Laporan model ancaman Cloud Storage

Pengungkapan Informasi

Koleksi

• Eksposur bucket publik: Bucket Cloud Storage dibuat publik dengan memberikan peran seperti Storage Object Viewer kepada akun allUsers atau allAuthenticatedUsers dalam kebijakan izin IAM-nya. Jika pencegahan akses publik tidak diterapkan, peran ini akan mengekspos semua objek ke internet.

• Kebocoran URL bertanda tangan: URL bertanda tangan, yang bertindak sebagai token pembawa sementara, secara tidak sengaja bocor melalui kode sisi klien, log, atau transmisi yang tidak aman. Setiap pengguna atau aplikasi eksternal yang mendapatkan URL dapat mengakses objek Cloud Storage yang ditentukan dengan izin (misalnya, baca atau tulis) hingga tanda tangan URL berakhir.

• Izin IAM yang terlalu luas: Identitas, seperti akun pengguna atau akun layanan, diberi izin yang luas (misalnya, storage.objects.get atau storage.objects.list) di banyak bucket padahal identitas tersebut hanya memerlukan akses ke sebagian kecil data.

• Kredensial identitas yang disusupi: Penyerang mendapatkan kredensial untuk akun pengguna atau kunci akun layanan, sehingga mereka dapat melakukan autentikasi ke Cloud Storage JSON API dan mengakses semua data yang diizinkan untuk dilihat oleh identitas yang disusupi.

• Kesalahan konfigurasi load balancer: Instance Cloud Load Balancing yang dikonfigurasi dengan bucket Cloud Storage sebagai backend dapat salah dikonfigurasi sehingga mengekspos objek secara publik, meskipun bucket itu sendiri tidak bersifat publik. Kesalahan konfigurasi ini membuat jalur akses alternatif yang berpotensi kurang aman ke data, dengan melewati kontrol IAM Cloud Storage langsung.

• Caching CDN yang tidak tepat: Jika bucket Cloud Storage digunakan sebagai backend untuk Cloud Load Balancing dan Cloud CDN, kesalahan konfigurasi dapat menyebabkan data sensitif di-cache di lokasi edge publik Google. Jika layanan backend tidak memancarkan header Cache-Control yang benar (misalnya, private atau no-store), CDN dapat menayangkan konten yang di-cache kepada pengguna yang tidak berwenang, sehingga melewati pemeriksaan IAM bucket.

• Terapkan pencegahan akses publik pada setiap bucket penyimpanan atau di tingkat project, folder, atau organisasi dengan batasan kebijakan organisasi storage.publicAccessPrevention.

• Gunakan akses level bucket yang seragam untuk menyederhanakan izin dan menghindari ACL lama.

• Konfigurasi kunci enkripsi yang dikelola pelanggan (CMEK) untuk melindungi data dengan enkripsi dalam penyimpanan.

• Tetapkan waktu habis masa berlaku URL bertanda tangan sesingkat mungkin.

• Audit secara rutin dan hapus kunci akun layanan yang disusupi atau tidak digunakan.

• Terapkan Kontrol Layanan VPC untuk membuat perimeter layanan dan mencegah pemindahan data yang tidak sah meskipun kredensial dicuri.

• Pastikan kebijakan Cloud Armor diterapkan ke load balancer yang menyajikan konten Cloud Storage untuk membatasi akses.

Peningkatan Hak Istimewa

Eskalasi Akses

• Modifikasi kebijakan langsung: Identitas, seperti pengguna atau akun layanan, yang diberi izin storage.buckets.setIamPolicy pada bucket Cloud Storage dapat langsung mengubah kebijakan izinkannya. Konfigurasi ini memungkinkan penyerang memberikan peran dengan hak istimewa tinggi kepada dirinya sendiri, seperti Storage Admin, sehingga menyebabkan kontrol penuh atas konfigurasi dan data bucket.

