Informe del modelo de amenazas de Cloud Storage

Divulgación de información

Colección

• Exposición de buckets públicos: Un bucket de Cloud Storage se hace público cuando se otorgan roles como Storage Object Viewer a las cuentas allUsers o allAuthenticatedUsers en su política de permisos de IAM. Si no se aplica la prevención del acceso público, estos roles exponen todos los objetos a Internet.

• Fuga de URLs firmadas: Una URL firmada, que actúa como un token de portador temporal, se filtra de forma inadvertida a través de código del cliente, registros o transmisión no segura. Cualquier usuario o aplicación externos que obtengan la URL pueden acceder al objeto de Cloud Storage especificado con los permisos (por ejemplo, de lectura o escritura) hasta que venza la firma de la URL.

• Permisos de IAM demasiado amplios: Se otorgan permisos amplios (por ejemplo, storage.objects.get o storage.objects.list) a identidades, como una cuenta de usuario o una cuenta de servicio, en muchos buckets cuando las identidades solo requieren acceso a un pequeño subconjunto de datos.

• Credenciales de identidad comprometidas: Un atacante obtiene las credenciales de una cuenta de usuario o una clave de cuenta de servicio, lo que le permite autenticarse en la API de JSON de Cloud Storage y acceder a todos los datos que la identidad comprometida está autorizada a ver.

• Configuración incorrecta del balanceador de cargas: Una instancia de Cloud Load Balancing configurada con un bucket de Cloud Storage como backend se puede configurar de forma incorrecta para exponer objetos de forma pública, incluso si el bucket en sí no es público. Esta configuración incorrecta crea una ruta de acceso alternativa, y potencialmente menos segura, a los datos, lo que omite los controles directos de IAM de Cloud Storage.

• Almacenamiento en caché incorrecto de la CDN: Cuando se usa un bucket de Cloud Storage como backend para Cloud Load Balancing y Cloud CDN, una configuración incorrecta puede hacer que los datos sensibles se almacenen en caché en las ubicaciones perimetrales públicas de Google. Si el servicio de backend no emite los encabezados Cache-Control correctos (por ejemplo, private o no-store), es posible que la CDN entregue el contenido almacenado en caché a usuarios no autorizados, lo que omitirá las verificaciones de IAM del bucket.

• Aplica la prevención de acceso público en buckets de almacenamiento individuales o a nivel de proyecto, carpeta u organización con la restricción de política de la organización storage.publicAccessPrevention.

• Usa el acceso uniforme a nivel de bucket para simplificar los permisos y evitar las LCA heredadas.

• Configura claves de encriptación administradas por el cliente (CMEK) para proteger los datos con encriptación en reposo.

• Mantén los tiempos de vencimiento de las URLs firmadas lo más cortos posible.

• Audita y quita periódicamente las claves de cuentas de servicio vulneradas o sin usar.

• Implementa los Controles del servicio de VPC para crear un perímetro de servicio y evitar el robo de datos, incluso si se roban las credenciales.

• Asegúrate de que las políticas de Cloud Armor se apliquen a los balanceadores de cargas que entregan contenido de Cloud Storage para restringir el acceso.

Elevación de privilegios

Elevación de privilegios

• Modificación directa de la política: Una identidad, como un usuario o una cuenta de servicio, a la que se le otorga el permiso storage.buckets.setIamPolicy en un bucket de Cloud Storage puede modificar directamente su política de permisos. Esta configuración permite que el atacante se otorgue roles con privilegios elevados, como Storage Admin, lo que lleva a un control completo sobre la configuración y los datos del bucket.

• Identidad temporal como cuenta de servicio: Una identidad con un rol como roles/iam.serviceAccountUser que contiene el permiso iam.serviceAccounts.actAs en una cuenta de servicio puede adjuntar la cuenta de servicio a otros recursos, como una instancia de Compute Engine, para ejecutar código con la identidad de la cuenta de servicio adjunta. Como alternativa, una identidad con un rol como roles/iam.serviceAccountTokenCreator que tenga permisos, incluido iam.serviceAccounts.getAccessToken, puede generar tokens de acceso para esa cuenta de servicio. Si la cuenta de servicio objetivo tiene permisos elevados en los recursos de Cloud Storage, el atacante hereda esos privilegios de manera efectiva.

