujuan ke set data dalam project yang dikontrol penyerang.
Mitigasi

Terapkan Kontrol Layanan VPC untuk membuat perimeter di sekitar project, sehingga mencegah keluar data ke project di luar perimeter. Mengontrol izin secara ketat seperti bigquery.tables.export dan bigquery.jobs.create. Gunakan batasan kebijakan organisasi untuk membatasi pembuatan dan berbagi project. Pantau Cloud Audit Logs untuk tugas atau kueri ekspor dengan tujuan di luar batas project yang diharapkan.

Pengungkapan informasi menggunakan logika keamanan tingkat baris atau tampilan yang diotorisasi yang salah dikonfigurasi

Kelemahan dalam logika SQL pada tampilan yang diotorisasi atau kebijakan keamanan tingkat baris akan menghasilkan akses data yang lebih luas daripada yang dimaksudkan. Pengguna yang membuat kueri tampilan atau tabel mungkin secara tidak sengaja mengakses baris atau kolom yang seharusnya tidak dapat mereka lihat, sehingga mengabaikan pemisahan yang dimaksudkan.

Kategori STRIDE

Pengungkapan Informasi
Taktik MITRE ATT&CK

Koleksi
Ilustrasi

  • Logika tampilan yang salah: Kueri tampilan yang diotorisasi menghilangkan klausa WHERE yang diperlukan yang ada dalam kebijakan keamanan tingkat baris pada tabel dasar.

  • Pelewatan keamanan tingkat baris: Kebijakan keamanan tingkat baris yang kompleks berisi kesalahan logika yang memungkinkan akses yang lebih luas daripada yang dimaksudkan.
Mitigasi

Terapkan proses peninjauan kode yang ketat untuk logika SQL yang digunakan dalam tampilan diberi otorisasi dan kebijakan keamanan tingkat baris. Uji logika keamanan secara menyeluruh. Batasi izin (seperti, bigquery.tables.create, bigquery.tables.update, atau bigquery.rowAccessPolicies.create) untuk membuat atau memperbarui tampilan dan kebijakan keamanan tingkat baris. Audit konfigurasi keamanan tingkat baris dan tampilan yang ada secara rutin. Ikuti praktik terbaik untuk keamanan tingkat baris.

Pengungkapan informasi menggunakan eksposur set data publik atau lintas project

Data sensitif terekspos karena set data BigQuery secara tidak sengaja atau dengan niat jahat dibuat publik (misalnya, menggunakan allUsers atau allAuthenticatedUsers) atau dibagikan terlalu luas dengan project Google Cloud lain di luar batas kepercayaan yang dimaksudkan. Penyerang dapat langsung mengakses atau menyalin data tanpa autentikasi atau dengan menggunakan akun Google yang diautentikasi.

Kategori STRIDE

Pengungkapan Informasi
Taktik MITRE ATT&CK

Pemindahan yang tidak sah
Ilustrasi

  • Set data publik: Kebijakan izin IAM pada set data memberikan izin pelihat ke allUsers.

  • Berbagi berlebihan lintas project: Set data dibagikan dengan organisasi eksternal atau akun layanan dalam project yang tidak tepercaya.
Mitigasi

Menerapkan prinsip hak istimewa terendah untuk kebijakan izin IAM set data. Gunakan kebijakan organisasi seperti constraints/iam.allowedPolicyMemberDomains untuk membatasi berbagi ke domain tertentu. Audit kebijakan izinkan IAM set data secara rutin menggunakan Security Command Center untuk mendeteksi izin publik atau yang terlalu luas. Gunakan Kontrol Layanan VPC untuk membuat perimeter di sekitar project yang berisi data sensitif guna mencegah keluar yang tidak sah.

Penyalahgunaan akses BigQuery yang sah oleh orang dalam (kueri yang sah digunakan untuk pengumpulan data berbahaya)

Orang dalam yang jahat dengan akses yang sah ke BigQuery menggunakan izin yang telah diberi otorisasi untuk menjalankan kueri dan mengumpulkan data sensitif untuk tujuan yang tidak sah (misalnya, keuntungan pribadi atau spionase). Meskipun akses diizinkan, maksud dan penggunaan data bersifat berbahaya.

Kategori STRIDE

Pengungkapan Informasi
Taktik MITRE ATT&CK

Koleksi
Ilustrasi

  • Penimbunan data: Mengirim kueri dan mendownload data pelanggan secara rutin di luar persyaratan tugas.

  • Analisis sensitif: Melakukan analisis untuk mengekstrak rahasia dagang atau PII untuk eksfiltrasi.
Mitigasi

Aktifkan dan pantau log audit Akses Data untuk melacak pola akses data. Gunakan alat seperti Sensitive Data Protection untuk memindai hasil kueri guna menemukan informasi sensitif. Terapkan Analisis Perilaku Pengguna (UBA) untuk mendeteksi pola kueri atau volume akses data yang tidak biasa. Terapkan kebijakan penanganan data yang jelas dan berikan pelatihan kesadaran keamanan. Gunakan keamanan tingkat baris dan keamanan tingkat kolom untuk membatasi eksposur data bahkan untuk pengguna yang berwenang.