• Peniruan identitas akun layanan: Identitas dengan peran seperti roles/iam.serviceAccountUser yang berisi izin iam.serviceAccounts.actAs pada akun layanan dapat melampirkan akun layanan ke resource lain, seperti instance Compute Engine, untuk menjalankan kode dengan identitas akun layanan yang dilampirkan. Atau, identitas dengan peran seperti roles/iam.serviceAccountTokenCreator yang memiliki izin termasuk iam.serviceAccounts.getAccessToken dapat membuat token akses untuk akun layanan tersebut. Jika akun layanan target memiliki izin yang ditingkatkan pada resource Cloud Storage, penyerang secara efektif mewarisi hak istimewa tersebut.

• Pembuatan URL bertanda tangan: Identitas dengan izin iam.serviceAccounts.signBlob pada akun layanan dapat membuat URL bertanda tangan V4. URL ini memungkinkan penyerang membuat akses token pembawa sementara ke objek yang dapat dibaca atau ditulis oleh akun layanan, sehingga berpotensi melewati kontrol jaringan yang lebih ketat atau kurangnya izin Cloud Storage langsung penyerang.

• Ikuti prinsip hak istimewa terendah. Hindari menambahkan izin seperti storage.buckets.setIamPolicy, iam.serviceAccounts.actAs, atau iam.serviceAccounts.signBlob ke peran kecuali jika benar-benar diperlukan. Gunakan kondisi IAM untuk membatasi izin ke resource atau jangka waktu tertentu. Audit kebijakan izin secara rutin menggunakan alat seperti Inventaris Aset Cloud untuk mendeteksi dan menghapus izin yang berlebihan.

• Pastikan aplikasi yang menangani URL bertanda tangan tidak mencatatnya atau mengeksposnya dengan cara yang dapat di-scraping oleh pihak ketiga. Misalnya, jika menggunakan Cloud CDN untuk menyimpan URL bertanda tangan ke dalam cache, tetapkan header Cache-Control yang sesuai untuk menghindari penyimpanan objek sensitif yang seharusnya bersifat pribadi dan diautentikasi melalui URL bertanda tangan ke dalam cache secara publik.

Gangguan

Dampak

• Manipulasi objek langsung: Identitas dengan izin storage.objects.create atau storage.objects.delete dapat menimpa atau menghancurkan objek Cloud Storage individual.

• Penyalahgunaan kebijakan siklus proses: Penyerang dengan izin storage.buckets.update dapat mengubah konfigurasi Pengelolaan Siklus Proses Objek bucket untuk membuat aturan yang menghapus semua objek secara langsung atau setelah jangka waktu singkat, sehingga menyebabkan penghancuran data massal.

• Penghapusan bucket: Penyerang dengan hak istimewa tinggi yang memiliki izin storage.buckets.delete dapat menghapus seluruh bucket Cloud Storage, sehingga langsung menghancurkan semua objek, konfigurasi, dan kebijakan yang terkait dengannya.

• Pembajakan notifikasi: Penyerang dengan izin storage.buckets.update dapat mengubah atau menghapus konfigurasi notifikasi Pub/Sub secara berbahaya. Serangan ini dapat membuat sistem hilir yang mengandalkan peristiwa ini menjadi tidak berfungsi atau mengalihkan notifikasi ke topik yang dikontrol penyerang.

• Jika Anda memerlukan penyimpanan yang tidak dapat diubah atau periode retensi minimum, konfigurasi penguncian bucket untuk seluruh bucket, atau penguncian objek untuk setiap objek.

• Konfigurasi pembuatan versi objek dan kebijakan penghapusan sementara untuk merencanakan pemulihan terhadap penulisan ulang yang tidak disengaja atau berbahaya pada bucket yang berisi data penting. Terapkan periode penghapusan sementara yang ditentukan yang memberi Anda waktu yang cukup untuk mendeteksi dan memulihkan objek sebelum penghapusan permanen.