• Generación de URLs firmadas: Una identidad con el permiso iam.serviceAccounts.signBlob en una cuenta de servicio puede generar URLs firmadas de la versión 4. Estas URLs permiten que el atacante cree acceso temporal con token de portador a objetos que la cuenta de servicio puede leer o escribir, lo que podría eludir controles de red más restrictivos o la propia falta de permisos directos de Cloud Storage del atacante.

• Sigue el principio de privilegio mínimo. Evita agregar permisos como storage.buckets.setIamPolicy, iam.serviceAccounts.actAs o iam.serviceAccounts.signBlob a los roles, a menos que sea absolutamente necesario. Usa las condiciones de IAM para restringir los permisos a recursos o períodos específicos. Audita periódicamente las políticas de permisos con herramientas como Cloud Asset Inventory para detectar y quitar los permisos excesivos.

• Asegúrate de que las aplicaciones que controlan URLs firmadas no las registren ni las expongan de una manera en que terceros puedan extraerlas. Por ejemplo, si usas Cloud CDN para almacenar en caché URLs firmadas, configura los encabezados Cache-Control adecuados para evitar el almacenamiento en caché público de objetos sensibles que deben ser privados y autenticados a través de una URL firmada.

Manipulación

Impacto

• Manipulación directa de objetos: Una identidad con permisos de storage.objects.create o storage.objects.delete puede reemplazar o destruir objetos individuales de Cloud Storage.

• Ataque a la política de ciclo de vida: Un atacante con permiso de storage.buckets.update puede modificar la configuración de administración del ciclo de vida de los objetos de un bucket para crear una regla que borre todos los objetos de inmediato o después de un período breve, lo que provocaría la destrucción masiva de datos.

• Borrado de buckets: Un atacante con privilegios elevados y el permiso storage.buckets.delete puede borrar un bucket completo de Cloud Storage, lo que destruye de inmediato todos los objetos, las configuraciones y las políticas asociadas con él.

• Secuestro de notificaciones: Un atacante con permiso de storage.buckets.update puede alterar o borrar de forma maliciosa una configuración de notificaciones de Pub/Sub. Este ataque puede cegar los sistemas posteriores que dependen de estos eventos o redireccionar las notificaciones a un tema controlado por el atacante.

• Si necesitas almacenamiento inmutable o un período de retención mínimo, configura el bloqueo del bucket para todo el bucket o el bloqueo de objetos para objetos individuales.

• Configura el control de versiones de objetos y una política de eliminación no definitiva para planificar la recuperación ante reescrituras accidentales o maliciosas en los buckets que contienen datos críticos. Implementa un período de borrado de forma no definitiva especificado que te brinde tiempo suficiente para detectar y recuperar los objetos antes de la eliminación permanente.

• Habilita los registros de auditoría de acceso a los datos en los buckets que contienen datos críticos para supervisar los patrones de acceso irregulares.

Divulgación de información

Robo de datos

Creación de trabajos de transferencia maliciosos: Un atacante con permisos de storagetransfer.transferjobs.create o storagetransfer.transferjobs.update crea o modifica un trabajo del Servicio de transferencia de almacenamiento para copiar datos de un bucket sensible de Cloud Storage a un bucket controlado por el atacante en otro proyecto.

• Limita estrictamente los permisos de IAM para storagetransfer.transferjobs.create y storagetransfer.transferjobs.update. Asigna estos permisos solo a los roles que usan las cuentas administrativas de confianza.

• Implementa un perímetro de Controles del servicio de VPC para restringir la comunicación entre los servicios dentro del perímetro y los servicios fuera del perímetro.

• Usa condiciones de IAM en los roles que otorgan permisos de trabajos de transferencia para restringir los buckets de origen y destino a ubicaciones conocidas y autorizadas.

• Supervisa periódicamente los registros de auditoría de Cloud para detectar la creación y modificación de tareas del Servicio de transferencia de almacenamiento. Configura alertas para los trabajos que especifiquen un destino externo o no confiable.

