במאמר הזה מוסבר איך להשתמש ב-מאגר משאבי ענן כדי לעקוב אחרי הסודות שלכם, לייצא נתונים לצורך ניתוח ולהריץ שאילתות מתקדמות כדי לקבל את התובנות שאתם צריכים.
סקירה כללית
מאגר משאבי ענן מנתח את הסביבה שלכם ומתעד את כל השינויים במשאבי הענן, כמו מכונות וירטואליות, מסדי נתונים, קטגוריות אחסון, ובהקשר הזה, סודות ב-Secret Manager. Google Cloud השילוב בין Secret Manager לבין מאגר משאבי ענן מאפשר לכם:
-
הפעלת שאילתות: חיפוש סודות ספציפיים או זיהוי דפוסים בסודות.
-
הגדרת התראות: הגדרת מאגר משאבי ענן לשליחת התראות ל-Pub/Sub כשמתרחשים אירועים ספציפיים, כמו יצירה, שינוי או מחיקה של סודות.
-
ייצוא נתונים: ייצוא של מלאי הסודות ל-BigQuery לניתוח מעמיק וליצירת דוחות.
-
ניהול וניתוח של סודות: אפשר לראות את כל הסודות במקום אחד (בכל הפרויקטים ובארגון כולו) ולזהות סודות שאולי לא הוגדרו בצורה נכונה או שמפירים את מדיניות האבטחה של הארגון. לדוגמה, אפשר למצוא סודות שלא מתבצעת להם רוטציה באופן קבוע או שחסרות להם בקרות גישה מתאימות.
זוהי משימה מתקדמת למשתמשי Secret Manager. לפני שקוראים את הדף הזה, מומלץ לקרוא את המאמרים הבאים:
-
סקירה כללית של Secret Manager כדי להבין את המושגים והתכונות העיקריים של Secret Manager
-
סקירה כללית על מאגר משאבי הענן כדי להבין מהו מאגר משאבי הענן ולראות את התכונות המקיפות שלו לניהול נכסים
שאילתות ב-Secret Manager
כדי לנתח את הסודות באמצעות שאילתות דמויות SQL, מומלץ לייצא את הסודות ואת הגרסאות שלהם ל-BigQuery. Secret Manager לא משולב עם חיפוש נכסים או עם כלי ניתוח המדיניות. השאילתות האלה משתמשות ב-Google Cloud CLI וב-BigQuery כדי לחפש את הנכסים שלכם.
מגבלות
יש מגבלה אחת בניתוח משאבים של Secret Manager באמצעות מאגר משאבי הענן:
-
מאגר משאבי הענן תומך בייצוא ובהצגת תמונות מצב רק מהחמשת השבועות האחרונים.
מעקב אחרי שינויים בנכסים
מאגר משאבי הענן עוקב אחרי עדכונים בזמן אמת ותומך במעקב אחרי השינויים האלה. אתם יכולים להגדיר פידים לשליחת התראות לקבוצה של נושאי Pub/Sub שהוגדרו בכל פעם שמתבצע שינוי במשאבים שלכם. בנוסף, מאגר משאבי הענן תומך בהגדרת תנאים בפידים, כך שתוכלו לעקוב אחרי שינויים ספציפיים בסוגים מסוימים של נכסים. במסמכי Pub/Sub מוסבר איך להפעיל תהליכי עבודה כשמתבצעים שינויים בנכסים.
ייצוא נכסים ל-BigQuery
ייצוא הסודות והגרסאות שלהם ל-BigQuery מאפשר להריץ שאילתות דומות ל-SQL על כמויות גדולות של נתונים, ולקבל תובנות משמעותיות לגבי הנכסים שלכם. לפני שמייצאים את הנכסים, צריך לוודא שמערך הנתונים וחשבונות השירות מוגדרים בצורה נכונה.
כדי לייצא את הנכסים, מריצים את הפקודה הבאה:
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- CONTENT_TYPE: סוג התוכן של הנכס (
RESOURCE). - PROJECT_ID: מזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
- SNAPSHOT_TIME: השעה שבה יצולמו תמונות ה-snapshot של המשאבים. התאריך הזה יכול להיות בין השעה הנוכחית לבין תאריך שחל לפני 5 שבועות.
- BIGQUERY_PROJECT_ID: מזהה הפרויקט שבו נמצאת הטבלה ב-BigQuery.
- DATASET_ID: המזהה של מערך הנתונים ב-BigQuery.
