Bezpečnostné testovanie GCP: Penetration Testing platformy Google Cloud

Hierarchia zdrojov a IAM

Hierarchia zdrojov v GCP – Organizácia → Priečinky → Projekty → Zdroje – určuje, ako sa dedia politiky IAM. Testovanie vyhodnocuje väzby IAM na každej úrovni, identifikuje nadmerne povoľujúce väzby, ktoré sa kaskádovito šíria nadol, kontroluje obávaný predvolený účet výpočtovej služby s rolou Editor (prítomný vo väčšine prostredí GCP) a overuje, či organizačné politiky presadzujú bezpečnostné štandardy vo všetkých projektoch.

Zabezpečenie účtov služieb

Účty služieb v GCP sú identity aj zdroje – môžu byť personifikované, môžu sa exportovať ich kľúče a delegovať prístup na iné účty. Testovanie vyhodnocuje správu kľúčov účtov služieb (exportované kľúče vs. identita pracovného zaťaženia), povolenia na personifikáciu a či účty služieb dodržiavajú princíp najnižších privilégií. Predvolené účty služieb Compute Engine a App Engine majú často povolenia Projekt Editor – poskytujú rozsiahly prístup, ktorý zdedí akékoľvek ohrozené pracovné zaťaženie.

Cloud Storage a BigQuery

Testovanie GCS bucketov vyhodnocuje jednotné vs. podrobné riadenie prístupu, prevenciu verejného prístupu a IAM na úrovni bucketu verzus ACL. Testovanie BigQuery pokrýva povolenia datasetu, autorizované pohľady a zabezpečenie na úrovni stĺpcov. Pre organizácie, ktoré využívajú GCP primárne na dátovú analytiku, je testovanie bezpečnosti BigQuery často najvyššou prioritou.

Zabezpečenie GKE

Testovanie Google Kubernetes Engine sa prekrýva so všeobecným zabezpečením Kubernetes (ktoré je pokryté v našej špecializovanej príručke), ale zahŕňa špecifické obavy GKE: konfiguráciu Workload Identity, nastavenia zabezpečenia node pool, Binary Authorisation pre overenie obrazu kontajnera a integráciu s GCP IAM pre riadenie prístupu ku clusteru.

Testovanie GCP s Penetrify

Bezpečnostné testovanie GCP od Penetrify vyhodnocuje hierarchiu zdrojov, väzby IAM, konfigurácie účtov služieb, Cloud Storage, BigQuery a GKE s odborníkmi, ktorí rozumejú špecifickému bezpečnostnému modelu spoločnosti Google a jeho jedinečným vzorom predvolenej konfigurácie.

Záver

Predvolené nastavenia GCP sú často povoľujúcejšie ako nastavenia AWS alebo Azure – predvolené účty služieb s rolou Editor, povolený prístup k starším verziám API a rozsiahle povolenia na úrovni projektu. Testovanie musí vyhodnotiť tieto špecifické vzory GCP. Penetrify poskytuje tieto odborné znalosti.

Často kladené otázky

Čím je jedinečné testovanie bezpečnosti GCP?

Hierarchia zdrojov GCP s dedením politík, predvolené účty služieb s príliš rozsiahlymi povoleniami a rozšírenosť exportovaných kľúčov účtov služieb vytvárajú jedinečné požiadavky na testovanie, ktoré neexistujú v AWS alebo Azure.

Vyžaduje GCP oznámenie pred Penetration Testingom?

Nie. Google Cloud nevyžaduje oznámenie pre Penetration Testing vašich vlastných zdrojov. Testovanie musí byť v súlade s GCP Acceptable Use Policy.