Relatório do modelo de ameaças do Cloud Storage

Divulgação de informações

Coleção

• Exposição de bucket público:um bucket do Cloud Storage é tornado público ao conceder papéis como Storage Object Viewer a contas allUsers ou allAuthenticatedUsers na política de permissão do IAM. Se a prevenção de acesso público não for aplicada, essas funções vão expor todos os objetos à Internet.

• Vazamento de URL assinado:um URL assinado, que funciona como um token de portador temporário, é vazado inadvertidamente por código do lado do cliente, registros ou transmissão não segura. Qualquer usuário ou aplicativo externo que obtenha o URL pode acessar o objeto especificado do Cloud Storage com as permissões (por exemplo, leitura ou gravação) até que a assinatura do URL expire.

• Permissões do IAM muito abrangentes:identidades, como uma conta de usuário ou de serviço, recebem permissões abrangentes (por exemplo, storage.objects.get ou storage.objects.list) em muitos buckets quando só precisam de acesso a um pequeno subconjunto de dados.

• Credenciais de identidade comprometidas:um invasor obtém as credenciais de uma conta de usuário ou uma chave de conta de serviço, permitindo que ele se autentique na API JSON do Cloud Storage e acesse todos os dados que a identidade comprometida tem autorização para ver.

• Configuração incorreta do balanceador de carga:uma instância do Cloud Load Balancing configurada com um bucket do Cloud Storage como back-end pode ser configurada incorretamente para expor objetos publicamente, mesmo que o bucket não seja público. Essa configuração incorreta cria um caminho de acesso alternativo, potencialmente menos seguro, aos dados, ignorando os controles diretos do IAM do Cloud Storage.

• Cache inadequado da CDN:quando um bucket do Cloud Storage é usado como back-end do Cloud Load Balancing e do Cloud CDN, uma configuração incorreta pode fazer com que dados sensíveis sejam armazenados em cache nos locais de borda públicos do Google. Se o serviço de back-end não emitir os cabeçalhos Cache-Control corretos (por exemplo, private ou no-store), a CDN poderá veicular o conteúdo armazenado em cache para usuários não autorizados, ignorando as verificações de IAM do bucket.

• Aplique a prevenção de acesso público em buckets de armazenamento individuais ou no nível de um projeto, pasta ou organização com a restrição de política da organização storage.publicAccessPrevention.

• Use o acesso uniforme no nível do bucket para simplificar as permissões e evitar ACLs legadas.

• Configure chaves de criptografia gerenciadas pelo cliente (CMEKs) para proteger dados com criptografia em repouso.

• Mantenha os tempos de expiração de URL assinado o mais curtos possível.

• Audite e remova regularmente chaves de conta de serviço comprometidas ou não utilizadas.

• Implemente o VPC Service Controls para criar um perímetro de serviço e evitar a exfiltração de dados, mesmo que as credenciais sejam roubadas.

• Verifique se as políticas do Cloud Armor estão aplicadas aos balanceadores de carga que atendem ao conteúdo do Cloud Storage para restringir o acesso.

Elevação de privilégios

Escalonamento de privilégios

• Modificação direta da política:uma identidade, como um usuário ou uma conta de serviço, que recebe a permissão storage.buckets.setIamPolicy em um bucket do Cloud Storage pode modificar diretamente a política de permissão. Essa configuração permite que o invasor conceda a si mesmo papéis altamente privilegiados, como Storage Admin, levando ao controle total sobre a configuração e os dados do bucket.

• Identidade temporária de conta de serviço:uma identidade com um papel como roles/iam.serviceAccountUser que contém a permissão iam.serviceAccounts.actAs em uma conta de serviço pode anexar a conta a outros recursos, como uma instância do Compute Engine, para executar código com a identidade da conta de serviço anexada. Outra opção é uma identidade com um papel como roles/iam.serviceAccountTokenCreator que tenha permissões, incluindo iam.serviceAccounts.getAccessToken, para gerar tokens de acesso para essa conta de serviço. Se a conta de serviço de destino tiver permissões elevadas nos recursos do Cloud Storage, o invasor vai herdar esses privilégios.