Manipulación

Impacto

• No disponibilidad de la CMEK: Si un bucket de Cloud Storage está configurado para usar una CMEK, inhabilitar o borrar la clave de Cloud KMS de respaldo hace que todos los objetos encriptados con esa clave sean criptográficamente inaccesibles. El agente de servicio de Cloud Storage no puede realizar el desencriptado, lo que genera una denegación total del servicio para esos datos.

• Bloqueo malicioso del bucket: Un atacante con permisos de storage.buckets.update puede aplicar un bloqueo del bucket con un período de retención excesivamente largo. Este bloqueo impide el borrado legítimo de datos, lo que puede generar una acumulación de costos significativos e innecesarios, una forma de denegación de servicio financiera.

• Implementa políticas de permiso de IAM estrictas y separación de obligaciones para la administración de Cloud KMS. Asegúrate de que las identidades con permiso para administrar buckets de Cloud Storage no tengan también permiso para administrar las claves de Cloud KMS que usan los buckets.

• Usa mecanismos de prevención de eliminación de claves de Cloud KMS.

• En el caso del bloqueo de bucket, controla estrictamente el permiso storage.buckets.update y usa la supervisión para generar alertas sobre cambios de configuración inesperados.

Rechazo

Evasión de defensa

• Registros de acceso a los datos inhabilitados: Si bien los registros de actividad del administrador siempre están activados, los registros de acceso a los datos, que registran las lecturas y escrituras de objetos, están inhabilitados de forma predeterminada. Si no se habilita de forma explícita, un atacante puede robar o manipular todos los datos de un bucket sin generar registros de auditoría de Cloud para esas acciones, lo que dificulta la detección o investigación de la vulneración.

• Manipulación del receptor de registros: Un atacante que obtiene los permisos suficientes puede inhabilitar o reconfigurar los receptores de registros que enrutan los registros de auditoría de Cloud, lo que detiene de manera efectiva el flujo de datos relevantes para la seguridad hacia los sistemas de supervisión.

• Negligencia en la supervisión de métricas: Un atacante realiza actividades lentas y graduales, como la filtración gradual de pequeñas cantidades de datos durante un período prolongado. Es posible que estas acciones no activen alertas de gravedad alta en los registros de auditoría de Cloud, pero crearían patrones anómalos en las métricas de Cloud Monitoring (por ejemplo, tráfico de salida sostenido). Si no se supervisan estas métricas, el atacante puede pasar desapercibido.

• Habilita los registros de auditoría de acceso a los datos para todos los buckets que contengan datos sensibles o críticos.

• Asegúrate de que los registros se enruten a un proyecto de registro centralizado y seguro con permisos estrictamente controlados para evitar la manipulación de los receptores de registros.

• Configura alertas basadas en registros en Cloud Monitoring o en un SIEM para detectar de forma activa actividades sospechosas, como patrones de acceso anómalos o cambios en las políticas de IAM de permiso.

• Crea alertas basadas en métricas clave de Cloud Monitoring para detectar desviaciones del comportamiento de referencia.

• Usa los paneles y los datos de estadísticas integrados de Storage Intelligence de la administración de la postura de seguridad de los datos para proporcionar una supervisión continua de la exposición al riesgo a nivel de objeto y evaluaciones de la postura de seguridad.

Manipulación

Acceso inicial

• Reemplazo de binarios: Un atacante reemplaza un binario o una biblioteca de lanzamiento por una versión troyanizada. Cuando este artefacto se incorpora a una compilación o se implementa, el código del atacante se ejecuta en el entorno de destino.

• Envenenamiento de imágenes de contenedor: Un atacante con acceso a un bucket que se usa como backend para un registro de contenedores (por ejemplo, Artifact Registry) puede manipular capas de imágenes, lo que permite inyectar vulnerabilidades o puertas traseras.

• Modificación de la secuencia de comandos de compilación: Un atacante modifica las secuencias de comandos de compilación (por ejemplo, cloudbuild.yaml o Makefile) almacenadas en Cloud Storage para alterar el proceso de compilación en sí. Un atacante podría modificar las secuencias de comandos de compilación para filtrar secretos o incorporar una puerta trasera durante la compilación.