• Aktifkan log audit Akses Data di bucket yang berisi data penting untuk membantu memantau pola akses yang tidak biasa.

Pengungkapan Informasi

Pemindahan yang tidak sah

Pembuatan tugas transfer berbahaya: Penyerang dengan izin storagetransfer.transferjobs.create atau storagetransfer.transferjobs.update membuat atau mengubah tugas Storage Transfer Service untuk menyalin data dari bucket Cloud Storage sensitif ke bucket yang dikontrol penyerang di project lain.

• Batasi izin IAM secara ketat untuk storagetransfer.transferjobs.create dan storagetransfer.transferjobs.update. Hanya tetapkan izin ini ke peran yang digunakan oleh akun administratif tepercaya.

• Terapkan perimeter Kontrol Layanan VPC untuk membatasi komunikasi antara layanan di dalam perimeter dan layanan di luar perimeter.

• Gunakan kondisi IAM pada peran yang memberikan izin tugas transfer untuk membatasi bucket sumber dan tujuan ke lokasi yang diketahui dan diizinkan.

• Pantau Cloud Audit Logs secara rutin untuk pembuatan dan modifikasi tugas Storage Transfer Service. Konfigurasi pemberitahuan untuk tugas apa pun yang menentukan tujuan eksternal atau tidak tepercaya.

Gangguan

Dampak

• CMEK tidak tersedia: Jika bucket Cloud Storage dikonfigurasi untuk menggunakan CMEK, menonaktifkan atau menghapus kunci Cloud KMS pendukung akan membuat semua objek yang dienkripsi dengan kunci tersebut tidak dapat diakses secara kriptografis. Agen layanan Cloud Storage tidak dapat melakukan dekripsi, yang mengakibatkan penolakan layanan total untuk data tersebut.

• Penguncian bucket berbahaya: Penyerang dengan izin storage.buckets.update dapat menerapkan penguncian bucket dengan periode retensi yang terlalu lama. Kunci ini mencegah penghapusan data yang sah, yang dapat menyebabkan akumulasi biaya yang signifikan dan tidak perlu, suatu bentuk penolakan layanan finansial.

• Terapkan kebijakan izin IAM yang ketat dan pemisahan tugas untuk administrasi Cloud KMS. Pastikan identitas dengan izin untuk mengelola bucket Cloud Storage tidak memiliki izin untuk mengelola kunci Cloud KMS yang digunakan bucket.

• Gunakan mekanisme pencegahan penghapusan kunci Cloud KMS.

• Untuk kunci bucket, kontrol izin storage.buckets.update dengan ketat dan gunakan pemantauan untuk memberikan notifikasi jika ada perubahan konfigurasi yang tidak terduga.

Penyangkalan

Penghindaran Pertahanan

• Log Akses Data dinonaktifkan: Meskipun log Aktivitas Admin selalu aktif, log Akses Data, yang mencatat pembacaan dan penulisan objek, dinonaktifkan secara default. Jika tidak diaktifkan secara eksplisit, penyerang dapat mengeksfiltrasi atau memalsukan semua data dalam bucket, tanpa membuat Cloud Audit Logs untuk tindakan tersebut, sehingga pelanggaran sulit dideteksi atau diselidiki.

• Manipulasi sink log: Penyerang yang mendapatkan izin yang memadai dapat menonaktifkan atau mengonfigurasi ulang sink log yang merutekan Cloud Audit Logs, sehingga secara efektif menghentikan aliran data yang relevan dengan keamanan ke sistem pemantauan.

• Pengabaian pemantauan metrik: Penyerang melakukan aktivitas lambat dan bertahap, seperti secara bertahap mengekstraksi sejumlah kecil data selama jangka waktu yang lama. Tindakan ini mungkin tidak memicu pemberitahuan tingkat keparahan tinggi di Cloud Audit Logs, tetapi akan membuat pola anomali dalam metrik Cloud Monitoring (misalnya, traffic keluar yang berkelanjutan). Kegagalan memantau metrik ini memberikan cara lain bagi penyerang untuk tetap tidak terdeteksi.