• Geração de URL assinado:uma identidade com a permissão iam.serviceAccounts.signBlob em uma conta de serviço pode gerar URLs assinados V4. Esses URLs permitem que o invasor crie acesso temporário com token de portador a objetos que a conta de serviço pode ler ou gravar, possivelmente ignorando controles de rede mais restritivos ou a própria falta de permissões diretas do Cloud Storage do invasor.

• Siga o princípio de privilégio mínimo. Evite adicionar permissões como storage.buckets.setIamPolicy, iam.serviceAccounts.actAs ou iam.serviceAccounts.signBlob a papéis, a menos que seja absolutamente necessário. Use as condições do IAM para restringir permissões a recursos ou períodos específicos. Audite regularmente as políticas de permissão usando ferramentas como o Inventário de recursos do Cloud para detectar e remover permissões excessivas.

• Verifique se os aplicativos que processam URLs assinados não os registram nem os expõem de uma forma que possa ser rastreada por terceiros. Por exemplo, se você estiver usando o Cloud CDN para armazenar URLs assinados em cache, defina cabeçalhos Cache-Control adequados para evitar o armazenamento público em cache de objetos sensíveis que precisam ser privados e autenticados por um URL assinado.

Adulteração

Impacto

• Manipulação direta de objetos:uma identidade com permissões storage.objects.create ou storage.objects.delete pode substituir ou destruir objetos individuais do Cloud Storage.

• Uso indevido de políticas de ciclo de vida:um invasor com a permissão storage.buckets.update pode modificar a configuração de gerenciamento do ciclo de vida de objetos de um bucket para criar uma regra que exclua todos os objetos imediatamente ou após um curto período, resultando na destruição em massa de dados.

• Exclusão de bucket:um invasor altamente privilegiado com a permissão storage.buckets.delete pode excluir um bucket inteiro do Cloud Storage, destruindo instantaneamente todos os objetos, configurações e políticas associados a ele.

• Sequestro de notificações:um invasor com a permissão storage.buckets.update pode alterar ou excluir maliciosamente uma configuração de notificação do Pub/Sub. Esse ataque pode prejudicar sistemas downstream que dependem desses eventos ou redirecionar notificações para um tópico controlado por um invasor.

• Se você precisar de armazenamento imutável ou de um período de armazenamento mínimo, configure o bloqueio de bucket para o bucket inteiro ou o bloqueio de objeto para objetos individuais.

• Configure o controle de versões de objetos e uma política de exclusão reversível para planejar a recuperação contra substituições acidentais ou maliciosas em buckets que contêm dados críticos. Implemente um período de exclusão reversível especificado que dê tempo suficiente para detectar e recuperar os objetos antes da exclusão permanente.

• Ative os registros de auditoria de acesso a dados em buckets que contêm dados críticos para ajudar a monitorar padrões de acesso irregulares.

Divulgação de informações

Exfiltração

Criação de jobs de transferência maliciosos:um invasor com permissões storagetransfer.transferjobs.create ou storagetransfer.transferjobs.update cria ou modifica um job do Serviço de transferência do Cloud Storage para copiar dados de um bucket sensível do Cloud Storage para um bucket controlado pelo invasor em outro projeto.

• Limite estritamente as permissões do IAM para storagetransfer.transferjobs.create e storagetransfer.transferjobs.update. Atribua essas permissões apenas a papéis usados por contas administrativas confiáveis.

• Implemente um perímetro do VPC Service Controls para restringir a comunicação entre serviços dentro e fora do perímetro.

• Use condições do IAM em papéis que concedem permissões de job de transferência para restringir os buckets de origem e destino a locais conhecidos e autorizados.