• Envenenamiento de modelos de IA: Un atacante podría intercambiar un punto de control de modelo válido en Cloud Storage por un punto de control malicioso que ejecute código cuando lo cargue un sistema de producción. O bien, un atacante podría modificar los datos en un bucket de Cloud Storage que se usa para el entrenamiento de modelos y, así, insertar puertas traseras o comportamientos maliciosos en el modelo entrenado.

• Usa un servicio de administración de artefactos dedicado, como Artifact Registry, que proporciona análisis de vulnerabilidades y un mejor control de acceso. Evita usar buckets estándar de Cloud Storage para almacenar artefactos de software críticos.

• Implementa la firma digital para todos los artefactos de compilación. Configura canalizaciones de CI/CD para verificar la firma de un artefacto antes de implementarlo, lo que garantiza su integridad y procedencia.

• Configura el control de versiones de objetos en un bucket para conservar los objetos que se reemplazaron con datos maliciosos.

Denegación del servicio

Impacto

• Inundación de objetos: Un atacante usa una secuencia de comandos para crear rápidamente millones de objetos pequeños en un bucket, lo que aumenta los costos operativos y podría afectar las aplicaciones que enumeran o procesan el contenido del bucket.

• Abuso de salida: En el caso de un bucket que aloja grandes conjuntos de datos públicos, un atacante descarga archivos de forma reiterada, lo que provoca un agotamiento financiero a través de los costos de ancho de banda de salida. Este abuso puede hacer que el proyecto alcance las cuotas de facturación, lo que provoca una denegación del servicio.

• Configura alertas de Facturación de Cloud para notificar a los administradores cuando los costos superen un umbral de presupuesto predefinido, lo que te permitirá detectar gastos anómalos de forma anticipada.

• En el caso de los buckets de acceso público, habilita los pagos del solicitante. Esta función traslada el costo del acceso y la salida de datos al usuario que los descarga, lo que mitiga los ataques basados en costos de salida contra el propietario del bucket.

• Usa Storage Insights para supervisar la actividad a nivel del objeto. Storage Insights proporciona la visibilidad necesaria para la previsión de costos y la identificación de objetos con mucho tráfico que podrían ser objetivos de abuso de salida.

Manipulación

Impacto

• Reversión del parche de seguridad: Un atacante borra la versión más reciente de un archivo binario de aplicación o de configuración que contiene un parche de seguridad, lo que hace que el sistema vuelva a la versión anterior vulnerable.

• Corrupción de datos por reversión: En un sistema que depende de Cloud Storage para almacenar el estado o la configuración, un atacante revierte un objeto de configuración crítico a un estado anterior, lo que provoca errores de configuración del servicio o errores de procesamiento de datos.

• Manipulación de la integridad del modelo de IA: Un atacante podría sobrescribir o revertir un punto de control del modelo de IA almacenado en un bucket de Cloud Storage.

• Desarrolla aplicaciones que dependan de versiones específicas de objetos para recuperar el objeto por su número de generación único, no solo por su nombre. Esto garantiza que siempre se recupere la versión correcta.

• Usa un bloqueo del bucket con una política de retención definida para los datos que requieren almacenamiento inmutable.

• Configura una política de eliminación no definitiva como una capa adicional de defensa contra la eliminación maliciosa. El control de versiones de objetos no proporciona protección contra la eliminación de bucket.

Divulgación de información

Robo de datos

Exfiltración entre proyectos: Un atacante sube un archivo a un bucket de activación. La canalización de Dataflow, que se ejecuta con una cuenta de servicio privilegiada, lee datos sensibles de un proyecto diferente y escribe el resultado en un bucket público de Cloud Storage especificado por el archivo de entrada del atacante.

• Encierra la canalización de Dataflow y sus dependencias de Cloud Storage dentro de un perímetro de Controles del servicio de VPC para evitar que la canalización envíe datos a destinos externos no autorizados.

• Aplica el principio de privilegio mínimo a la cuenta de servicio del trabajador de Dataflow. Solo debe tener los permisos específicos necesarios para leer desde la fuente y escribir en el destino previsto.