• Aktifkan log audit Akses Data untuk semua bucket yang berisi data sensitif atau penting.

• Pastikan log dirutekan ke project pencatatan log terpusat yang aman dengan izin yang dikontrol secara ketat untuk mencegah gangguan pada sink log.

• Konfigurasi pemberitahuan berbasis log di Cloud Monitoring atau SIEM untuk mendeteksi aktivitas mencurigakan secara aktif, seperti pola akses yang tidak normal atau perubahan kebijakan izin IAM.

• Buat pemberitahuan berdasarkan metrik utama Cloud Monitoring untuk mendeteksi penyimpangan dari perilaku dasar.

• Gunakan dasbor dan data insight Storage Intelligence bawaan dari Pengelolaan Postur Keamanan Data untuk menyediakan pemantauan eksposur risiko tingkat objek dan penilaian postur keamanan yang berkelanjutan.

Gangguan

Akses Awal

• Penggantian biner: Penyerang menimpa biner atau library rilis dengan versi yang berisi trojan. Saat artefak ini ditarik ke dalam build atau di-deploy, kode penyerang akan berjalan dalam lingkungan target.

• Keracunan image container: Penyerang yang memiliki akses ke bucket yang digunakan sebagai backend untuk registry container (misalnya, Artifact Registry) berpotensi merusak lapisan image, menyuntikkan kerentanan atau pintu belakang.

• Modifikasi skrip build: Penyerang memodifikasi skrip build (misalnya, cloudbuild.yaml atau Makefile), yang disimpan di Cloud Storage untuk mengubah proses build itu sendiri. Penyerang dapat mengubah skrip build untuk mengekstraksi rahasia atau menyematkan pintu belakang selama kompilasi.

• Peracunan model AI: Penyerang dapat menukar checkpoint model yang valid di Cloud Storage dengan checkpoint berbahaya yang menjalankan kode saat dimuat oleh sistem produksi. Atau, penyerang dapat mengubah data di bucket Cloud Storage yang digunakan untuk pelatihan model guna menyisipkan pintu belakang atau perilaku berbahaya ke dalam model terlatih.

• Gunakan layanan pengelolaan artefak khusus seperti Artifact Registry yang menyediakan pemindaian kerentanan dan kontrol akses yang lebih baik. Hindari penggunaan bucket Cloud Storage standar untuk menyimpan artefak software penting.

• Menerapkan penandatanganan digital untuk semua artefak build. Konfigurasi pipeline CI/CD untuk memverifikasi tanda tangan artefak sebelum men-deploy-nya, sehingga memastikan integritas dan asal-usulnya.

• Konfigurasi pembuatan versi objek di bucket untuk mempertahankan objek yang ditimpa dengan data berbahaya.

Denial of Service

Dampak

• Membanjiri objek: Penyerang menggunakan skrip untuk membuat jutaan objek kecil dengan cepat dalam bucket, sehingga meningkatkan biaya operasional dan berpotensi memengaruhi aplikasi yang mencantumkan atau memproses konten bucket.

• Penyalahgunaan keluar (egress): Untuk bucket yang menghosting set data publik berukuran besar, penyerang berulang kali mendownload file, sehingga menyebabkan kerugian finansial melalui biaya bandwidth keluar (egress). Penyalahgunaan ini dapat menyebabkan project mencapai kuota penagihan, sehingga menyebabkan penolakan layanan.

• Konfigurasi pemberitahuan Penagihan Cloud untuk memberi tahu administrator saat biaya melebihi batas anggaran yang telah ditentukan sebelumnya, sehingga Anda dapat mendeteksi pembelanjaan yang tidak normal sejak awal.