• Monitore regularmente os registros de auditoria do Cloud para a criação e modificação de jobs do Serviço de transferência do Cloud Storage. Configure alertas para jobs que especificam um destino externo ou não confiável.

Adulteração

Impacto

• Indisponibilidade da CMEK:se um bucket do Cloud Storage estiver configurado para usar uma CMEK, a desativação ou exclusão da chave do Cloud KMS de apoio tornará todos os objetos criptografados com essa chave criptograficamente inacessíveis. O agente de serviço do Cloud Storage não pode realizar a descriptografia, o que resulta em uma negação total de serviço para esses dados.

• Bloqueio malicioso de bucket:um invasor com permissões storage.buckets.update pode aplicar um bloqueio de bucket com um período de armazenamento excessivamente longo. Esse bloqueio impede a exclusão legítima de dados, o que pode levar a um acúmulo significativo e desnecessário de custos, uma forma de negação de serviço financeira.

• Implemente políticas de permissão estritas do IAM e segregação de funções para a administração do Cloud KMS. Verifique se as identidades com permissão para gerenciar buckets do Cloud Storage também não têm permissão para gerenciar as chaves do Cloud KMS usadas pelos buckets.

• Use mecanismos de prevenção de exclusão de chaves do Cloud KMS.

• Para o bloqueio de bucket, controle rigorosamente a permissão storage.buckets.update e use o monitoramento para alertar sobre mudanças inesperadas na configuração.

Repúdio

Evasão de defesa

• Registros de acesso a dados desativados:os registros de atividade do administrador estão sempre ativados, mas os registros de acesso a dados, que gravam leituras e gravações de objetos, estão desativados por padrão. Se não estiverem ativados explicitamente, um invasor poderá exfiltrar ou adulterar todos os dados em um bucket sem gerar registros de auditoria do Cloud para essas ações, dificultando a detecção ou investigação da violação.

• Manipulação de coletores de registros:um invasor que obtiver permissões suficientes pode desativar ou reconfigurar os coletores de registros que encaminham os registros de auditoria do Cloud, interrompendo o fluxo de dados relevantes para a segurança aos sistemas de monitoramento.

• Negligência no monitoramento de métricas:um invasor realiza atividades lentas e discretas, como exfiltrar gradualmente pequenas quantidades de dados por um longo período. Essas ações podem não acionar alertas de alta gravidade nos registros de auditoria do Cloud, mas criam padrões anômalos nas métricas do Cloud Monitoring (por exemplo, tráfego de saída constante). Não monitorar essas métricas é outra maneira de um invasor permanecer sem ser detectado.

• Ative os registros de auditoria de acesso a dados para todos os buckets que contêm dados sensíveis ou críticos.

• Verifique se os registros são encaminhados para um projeto de registro seguro e centralizado com permissões rigorosamente controladas para evitar adulterações nos coletores de registros.

• Configure alertas com base em registros no Cloud Monitoring ou em um SIEM para detectar atividades suspeitas, como padrões de acesso anômalos ou mudanças na política de permissão do IAM.

• Crie alertas com base nas principais métricas do Cloud Monitoring para detectar desvios do comportamento normal.

• Use os painéis e dados de insights da Storage Intelligence integrados do Gerenciamento de Postura de Segurança de Dados para fornecer monitoramento contínuo da exposição a riscos no nível do objeto e avaliações da postura de segurança.

Adulteração

Acesso inicial

• Substituição de binários:um invasor substitui um binário ou uma biblioteca de lançamento por uma versão trojanizada. Quando esse artefato é extraído para um build ou implantado, o código do invasor é executado no ambiente de destino.

• Envenenamento de imagens de contêiner:um invasor com acesso a um bucket usado como back-end para um registro de contêiner (por exemplo, o Artifact Registry) pode adulterar camadas de imagens, injetando vulnerabilidades ou backdoors.