• Habilita los registros de auditoría de acceso a los datos para los eventos de DATA_WRITE y, así, auditar la actividad sospechosa de la canalización de Dataflow.

• Habilita el acceso uniforme a nivel del bucket en tu bucket de Cloud Storage para garantizar un control de acceso coherente basado en IAM.

Manipulación

Impacto

Inhabilitación del control de seguridad: Un atacante altera el archivo de estado para mostrar un estado impreciso de una regla de firewall o una política de IAM de permiso. Es posible que el siguiente comando Terraform apply no aplique correctamente la configuración segura prevista.

• Habilita el control de versiones de objetos en el bucket de Cloud Storage que almacena el archivo de estado. El control de versiones de objetos te permite recuperar el archivo de estado en caso de modificación accidental o maliciosa.

• Implementa controles estrictos de IAM en el bucket del archivo de estado. Asegúrate de que solo la cuenta de servicio de CI/CD tenga acceso de escritura y de que los desarrolladores tengan acceso de solo lectura como máximo.

Elevación de privilegios

Elevación de privilegios

• Robo de metadatos: El atacante agrega comandos como curl -H 'Metadata-Flavor: Google' http://metadata.google.internal/... a la secuencia de comandos de inicio para robar tokens de cuentas de servicio o cualquier otro secreto.

• Shell inversa: El atacante inyecta un comando para iniciar una shell inversa desde la instancia de procesamiento hasta un servidor controlado por el atacante, lo que le otorga acceso interactivo.

• Almacena las secuencias de comandos de inicio en un bucket de Cloud Storage dedicado y estrictamente controlado. Aplica políticas de permisos de IAM de privilegio mínimo para que solo los administradores autorizados o las canalizaciones de CI/CD puedan modificar las secuencias de comandos. Considera una estrategia de clasificación de datos en la que configures etiquetas de recursos en los buckets que se usan para las secuencias de comandos de inicio y utilices el acceso condicional basado en etiquetas de IAM para restringir aún más el acceso.

• En lugar de extraer secuencias de comandos de Cloud Storage, inclúyelas en imágenes de máquinas personalizadas. Esta estrategia crea un artefacto inmutable que es menos susceptible a las modificaciones en el tiempo de ejecución.

Manipulación

Impacto

• Clasificación errónea segmentada: Un atacante inserta datos envenenados que hacen que un modelo de detección de fraude entrenado siempre clasifique las transacciones de una cuenta controlada por el atacante como legítimas.

• Evasión del modelo: Un atacante envenena los datos de entrenamiento de un modelo de detección de software malicioso con ejemplos de su software malicioso etiquetados como benignos, lo que provoca que el modelo final ignore sus herramientas específicas.

• Implementa controles de acceso sólidos en los buckets de Cloud Storage que contienen datos de entrenamiento. Aplica el principio de privilegio mínimo para otorgar acceso de escritura a estos buckets y realiza auditorías periódicas con herramientas como el Analizador de políticas.

• Considera una estrategia de clasificación de datos en la que configures etiquetas de recursos en los buckets que se usan para los datos de entrenamiento del AA y agregues condiciones basadas en etiquetas de IAM para restringir aún más el acceso.

• Audita las modificaciones no autorizadas en los objetos que se usan para los datos de entrenamiento. Configura el control de versiones de objetos, mantén las sumas de verificación y configura los registros de auditoría de acceso a los datos para el evento DATA_WRITE, de modo que se puedan auditar las anomalías de los eventos de creación de objetos relacionados con los datos de entrenamiento.

• Audita y valida periódicamente los modelos de AA para detectar comportamientos inesperados. Emplea técnicas de pruebas adversarias para detectar puertas traseras o vulnerabilidades ocultas que se hayan introducido durante el entrenamiento.

• Configura un perímetro de Controles del servicio de VPC para restringir el acceso a recursos sensibles, como datos de entrenamiento y otros servicios involucrados en la creación de modelos, desde fuera del perímetro de confianza.