• Untuk bucket yang dapat diakses secara publik, aktifkan Requester Pays. Fitur ini mengalihkan biaya akses dan traffic keluar data kepada pengguna yang mendownload data, sehingga mengurangi serangan biaya berbasis traffic keluar terhadap pemilik bucket.

• Gunakan Storage Insights untuk memantau aktivitas tingkat objek. Storage Insights memberikan visibilitas yang diperlukan untuk memperkirakan biaya dan mengidentifikasi objek dengan traffic tinggi yang mungkin menjadi target penyalahgunaan keluar (egress).

Gangguan

Dampak

• Pengembalian patch keamanan: Penyerang menghapus versi terbaru file biner atau file konfigurasi aplikasi yang berisi patch keamanan, sehingga sistem kembali ke versi sebelumnya yang rentan.

• Kerusakan data akibat pengembalian: Dalam sistem yang mengandalkan Cloud Storage untuk menyimpan status atau konfigurasi, penyerang mengembalikan objek konfigurasi penting ke status yang lebih lama, sehingga menyebabkan kesalahan konfigurasi layanan atau kesalahan pemrosesan data.

• Manipulasi integritas model AI: Penyerang dapat mengganti atau mengembalikan checkpoint model AI yang disimpan di bucket Cloud Storage.

• Mengembangkan aplikasi yang mengandalkan versi objek tertentu untuk mengambil objek berdasarkan nomor generasi uniknya, bukan hanya namanya. Hal ini memastikan versi yang benar selalu diambil.

• Gunakan kunci bucket dengan kebijakan retensi yang ditentukan untuk data yang memerlukan penyimpanan tidak dapat diubah.

• Konfigurasi kebijakan penghapusan sementara sebagai lapisan pertahanan tambahan terhadap penghapusan berbahaya. Pembuatan versi objek tidak memberikan perlindungan terhadap penghapusan bucket.

Pengungkapan Informasi

Pemindahan yang tidak sah

Pencurian data lintas project: Penyerang mengupload file ke bucket pemicu. Pipeline Dataflow, yang berjalan dengan akun layanan yang memiliki hak istimewa, membaca data sensitif dari project lain dan menulis output ke bucket Cloud Storage publik yang ditentukan oleh file input penyerang.

• Sertakan pipeline Dataflow dan dependensi Cloud Storage-nya dalam perimeter Kontrol Layanan VPC untuk mencegah pipeline mengirim data ke tujuan eksternal yang tidak sah.

• Terapkan prinsip hak istimewa terendah ke akun layanan pekerja Dataflow. Akun ini hanya boleh memiliki izin khusus yang diperlukan untuk membaca dari sumber dan menulis ke tujuan yang dimaksud.

• Aktifkan log audit Akses Data untuk peristiwa DATA_WRITE guna membantu mengaudit aktivitas mencurigakan dari pipeline Dataflow.

• Aktifkan akses level bucket yang seragam di bucket Cloud Storage Anda untuk memastikan kontrol akses berbasis IAM yang konsisten.

Gangguan

Dampak

Penonaktifan kontrol keamanan: Penyerang mengubah file status untuk menampilkan status yang tidak akurat untuk aturan firewall atau kebijakan izinkan IAM. Penerapan Terraform berikutnya mungkin tidak menerapkan konfigurasi aman yang dimaksud dengan benar.

• Aktifkan pembuatan versi objek di bucket Cloud Storage yang menyimpan file status. Pembuatan versi objek memungkinkan Anda memulihkan file status jika terjadi modifikasi yang tidak disengaja atau berbahaya.

• Terapkan kontrol IAM yang ketat pada bucket file status. Pastikan hanya akun layanan CI/CD yang memiliki akses tulis, dan developer memiliki akses hanya baca.

Peningkatan Hak Istimewa

Eskalasi Akses

• Pencurian metadata: Penyerang menambahkan perintah seperti curl -H 'Metadata-Flavor: Google' http://metadata.google.internal/... ke skrip startup untuk mencuri token akun layanan atau secret lainnya.