• Modificação do script de build:um invasor modifica scripts de build (por exemplo, cloudbuild.yaml ou Makefile) armazenados no Cloud Storage para alterar o processo de build. Um invasor pode modificar scripts de build para exfiltrar segredos ou incorporar uma porta dos fundos durante a compilação.

• Envenenamento de modelo de IA:um invasor pode trocar um checkpoint de modelo válido no Cloud Storage por um checkpoint malicioso que executa código quando carregado por um sistema de produção. Ou um invasor pode modificar dados em um bucket do Cloud Storage usado para treinamento de modelo e inserir backdoors ou comportamentos maliciosos no modelo treinado.

• Use um serviço dedicado de gerenciamento de artefatos, como o Artifact Registry, que oferece verificação de vulnerabilidades e melhor controle de acesso. Evite usar buckets padrão do Cloud Storage para armazenar artefatos de software críticos.

• Implemente a assinatura digital para todos os artefatos de build. Configure pipelines de CI/CD para verificar a assinatura de um artefato antes da implantação, garantindo a integridade e a origem dele.

• Configure o controle de versões de objetos em um bucket para reter objetos que foram substituídos por dados maliciosos.

Negação de serviço

Impacto

• Inundação de objetos:um invasor usa um script para criar rapidamente milhões de objetos pequenos em um bucket, aumentando os custos operacionais e afetando potencialmente os aplicativos que listam ou processam o conteúdo do bucket.

• Abuso de saída:em um bucket que hospeda grandes conjuntos de dados públicos, um invasor baixa arquivos repetidamente, causando um prejuízo financeiro devido aos custos de largura de banda de saída. Esse abuso pode fazer com que o projeto atinja as cotas de faturamento, causando uma negação de serviço.

• Configure alertas do Cloud Billing para notificar os administradores quando os custos excederem um limite de orçamento predefinido, permitindo que você detecte gastos anômalos com antecedência.

• Para buckets acessíveis publicamente, ative os pagamentos do solicitante. Esse recurso transfere o custo de acesso aos dados e saída para o usuário que faz o download, mitigando ataques de custo baseados em saída contra o proprietário do bucket.

• Use o Storage Insights para monitorar a atividade no nível do objeto. O Storage Insights oferece a visibilidade necessária para a previsão de custos e a identificação de objetos de alto tráfego que podem ser alvos de abuso de saída.

Adulteração

Impacto

• Reversão de patch de segurança:um invasor exclui a versão mais recente de um arquivo binário de aplicativo ou de configuração que contém um patch de segurança, fazendo com que o sistema reverta para a versão anterior e vulnerável.

• Corrupção de dados por reversão:em um sistema que depende do Cloud Storage para armazenar estado ou configuração, um invasor reverte um objeto de configuração crítica para um estado mais antigo, causando erros de processamento de dados ou configurações incorretas do serviço.

• Manipulação da integridade do modelo de IA:um invasor pode substituir ou reverter um ponto de verificação de modelo de IA armazenado em um bucket do Cloud Storage.

• Desenvolva aplicativos que dependam de versões específicas de objetos para recuperar o objeto pelo número de geração exclusivo, não apenas pelo nome. Isso garante que a versão correta seja sempre buscada.

• Use um bloqueio de bucket com uma política de retenção definida para dados que exigem armazenamento imutável.

• Configure uma política de exclusão reversível como uma camada extra de defesa contra exclusões maliciosas. O controle de versões de objetos não oferece proteção contra exclusões de bucket.

Divulgação de informações

Exfiltração

Exfiltração entre projetos:um invasor faz upload de um arquivo para um bucket de gatilho. O pipeline do Dataflow, executado com uma conta de serviço privilegiada, lê dados sensíveis de um projeto diferente e grava a saída em um bucket do Cloud Storage público especificado pelo arquivo de entrada do invasor.

• Coloque o pipeline do Dataflow e as dependências do Cloud Storage em um perímetro do VPC Service Controls para impedir que o pipeline envie dados a destinos externos não autorizados.