Persistensi menggunakan binding IAM BigQuery tersembunyi pada set data, tampilan yang diotorisasi, atau kueri terjadwal

Penyerang, setelah mendapatkan akses awal, membangun kehadiran jangka panjang dengan membuat mekanisme akses yang sulit dideteksi dalam BigQuery. Ancaman ini mencakup penambahan binding IAM ke set data, pembuatan tampilan resmi yang mengkueri data sensitif, atau penyiapan kueri terjadwal yang berjalan di bawah akun layanan yang memiliki hak istimewa untuk mengeksfiltrasi data atau mempertahankan akses.

Kategori STRIDE

Peningkatan Hak Istimewa
Taktik MITRE ATT&CK

Persistensi
Ilustrasi

  • IAM set data tersembunyi: Memberikan hak penampil akun pribadi pada set data tertentu yang kurang dipantau.

  • Pintu belakang tampilan yang diotorisasi: Membuat tampilan yang diizinkan untuk mengakses tabel yang dibatasi, dan memberikan akses ke tampilan tersebut.

  • Kueri terjadwal berbahaya: Mengonfigurasi kueri terjadwal untuk menyalin data ke lokasi eksternal secara berkala.
Mitigasi

Audit semua kebijakan izin IAM secara rutin, termasuk izin tingkat set data menggunakan alat seperti Security Command Center. Mengontrol izin secara ketat untuk membuat atau memperbarui set data (bigquery.datasets.update), rutinitas (bigquery.routines.create/update), dan transfer data (bigquery.transfers.update).

Pemalsuan menggunakan kredensial akun layanan atau token OAuth yang disusupi dan digunakan untuk akses BigQuery

Penyerang mendapatkan kredensial akun layanan (misalnya, kunci JSON yang diekspor) dan menggunakannya untuk melakukan autentikasi ke BigQuery sebagai akun layanan yang disusupi, sehingga mewarisi semua izinnya. Ancaman ini memungkinkan penyerang melakukan tindakan apa pun yang diizinkan untuk dilakukan oleh akun layanan, seperti membaca data, menjalankan tugas, atau mengubah resource.

Kategori STRIDE

Spoofing
Taktik MITRE ATT&CK

Akses Awal
Ilustrasi

  • Kunci akun layanan yang bocor: File kunci JSON terekspos di repositori kode, penyimpanan publik, atau metadata instance.

  • Aplikasi yang disusupi: Aplikasi yang menggunakan akun layanan disusupi, sehingga memungkinkan penyerang mengekstrak dan menggunakan kredensialnya.

  • Token OAuth yang dicuri: Penyerang mencegat atau membocorkan token OAuth dari aplikasi klien atau sesi browser.

  • Token dengan cakupan berlebih: Aplikasi meminta dan menyimpan token dengan cakupan yang berlebihan (misalnya, akses BigQuery penuh padahal hanya perlu akses baca).
Mitigasi

Hindari mengekspor kunci akun layanan. Sebagai gantinya, gunakan akun layanan terlampir atau Workload Identity Federation jika memungkinkan. Jika kunci diperlukan, rotasikan kunci secara rutin, dan berikan hanya izin minimum yang diperlukan kepada akun layanan. Pantau Cloud Audit Logs dan Security Command Center untuk mendeteksi aktivitas akun layanan yang anomali atau kebocoran kunci. Gunakan batasan kebijakan organisasi constraints/iam.disableServiceAccountKeyCreation untuk menonaktifkan pembuatan kunci akun layanan. Menyimpan dan mengirimkan token OAuth dengan aman. Ikuti praktik terbaik OAuth 2.0. Hanya minta cakupan yang diperlukan. Gunakan token yang memiliki masa aktif singkat dan token refresh dengan aman. Terapkan mekanisme untuk mendeteksi dan mencabut token yang disusupi. Pantau pola penggunaan token yang tidak normal. Selesaikan langkah-langkah perlindungan kunci akun layanan standar. Konfigurasi durasi sesi untuk layanan Google Cloud guna menerapkan token yang memiliki masa aktif singkat dan mengurangi risiko token yang bocor.

Penolakan layanan berbasis biaya menggunakan kueri mahal

Principal yang diautentikasi menjalankan kueri yang dirancang untuk menggunakan resource BigQuery secara berlebihan (seperti slot dan byte yang dipindai). Ancaman ini dapat menyebabkan pembengkakan biaya besar-besaran dalam proyek on-demand atau kekurangan slot bagi pengguna lain dalam proyek berbasis reservasi, sehingga menghambat operasi bisnis.

Kategori STRIDE

Penolakan Layanan
Taktik MITRE ATT&CK

Dampak
Ilustrasi

  • Kueri yang tidak dioptimalkan: Menjalankan kueri dengan gabungan silang pada tabel besar tanpa filter.

  • Eksekusi berulang: Membuat skrip eksekusi kueri yang mahal secara sering.
Mitigasi

Gunakan kuota kustom BigQuery untuk menetapkan batas level pengguna dan level project pada penggunaan kueri (misalnya, byte yang dipindai per hari). Gunakan parameter maximumBytesBilled dalam tugas kueri. Gunakan reservasi BigQuery untuk mengisolasi workload dan menjamin kapasitas. Konfigurasi pemberitahuan penagihan di Penagihan Cloud dan pantau pemanfaatan slot di Cloud Monitoring untuk mendeteksi dan bereaksi terhadap anomali.