• Reverse shell: Penyerang menyuntikkan perintah untuk memulai reverse shell dari instance komputasi ke server yang dikontrol penyerang, sehingga memberikan akses interaktif kepada mereka.

• Simpan skrip startup di bucket Cloud Storage khusus yang dikontrol dengan ketat. Terapkan kebijakan izin IAM hak istimewa terendah sehingga hanya administrator atau pipeline CI/CD yang berwenang yang dapat mengubah skrip. Pertimbangkan strategi klasifikasi data tempat Anda mengonfigurasi tag resource pada bucket yang digunakan untuk skrip startup, dan gunakan akses bersyarat berbasis tag IAM untuk lebih membatasi akses.

• Alih-alih menarik skrip dari Cloud Storage, sertakan skrip tersebut dalam image mesin kustom. Strategi ini membuat artefak immutable yang tidak terlalu rentan terhadap modifikasi runtime.

Gangguan

Dampak

• Kesalahan klasifikasi yang ditargetkan: Penyerang memasukkan data yang telah dirusak yang menyebabkan model deteksi penipuan yang terlatih selalu mengklasifikasikan transaksi dari akun yang dikontrol penyerang sebagai sah.

• Penghindaran model: Penyerang merusak data pelatihan model deteksi malware dengan contoh malware mereka yang diberi label tidak berbahaya, sehingga model akhir mengabaikan alat spesifik mereka.

• Terapkan kontrol akses yang kuat pada bucket Cloud Storage yang berisi data pelatihan. Terapkan prinsip hak istimewa terendah untuk memberikan akses tulis ke bucket ini, dan lakukan audit secara rutin dengan alat seperti Penganalisis Kebijakan.

• Pertimbangkan strategi klasifikasi data tempat Anda mengonfigurasi tag resource pada bucket yang digunakan untuk data pelatihan ML, dan menambahkan kondisi berbasis tag IAM untuk lebih membatasi akses.

• Lakukan audit untuk mengetahui apakah ada modifikasi tidak sah pada objek yang digunakan untuk data pelatihan. Konfigurasi pembuatan versi objek, pertahankan checksum, dan konfigurasi log audit Akses Data untuk peristiwa DATA_WRITE guna membantu mengaudit anomali untuk peristiwa pembuatan objek yang terkait dengan data pelatihan.

• Audit dan validasi model ML secara rutin untuk mengetahui perilaku yang tidak terduga. Gunakan teknik pengujian adversarial untuk menyelidiki backdoor atau kerentanan tersembunyi yang muncul selama pelatihan.

• Konfigurasi perimeter Kontrol Layanan VPC untuk membatasi akses ke resource sensitif, seperti data pelatihan dan layanan lain yang terlibat dalam pembuatan model, dari luar perimeter tepercaya.

Denial of Service

Dampak

• Penggunaan resource berlebihan: Penyerang mengupload 10.000 file kecil, yang memicu 10.000 pemanggilan fungsi Cloud Run paralel yang menghabiskan kuota CPU, memori, atau batas kecepatan API hilir project.

• DoS berbasis biaya: Fan-out memicu eksekusi dalam jumlah besar di layanan berbayar, sehingga menyebabkan tagihan yang sangat besar dan potensi penangguhan akun, yang secara efektif menolak layanan.

• Terapkan kontrol akses yang kuat pada bucket Cloud Storage yang memicu alur kerja. Terapkan prinsip hak istimewa terendah untuk memberikan akses tulis ke bucket ini, dan lakukan audit secara rutin dengan alat seperti Penganalisis Kebijakan.

• Tetapkan batas konkurensi pada fungsi Cloud Run yang didorong oleh peristiwa untuk mengontrol jumlah maksimum eksekusi paralel, sehingga mencegah kehabisan resource.