• Aplique o princípio de privilégio mínimo à conta de serviço do worker do Dataflow. Ela só pode ter as permissões específicas necessárias para ler a origem e gravar no destino pretendido.

• Ative os registros de auditoria de acesso a dados para eventos DATA_WRITE e audite atividades suspeitas do pipeline do Dataflow.

• Ative o acesso uniforme no nível do bucket no seu bucket do Cloud Storage para garantir um controle de acesso consistente baseado no IAM.

Adulteração

Impacto

Desativação do controle de segurança:um invasor altera o arquivo de estado para mostrar um estado impreciso de uma regra de firewall ou uma política de permissão do IAM. A próxima aplicação do Terraform pode não aplicar corretamente a configuração segura pretendida.

• Ative o controle de versões de objeto no bucket do Cloud Storage que armazena o arquivo de estado. O controle de versões de objetos permite recuperar o arquivo de estado em caso de modificação acidental ou maliciosa.

• Implemente controles rigorosos do IAM no bucket de arquivos de estado. Verifique se apenas a conta de serviço de CI/CD tem acesso de gravação e se os desenvolvedores têm acesso somente leitura no máximo.

Elevação de privilégios

Escalonamento de privilégios

• Exfiltração de metadados:o invasor adiciona comandos como curl -H 'Metadata-Flavor: Google' http://metadata.google.internal/... ao script de inicialização para roubar tokens de conta de serviço ou outros secrets.

• Shell reverso:o invasor injeta um comando para iniciar um shell reverso da instância de computação para um servidor controlado por ele, concedendo acesso interativo.

• Armazene scripts de inicialização em um bucket dedicado e altamente controlado do Cloud Storage. Aplique políticas de permissão do IAM com privilégio mínimo para que somente administradores autorizados ou pipelines de CI/CD possam modificar os scripts. Considere uma estratégia de classificação de dados em que você configura tags de recursos em buckets usados para scripts de inicialização e usa o acesso condicional baseado em tags do IAM para restringir ainda mais o acesso.

• Em vez de extrair scripts do Cloud Storage, inclua-os em imagens de máquina personalizadas. Essa estratégia cria um artefato imutável menos suscetível a modificações de tempo de execução.

Adulteração

Impacto

• Classificação incorreta direcionada:um invasor insere dados envenenados que fazem com que um modelo treinado de detecção de fraude sempre classifique como legítimas as transações de uma conta controlada por ele.

• Evasão de modelo:um invasor envenena os dados de treinamento de um modelo de detecção de malware com exemplos do próprio malware rotulados como benignos, fazendo com que o modelo final ignore as ferramentas específicas dele.

• Implemente controles de acesso rigorosos em buckets do Cloud Storage que contenham dados de treinamento. Aplique o princípio de privilégio mínimo para conceder acesso de gravação a esses buckets e faça auditorias regularmente com ferramentas como a Análise de políticas.

• Considere uma estratégia de classificação de dados em que você configura tags de recursos em buckets usados para dados de treinamento de ML e adiciona condições baseadas em tags do IAM para restringir ainda mais o acesso.

• Auditoria de modificações não autorizadas nos objetos usados para dados de treinamento. Configure o controle de versões de objetos, mantenha checksums e configure registros de auditoria de acesso a dados para o evento DATA_WRITE. Isso ajuda a auditar anomalias em eventos de criação de objetos relacionados aos dados de treinamento.

• Faça auditorias e validações regulares dos modelos de ML para detectar comportamentos inesperados. Use técnicas de teste adversário para investigar backdoors ou vulnerabilidades ocultas introduzidas durante o treinamento.

• Configure um perímetro do VPC Service Controls para restringir o acesso a recursos sensíveis, como dados de treinamento e outros serviços envolvidos na criação de modelos, de fora do perímetro confiável.