- TABLE_NAME: הטבלה שאליה מייצאים את המטא-נתונים. אם הוא לא קיים, הוא נוצר.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud asset export \ --content-type=CONTENT_TYPE \ --project=PROJECT_ID \ --snapshot-time=SNAPSHOT_TIME \ --bigquery-table=projects/BIGQUERY_PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \ --output-bigquery-force
Windows (PowerShell)
gcloud asset export ` --content-type=CONTENT_TYPE ` --project=PROJECT_ID ` --snapshot-time=SNAPSHOT_TIME ` --bigquery-table=projects/BIGQUERY_PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME ` --output-bigquery-force
Windows (cmd.exe)
gcloud asset export ^ --content-type=CONTENT_TYPE ^ --project=PROJECT_ID ^ --snapshot-time=SNAPSHOT_TIME ^ --bigquery-table=projects/BIGQUERY_PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME ^ --output-bigquery-force
מידע נוסף זמין במאמר בנושא ייצוא ל-BigQuery.
שאילתות לדוגמה
אפשר להשתמש בשאילתות לדוגמה האלה כדי למצוא סודות וגרסאות של סודות עם מאפיינים ספציפיים.
סודות שנוצרו בשבועיים האחרונים
חיפוש סודות (והמאפיינים שלהם) שנוספו לארגון בשבועיים האחרונים.
BigQuery
SELECT name, FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND DATE(JSON_VALUE(resource.data, '$.createTime')) > DATE_SUB(CURRENT_DATE(), INTERVAL 2 WEEK);
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.createTime>-P2W"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
שכפול סודות באופן אוטומטי
למצוא את כל הסודות שמשוכפלים באופן אוטומטי.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND JSON_EXTRACT(resource.data, '$.replication.automatic') IS NOT NULL;
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.replication.automatic != NULL"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
סודות שמשוכפלים למיקום ספציפי
למצוא את כל הסודות שמאוחסנים במיקום ספציפי, כמו us-central1.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE ( SELECT * FROM UNNEST(JSON_EXTRACT_ARRAY(resource.data, '$.replication.userManaged.replicas')) AS location WHERE JSON_VALUE(JSON_EXTRACT(location, '$.location')) = "us-central1" ) IS NOT NULL;
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.replication.userManaged.replicas.location=LOCATION"
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: המזהה של הפרויקט שמכיל את הסודות שרוצים לנתח
- LOCATION: Google Cloud המיקום של הסוד
גרסאות של סודות שנוצרו לפני יותר מ-180 ימים
מציג את כל הגרסאות של הסודות שנוצרו לפני יותר מ-180 ימים.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/SecretVersion' AND DATE(JSON_VALUE(resource.data, '$.createTime')) < DATE_SUB(CURRENT_DATE(), INTERVAL 180 DAY) AND JSON_VALUE(resource.data, '$.state') = "ENABLED";
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/SecretVersion' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.createTime < P6M AND resource.data.state=ENABLED"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
סודות ללא הגדרת CMEK
הצגת רשימה של כל הסודות שלא מוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK):
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND ( JSON_VALUE(resource.data, "$.replication.automatic.customerManagedEncryption.kmsKeyName") IS NULL AND JSON_VALUE(resource.data, "$.replication.userManaged.replicas[0].customerManagedEncryption.kmsKeyName") IS NULL );
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/SecretVersion' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.createTime < P6M AND resource.data.state=ENABLED"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
סודות עם CMEK מוגדר
רשימה של כל הסודות שמוצפנים באמצעות CMEK.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND ( JSON_VALUE(resource.data, "$.replication.automatic.customerManagedEncryption.kmsKeyName") IS NOT NULL OR JSON_VALUE(resource.data, "$.replication.userManaged.replicas[0].customerManagedEncryption.kmsKeyName") IS NOT NULL );
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.replication.userManaged.replicas.customerManagedEncryption != NULL OR resource.data.replication.automatic.customerManagedEncryption!=NULL"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
סודות שמוצפנים באמצעות CMEK ספציפי
חיפוש סודות שמוצפנים באמצעות CMEK ספציפי.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND ( JSON_VALUE(resource.data, "$.replication.automatic.customerManagedEncryption.kmsKeyName") = KMS_KEY_NAME OR JSON_VALUE(resource.data, "$.replication.userManaged.replicas[0].customerManagedEncryption.kmsKeyName") = KMS_KEY_NAME );
מחליפים את מה שכתוב בשדות הבאים:
-
BIGQUERY_TABLE: הנתיב המלא לטבלה ב-BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במסמך הזה.