• Terapkan mekanisme penghilangan getaran, yang kemudian memanggil logika pemrosesan utama. Contoh mekanisme penghilangan derau adalah menambahkan tugas ke antrean Cloud Tasks dengan batas kecepatan. Mekanisme ini membantu mengelola lonjakan volume permintaan secara tiba-tiba dengan menyebarkannya dari waktu ke waktu.

• Konfigurasi perimeter Kontrol Layanan VPC untuk membatasi akses ke resource sensitif, seperti menulis ke bucket yang memicu alur kerja, dari luar perimeter tepercaya.

Pengungkapan Informasi

Pemindahan yang tidak sah

• Pengalihan tugas pencadangan: Penyerang dengan izin untuk mengedit konfigurasi tugas pencadangan mengubah jalur bucket Cloud Storage target menjadi gs://attacker-public-bucket/.

• Pencadangan lintas project: Penyerang mengonfigurasi tugas pencadangan baru dalam project yang disusupi untuk membaca data dari sumber sensitif dan mencadangkannya ke bucket dalam project Google Cloud lain yang dikontrol penyerang.

• Pastikan akun layanan alat pencadangan memiliki izin dengan cakupan sempit. Siapkan alat pencadangan agar hanya dapat menulis ke bucket cadangan tertentu yang telah ditetapkan dan tidak dapat membaca dari lokasi arbitrer.

• Gunakan Kontrol Layanan VPC untuk mencegah layanan pencadangan mengakses sumber data sensitif dan menulis ke bucket Cloud Storage di luar perimeter yang aman.

Peningkatan Hak Istimewa

Penghindaran Pertahanan

• Akses publik tingkat objek: Penyerang dengan izin storage.objects.update menambahkan ACL baca publik ke objek sensitif, sehingga dapat diakses oleh siapa pun di internet, dengan melewati kebijakan izin bucket yang ketat.

• Akses lintas-akun: Penyerang menetapkan izin PEMILIK untuk akun eksternalnya pada objek konfigurasi penting menggunakan ACL, sehingga mereka dapat mengubah objek tanpa terdeteksi oleh audit IAM.

• Aktifkan akses level bucket yang seragam di semua bucket Cloud Storage. Akses level bucket yang seragam menonaktifkan semua ACL dan memastikan bahwa IAM adalah satu-satunya metode yang konsisten untuk mengelola akses, sehingga menyederhanakan audit dan mencegah pengabaian ini.

• Gunakan batasan kebijakan organisasi constraints/storage.uniformBucketLevelAccess untuk menerapkan akses level bucket yang seragam di semua bucket baru dalam project, folder, atau organisasi.

Gangguan

Dampak

• Langkah build berbahaya: Penyerang menambahkan langkah ke pipeline CI/CD yang menghapus semua data. Misalnya, penyerang menambahkan langkah di cloudbuild.yaml yang menjalankan perintah seperti gcloud storage rm -r gs://critical-bucket/.

• Pewarisan hak istimewa: Penyerang menggunakan akun layanan pipeline yang telah disusupi, yang memiliki izin luas, untuk memberikan akses administratif ke akun penyerang sendiri ke bucket Cloud Storage untuk digunakan nanti.

• Terapkan prinsip hak istimewa terendah ke akun layanan CI/CD. Misalnya, jangan tetapkan izin pipeline build untuk menghapus bucket produksi. Gunakan identitas terpisah untuk tahap pipeline yang berbeda, seperti build, pengujian, atau deployment.

• Lindungi bucket Cloud Storage penting dari penghapusan dengan mengaktifkan kunci bucket atau kunci objek, atau dengan memastikan akun layanan CI/CD tidak memiliki izin storage.buckets.delete.

Peningkatan Hak Istimewa

Eskalasi Akses

• Kehilangan data yang parah: Penyerang membobol akun break-glass yang dikelola dengan buruk dan menjalankan skrip untuk menghapus semua bucket Cloud Storage dalam project.