Negação de serviço

Impacto

• Esgotamento de recursos:um invasor faz upload de 10.000 arquivos pequenos, acionando 10.000 invocações paralelas de funções do Cloud Run que esgotam a cota de CPU, a memória ou os limites de taxa da API downstream do projeto.

• DoS baseado em custo:a distribuição de dados aciona um grande número de execuções em um serviço pago, resultando em uma fatura enorme e possível suspensão da conta, negando efetivamente o serviço.

• Implemente controles de acesso robustos em buckets do Cloud Storage que acionam fluxos de trabalho. Aplique o princípio de privilégio mínimo para conceder acesso de gravação a esses buckets e faça auditorias regulares com ferramentas como a Análise de políticas.

• Defina limites de simultaneidade em funções do Cloud Run orientadas a eventos para controlar o número máximo de execuções paralelas e evitar o esgotamento de recursos.

• Implemente um mecanismo de remoção de duplicação, que invoca a lógica principal de processamento. Um exemplo de mecanismo de remoção de duplicação é adicionar uma tarefa a uma fila do Cloud Tasks com limites de taxa. Esse mecanismo ajuda a gerenciar picos repentinos no volume de solicitações, distribuindo-as ao longo do tempo.

• Configure um perímetro do VPC Service Controls para restringir o acesso a recursos sensíveis, como a gravação em um bucket que aciona um fluxo de trabalho, de fora do perímetro confiável.

Divulgação de informações

Exfiltração

• Redirecionamento de jobs de backup:um invasor com permissões para editar uma configuração de job de backup muda o caminho do bucket do Cloud Storage de destino para gs://attacker-public-bucket/.

• Backup entre projetos:o invasor configura um novo job de backup em um projeto comprometido para ler dados de uma fonte sensível e fazer backup em um bucket em outro projeto na nuvem do Google Cloud controlado pelo invasor.

• Verifique se as contas de serviço da ferramenta de backup têm permissões com escopo restrito. Configure as ferramentas de backup para que elas só possam gravar em buckets de backup específicos e designados, e não ler de locais arbitrários.

• Use o VPC Service Controls para impedir que os serviços de backup acessem fontes de dados sensíveis e gravem em buckets do Cloud Storage fora de um perímetro seguro.

Elevação de privilégios

Evasão de defesa

• Acesso público no nível do objeto:um invasor com a permissão storage.objects.update adiciona uma ACL public-read a um objeto sensível, tornando-o acessível a qualquer pessoa na Internet e ignorando uma política de permissão restritiva do bucket.

• Acesso entre contas:um invasor atribui à conta externa dele a permissão OWNER em um objeto de configuração crítica usando uma ACL, permitindo que ele modifique o objeto sem ser detectado pelas auditorias do IAM.

• Ative o acesso uniforme no nível do bucket em todos os buckets do Cloud Storage. O acesso uniforme no nível do bucket desativa todas as ACLs e garante que o IAM seja o único método consistente para gerenciar o acesso, simplificando as auditorias e evitando esse bypass.

• Use a restrição da política da organização constraints/storage.uniformBucketLevelAccess para aplicar o acesso uniforme no nível do bucket em todos os novos buckets de um projeto, uma pasta ou uma organização.

Adulteração

Impacto

• Etapa de build maliciosa:um invasor adiciona uma etapa a um pipeline de CI/CD que apaga todos os dados. Por exemplo, o invasor adiciona uma etapa em cloudbuild.yaml que executa um comando como gcloud storage rm -r gs://critical-bucket/.

• Herança de privilégios:o invasor usa a conta de serviço do pipeline comprometido, que tem permissões amplas, para conceder à própria conta acesso administrativo aos buckets do Cloud Storage para uso posterior.

• Aplique o princípio de privilégio mínimo às contas de serviço de CI/CD. Por exemplo, não atribua a um pipeline de build permissões para excluir buckets de produção. Use identidades separadas para diferentes estágios do pipeline, como build, teste ou implantação.