Denegación del servicio

Impacto

• Agotamiento de recursos: Un atacante sube 10,000 archivos pequeños, lo que activa 10,000 invocaciones paralelas de funciones de Cloud Run que agotan la cuota de CPU, la memoria o los límites de frecuencia de la API de nivel inferior del proyecto.

• DoS basado en costos: El fan-out activa una gran cantidad de ejecuciones en un servicio pagado, lo que genera una factura enorme y una posible suspensión de la cuenta, lo que efectivamente deniega el servicio.

• Implementa controles de acceso seguros en los buckets de Cloud Storage que activan flujos de trabajo. Aplica el principio de privilegio mínimo para otorgar acceso de escritura a estos buckets y realiza auditorías periódicas con herramientas como el Analizador de políticas.

• Establece límites de simultaneidad en Cloud Run Functions basadas en eventos para controlar la cantidad máxima de ejecuciones paralelas y evitar el agotamiento de recursos.

• Implementa un mecanismo de eliminación de rebotes que, luego, invoca la lógica de procesamiento principal. Un ejemplo de mecanismo de eliminación de rebotes es agregar una tarea a una cola de Cloud Tasks con límites de frecuencia. Este mecanismo ayuda a administrar los aumentos repentinos en el volumen de solicitudes, ya que las distribuye a lo largo del tiempo.

• Configura un perímetro de Controles del servicio de VPC para restringir el acceso a recursos sensibles, como escribir en un bucket que activa un flujo de trabajo, desde fuera del perímetro de confianza.

Divulgación de información

Robo de datos

• Redireccionamiento del trabajo de copia de seguridad: Un atacante con permisos para editar la configuración de un trabajo de copia de seguridad cambia la ruta de acceso del bucket de Cloud Storage de destino a gs://attacker-public-bucket/.

• Copia de seguridad entre proyectos: El atacante configura un nuevo trabajo de copia de seguridad dentro de un proyecto vulnerado para leer datos de una fuente sensible y crear una copia de seguridad en un bucket de un proyecto de Google Cloud diferente controlado por el atacante.

• Asegúrate de que las cuentas de servicio de la herramienta de copia de seguridad tengan permisos de alcance limitado. Configura las herramientas de copia de seguridad para que solo puedan escribir en buckets de copia de seguridad específicos y designados, y no leer desde ubicaciones arbitrarias.

• Usa los Controles del servicio de VPC para evitar que los servicios de copia de seguridad accedan a fuentes de datos sensibles y escriban en buckets de Cloud Storage fuera de un perímetro seguro.

Elevación de privilegios

Evasión de defensa

• Acceso público a nivel del objeto: Un atacante con el permiso storage.objects.update agrega una LCA de lectura pública a un objeto sensible, lo que lo hace accesible para cualquier persona en Internet y elude una política de permisos restrictiva del bucket.

• Acceso entre cuentas: Un atacante asigna a su cuenta externa el permiso OWNER en un objeto de configuración crítico con una LCA, lo que le permite modificar el objeto sin que lo detecten las auditorías de IAM.

• Habilita el acceso uniforme a nivel de bucket en todos los buckets de Cloud Storage. El acceso uniforme a nivel del bucket inhabilita todas las LCA y garantiza que IAM sea el único método coherente para administrar el acceso, lo que simplifica las auditorías y evita este bypass.

• Usa la restricción de política de la organización constraints/storage.uniformBucketLevelAccess para aplicar el acceso uniforme a nivel del bucket en todos los buckets nuevos de un proyecto, una carpeta o una organización.

Manipulación

Impacto

• Paso de compilación malicioso: Un atacante agrega un paso a una canalización de CI/CD que borra todos los datos. Por ejemplo, el atacante agrega un paso en cloudbuild.yaml que ejecuta un comando como gcloud storage rm -r gs://critical-bucket/.

• Herencia de privilegios: El atacante usa la cuenta de servicio de la canalización vulnerada, que tiene permisos amplios, para otorgar a su propia cuenta acceso administrativo a los buckets de Cloud Storage para su uso posterior.

• Aplica el principio de privilegio mínimo a las cuentas de servicio de CI/CD. Por ejemplo, no asignes permisos de canalización de compilación para borrar buckets de producción. Usa identidades separadas para las diferentes etapas de la canalización, como la compilación, la prueba o la implementación.