• Pemerasan: Penyerang mendapatkan akses dan mengancam akan menghapus bucket penting kecuali jika tebusan dibayar.

• Terapkan akses tepat waktu (JIT) untuk prosedur akses darurat, bukan menggunakan akun dengan hak istimewa tetap. Memberikan izin sesuai permintaan untuk waktu terbatas dan untuk tujuan tertentu.

• Terapkan kunci bucket ke bucket yang berisi objek penting, atau kunci objek ke tiap-tiap objek. Kunci mencegah penghapusan bucket dan objeknya, bahkan oleh pengguna dengan izin pemilik, selama periode retensi yang ditentukan.

Pengungkapan Informasi

Pemindahan yang tidak sah

• Pengalihan sink log: Penyerang mengubah properti tujuan sink log yang ada agar mengarah ke bucket Cloud Storage miliknya.

• Pembuatan filter berbahaya: Penyerang membuat sink dengan filter yang secara khusus menargetkan log yang berisi informasi sensitif (misalnya, PII atau token) dan mengekspornya.

• Pantau Cloud Audit Logs untuk panggilan API CreateSink dan UpdateSink. Konfigurasi pemberitahuan untuk memberi tahu tim keamanan tentang sink log baru atau yang diubah untuk memastikan sink log tersebut diberi otorisasi.

• Konfigurasi perimeter Kontrol Layanan VPC untuk memitigasi pemindahan data yang tidak sah.

Gangguan

Dampak

• Penghancuran kunci: Penyerang dengan izin cloudkms.cryptoKeyVersions.destroy menghancurkan versi kunci secara permanen, sehingga pemulihan data tidak mungkin dilakukan.

• Penonaktifan kunci: Penyerang dengan izin cloudkms.cryptoKeyVersions.disable menonaktifkan kunci, sehingga data Cloud Storage tidak dapat dibaca hingga kunci diaktifkan kembali. Tindakan ini dapat menyebabkan gangguan yang berkepanjangan.

• Menerapkan durasi minimum untuk status dijadwalkan untuk dihancurkan sebelum kunci Cloud KMS dapat dihancurkan. Secara default, periode ini adalah 30 hari, tetapi Anda dapat mengonfigurasi periode dari 1 hingga 120 hari pada saat kunci pertama kali dibuat. Anda tidak dapat mengubah periode ini setelah kunci dihapus. Pertimbangkan untuk menerapkan batasan kebijakan organisasi constraints/cloudkms.minimumDestroyScheduledDuration untuk memastikan bahwa kunci tidak dapat dibuat dengan periode dijadwalkan untuk dimusnahkan yang kurang dari minimum yang Anda harapkan.

• Batasi akses ke peran administratif Cloud KMS secara ketat. Pisahkan tugas penggunaan kunci dari administrasi kunci untuk mencegah satu akun yang dibobol menggunakan dan menghancurkan kunci.

• Rotasi kunci Cloud KMS secara berkala, dengan memilih periode rotasi berdasarkan sensitivitas atau persyaratan kepatuhan workload Anda.

Pengungkapan Informasi

Pemindahan yang tidak sah

• Snapshot disk ke bucket publik: Developer internal dengan izin compute.snapshots.create dan storage.objectAdmin membuat snapshot disk VM yang berisi rahasia dan mengekspornya ke bucket Cloud Storage publik.

• Ekspor database: Penyerang dengan izin cloudsql.instances.export mengekspor database produksi ke bucket Cloud Storage dalam project yang dikontrol penyerang.

• Pastikan project yang ditetapkan untuk pencadangan dan snapshot memiliki kebijakan IAM dan Kontrol Layanan VPC yang setidaknya seketat project sumber untuk mempertahankan postur keamanan yang konsisten.

• Pertimbangkan strategi klasifikasi data tempat Anda mengonfigurasi tag resource pada bucket yang digunakan untuk pencadangan, dan menambahkan kondisi akses berbasis tag IAM untuk lebih membatasi akses.