-
KMS_KEY_NAME: המזהה של המפתח או מזהה מוגדר במלואו של המפתח
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.replication.userManaged.replicas.customerManagedEncryption.kmsKeyName=KMS_KEY_NAME"
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: המזהה של הפרויקט שמכיל את הסודות שרוצים לנתח
- KMS_KEY_NAME: המזהה של המפתח או מזהה מוגדר במלואו של המפתח
גרסאות של סודות ללא הגדרת CMEK
חיפוש כל הגרסאות המופעלות של סודות שלא מוצפנות באמצעות CMEK.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/SecretVersion' AND ( JSON_VALUE(resource.data, "$.replicationStatus.automatic.customerManagedEncryption.kmsKeyVersionName") IS NULL AND JSON_VALUE(resource.data, "$.replicationStatus.userManaged.replicas[0].customerManagedEncryption.kmsKeyVersionName") IS NULL ) AND JSON_VALUE(resource.data, "$.state") = "ENABLED";
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/SecretVersion' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="(resource.data.replicationStatus.userManaged.replicas.customerManagedEncryption = NULL OR resource.data.replicationStatus.automatic.customerManagedEncryption=NULL) AND resource.data.state=ENABLED"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
גרסאות של סודות שמוצפנות באמצעות CMEK ספציפי
רשימה של כל הגרסאות המופעלות של סודות שמוצפנות באמצעות גרסת CMEK ספציפית.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/SecretVersion' AND ( JSON_VALUE(resource.data, "$.replicationStatus.automatic.customerManagedEncryption.kmsKeyVersionName") = KMS_KEY_VERSION_NAME OR JSON_VALUE(resource.data, "$.replicationStatus.userManaged.replicas[0].customerManagedEncryption.kmsKeyVersionName") = KMS_KEY_VERSION_NAME ) AND JSON_VALUE(resource.data,"$.state")="ENABLED";
מחליפים את מה שכתוב בשדות הבאים:
-
BIGQUERY_TABLE: הנתיב המלא לטבלה ב-BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במסמך הזה.
-
KMS_KEY_VERSION_NAME: מספר הגרסה של המפתח ב-Cloud Key Management Service
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/SecretVersion' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.replicationStatus.userManaged.replicas.customerManagedEncryption.kmsKeyVersionName=$FULL_KMS_KEY_VERSION_RESOURCE_NAME AND resource.data.status=ENABLED"
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: המזהה של הפרויקט שמכיל את הסודות שרוצים לנתח
- KMS_KEY_VERSION_NAME: המזהה של גרסת המפתח
סודות שלא הוגדר להם סבב
חיפוש של כל הסודות שלא מוגדר להם לוח זמנים להחלפה.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND JSON_EXTRACT(resource.data, '$.rotation') IS NULL;
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.rotation=NULL"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
סודות עם תקופת רוטציה ספציפית
כדי למצוא את כל הסודות שמתוזמנים לרוטציה בתדירות של פחות מפעם אחת ב-90 יום:
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE CAST( TRIM( JSON_VALUE(JSON_EXTRACT(resource.data, "$.rotation.rotationPeriod")),"s") AS INT64) < 86400 * 90 #Rotation period in seconds (86400s in 1 day * 90 days)
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") ROTATION_PERIOD_SECONDS=$((90 * 24 * 60 * 60)) gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.rotation != null AND resource.data.rotation.rotationPeriod < ${ROTATION_PERIOD_SECONDS}s"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
סודות שתוקפם יפוג ב-30 הימים הבאים
הצגת רשימה של סודות שתוקפם יפוג ב-30 הימים הבאים.
BigQuery
SELECT * FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND DATE(JSON_VALUE(resource.data, '$.expireTime')) < DATE_ADD(CURRENT_DATE(), INTERVAL 30 DAY);
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.expireTime < PD30"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.
סודות עם נושא Pub/Sub מוגדר
רשימה של כל הסודות שהוגדר להם לפחות נושא אחד ב-Pub/Sub.
BigQuery
SELECT name, ARRAY_LENGTH(JSON_EXTRACT_ARRAY(resource.data, '$.topics')) AS topics_count, FROM BIGQUERY_TABLE WHERE asset_type='secretmanager.googleapis.com/Secret' AND ARRAY_LENGTH(JSON_EXTRACT_ARRAY(resource.data, '$.topics')) > 0
מחליפים את BIGQUERY_TABLE בנתיב המלא לטבלת BigQuery שאליה ייצאתם את כל הנכסים בקטע ייצוא נכסים ל-BigQuery במאמר הזה.
gcloud
NOW=$(TZ=GMT date +"%Y-%m-%dT%H:%M:%SZ") gcloud asset list --project=PROJECT_ID \ --asset-types='secretmanager.googleapis.com/Secret' \ --snapshot-time=$NOW \ --content-type='resource' \ --filter="resource.data.topics !=NULL"
מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את הסודות שרוצים לנתח.