• Proteja os buckets críticos do Cloud Storage contra exclusão ativando o bloqueio de bucket ou de objeto ou garantindo que a conta de serviço de CI/CD não tenha a permissão storage.buckets.delete.

Elevação de privilégios

Escalonamento de privilégios

• Perda catastrófica de dados:um invasor compromete uma conta de emergência mal gerenciada e executa um script para excluir todos os buckets do Cloud Storage em um projeto.

• Extorsão:um invasor ganha acesso e ameaça excluir buckets críticos, a menos que um resgate seja pago.

• Implemente o acesso just-in-time (JIT) para procedimentos de implantação forçada em vez de usar contas com privilégios permanentes. Conceda permissões sob demanda por um tempo limitado e para uma finalidade específica.

• Aplique um bloqueio de bucket a buckets que contenham objetos críticos ou um bloqueio de objeto a objetos individuais. Os bloqueios impedem a exclusão do bucket e dos objetos dele, mesmo por usuários com permissões de proprietário, por um período de armazenamento especificado.

Divulgação de informações

Exfiltração

• Redirecionamento de coletor de registros:um invasor modifica a propriedade de destino de um coletor de registros para apontar para o próprio bucket do Cloud Storage.

• Criação de filtros maliciosos:um invasor cria um coletor com um filtro que segmenta especificamente registros que contêm informações sensíveis (por exemplo, PII ou tokens) e os exporta.

• Monitore os registros de auditoria do Cloud para chamadas de API CreateSink e UpdateSink. Configure alertas para notificar as equipes de segurança sobre novos ou modificados coletores de registros e garantir que eles estejam autorizados.

• Configure um perímetro do VPC Service Controls para reduzir a exfiltração de dados.

Adulteração

Impacto

• Destruição de chaves:um invasor com a permissão cloudkms.cryptoKeyVersions.destroy destrói permanentemente uma versão de chave, impossibilitando a recuperação de dados.

• Desativação da chave:um invasor com a permissão cloudkms.cryptoKeyVersions.disable desativa uma chave, tornando os dados do Cloud Storage ilegíveis até que ela seja reativada. Essa ação pode causar uma interrupção prolongada.

• Imponha uma duração mínima para o estado "Programado para destruição" antes que as chaves do Cloud KMS possam ser destruídas. Por padrão, esse período é de 30 dias, mas você pode configurar um período de 1 a 120 dias quando uma chave é criada pela primeira vez. Não é possível modificar esse período depois que uma chave é excluída. Considere aplicar a restrição de política da organização constraints/cloudkms.minimumDestroyScheduledDuration para garantir que as chaves não possam ser criadas com um período programado para destruição menor que o mínimo esperado.

• Limite estritamente o acesso aos papéis administrativos do Cloud KMS. Separe as funções de uso de chaves da administração de chaves para evitar que uma única conta violada use e destrua chaves.

• Faça a rotação periódica das chaves do Cloud KMS, escolhendo um período de rotação com base nos requisitos de sensibilidade ou compliance da sua carga de trabalho.

Divulgação de informações

Exfiltração

• Snapshot de disco para bucket público:um desenvolvedor interno com permissões compute.snapshots.create e storage.objectAdmin cria um snapshot de um disco de VM que contém secrets e o exporta para um bucket público do Cloud Storage.

• Exportação de banco de dados:um invasor com permissão cloudsql.instances.export exporta um banco de dados de produção para um bucket do Cloud Storage em um projeto controlado por ele.

• Verifique se os projetos designados para backups e snapshots têm políticas do IAM e do VPC Service Controls que são pelo menos tão rigorosas quanto as dos projetos de origem para manter uma postura de segurança consistente.

• Considere uma estratégia de classificação de dados em que você configura tags de recursos em buckets usados para backups e adiciona condições de acesso com base em tags do IAM para restringir ainda mais o acesso.