• Protege los buckets críticos de Cloud Storage contra la eliminación habilitando el bloqueo de bucket o el bloqueo de objeto, o bien asegurándote de que la cuenta de servicio de CI/CD no tenga el permiso storage.buckets.delete.

Elevación de privilegios

Elevación de privilegios

• Pérdida catastrófica de datos: Un atacante vulnera una cuenta de emergencia mal administrada y ejecuta una secuencia de comandos para borrar todos los buckets de Cloud Storage en un proyecto.

• Extorsión: Un atacante obtiene acceso y amenaza con borrar buckets críticos a menos que se pague un rescate.

• Implementa el acceso justo a tiempo (JIT) para los procedimientos de emergencia en lugar de usar cuentas con privilegios permanentes. Otorga permisos a pedido por un tiempo limitado y para un propósito específico.

• Aplica un bloqueo de bucket a los buckets que contengan objetos críticos o un bloqueo de objeto a objetos individuales. Los bloqueos impiden que se borre el bucket y sus objetos, incluso por parte de usuarios con permisos de propietario, durante un período de retención específico.

Divulgación de información

Robo de datos

• Redireccionamiento del receptor de registros: Un atacante modifica la propiedad de destino de un receptor de registros existente para que apunte a su propio bucket de Cloud Storage.

• Creación de filtros maliciosos: Un atacante crea un receptor con un filtro que se dirige específicamente a los registros que contienen información sensible (por ejemplo, PII o tokens) y los exporta.

• Supervisa los registros de auditoría de Cloud para las llamadas a las APIs de CreateSink y UpdateSink. Configura alertas para notificar a los equipos de seguridad sobre cualquier receptor de registros nuevo o modificado para asegurarte de que estén autorizados.

• Configura un perímetro de Controles del servicio de VPC para mitigar el robo de datos.

Manipulación

Impacto

• Destrucción de claves: Un atacante con permiso de cloudkms.cryptoKeyVersions.destroy destruye de forma permanente una versión de clave, lo que imposibilita la recuperación de datos.

• Inhabilitación de la clave: Un atacante con permiso de cloudkms.cryptoKeyVersions.disable inhabilita una clave, lo que hace que los datos de Cloud Storage sean ilegibles hasta que se vuelva a habilitar la clave. Esta acción puede causar una interrupción prolongada.

• Aplicar una duración mínima para el estado de destrucción programada antes de que se puedan destruir las claves de Cloud KMS De forma predeterminada, este período es de 30 días, pero puedes configurar un período de entre 1 y 120 días cuando se crea una clave por primera vez. No puedes modificar este período después de que se borra una clave. Considera aplicar la restricción de la política de la organización constraints/cloudkms.minimumDestroyScheduledDuration para garantizar que no se puedan crear claves con un período de destrucción programada inferior al mínimo esperado.

• Limita estrictamente el acceso a los roles de administrador de Cloud KMS. Separa las tareas de uso de claves de las de administración de claves para evitar que una sola cuenta vulnerada use y destruya claves.

• Rota periódicamente las claves de Cloud KMS y elige un período de rotación según los requisitos de sensibilidad o cumplimiento de tu carga de trabajo.

Divulgación de información

Robo de datos

• Instantánea de disco en un bucket público: Un desarrollador interno con permisos de compute.snapshots.create y storage.objectAdmin crea una instantánea de un disco de VM que contiene secretos y la exporta a un bucket público de Cloud Storage.

• Exportación de la base de datos: Un atacante con permiso de cloudsql.instances.export exporta una base de datos de producción a un bucket de Cloud Storage en un proyecto controlado por el atacante.

• Asegúrate de que los proyectos designados para copias de seguridad y snapshots tengan políticas de IAM y de Controles del servicio de VPC que sean al menos tan estrictas como las de los proyectos de origen para mantener una postura de seguridad coherente.

• Considera una estrategia de clasificación de datos en la que configures etiquetas de recursos en los buckets que se usan para las copias de seguridad y agregues condiciones de acceso basadas en etiquetas de IAM para restringir aún más el acceso.