Серверные решения →DevOPS

Проверка GCP на наличие некорректных конфигураций

13 способов

Октябрь 04, 2020 Мерион Нетворкс

11 минут

Облачная инфраструктура обладает такими преимуществами, как гибкость, масштабируемость, высокая производительность и доступность. После подписки на такую услугу, как Google Cloud Platform (GCP), вам не придется беспокоиться о высоких капитальных затратах и затратах на обслуживание эквивалентного собственного центра обработки данных и связанной с ним инфраструктуры. Однако традиционные методы обеспечения безопасности физической инфраструктуры не обеспечивают достаточной и оперативной безопасности для виртуальных сред.

DevOps

Windows Server

Все самое главное про внедрение, управление и поддержку инфраструктуры MS Windows Server

Начни обучение бесплатно

В отличие от собственного центра обработки данных, в котором защита периметра обеспечивает защиту всей установки и ресурсов, природа облачной среды с различными технологиями и местоположениями требует иного подхода. Обычно децентрализованный и динамический характер облачной среды приводит к увеличению поверхности атаки.

В частности, неправильные настройки на облачных платформах и компонентах открывают доступ к ресурсам, увеличивая скрытые риски безопасности. Иногда разработчики могут открыть хранилище данных при разработке программного обеспечения, но затем оставить его открытым при выпуске приложения на рынок.

Таким образом, в дополнение к передовым практикам в области безопасности необходимо обеспечить правильную конфигурацию, а также возможность обеспечения непрерывного мониторинга, видимости и соответствия нормативным требованиям.

Именно для таких целей существует несколько инструментов, помогающих повысить безопасность за счет обнаружения и предотвращения неправильных настроек, обеспечения видимости состояния безопасности GCP, а также выявления и устранения других уязвимостей.

1. Google Cloud SCC

Google Cloud SCC - это интегрированная система анализа рисков и инструментальной панели, которая позволяет клиентам GCP мониторить состояние безопасности своей инфрастурктуры и предпринять корректирующие действия для защиты облачных ресурсов и активов из единого окна.

Cloud SCC (Security Command Center) обеспечивает видимость ресурсов, работающих в облачной среде Google, а также неправильных настроек представляющих риск взлома, что позволяет командам снизить угроз. Кроме того, комплексный инструмент управления безопасностью и рисками данных помогает клиентам GCP применять передовые практики безопасности.

Базовый командный центр состоит из нескольких средств безопасности от Google. Однако это гибкая платформа, которая интегрируется с широким спектром сторонних инструментов для повышения безопасности и расширения охвата с точки зрения компонентов, рисков и практик.

Основные возможности Google Cloud SCC

• Обнаружение и устранение неправильно настроенных, таких как брандмауэры, правила IAM и т.д.
• Обнаружение, реагирование и предотвращение угроз и проблем соответствия нормативным требованиям
• Выявление большинства уязвимостей вроде смешанного содержимого, флэш-инъекции и многих других, позволяя при этом легко исследовать результаты.
• Определение общедоступных ресурсов, таких как виртуальные машины, экземпляры SQL, сегменты, наборы данных и т.д.
• Обнаружение и инвентаризация активов, выявление уязвимостей, конфиденциальных данных и аномалий,
• Интегрируется со сторонними инструментами для улучшения идентификации и адресации скомпрометированных конечных точек, сетевых атак, DDoS, нарушений политик и нормативно-правового соответствия, уязвимостей и угроз.

Как правило, центр управления безопасностью представляет собой гибкое решение, отвечающее потребностям каждой организации. Инструмент интегрируется с различными инструментами безопасности Google, такими как Cloud Data Loss Prevention, Web Security Scanner, а также с решениями сторонних производителей, такими как McAfee, Qualys, CloudGuard и другими.

2. Forseti

Forseti - это решение с открытым исходным кодом, который помогает получить представление о вашей среде GCP, устранить уязвимости, а также отслеживать и понимать политики и соответствие нормативным требованиям. Он состоит из различных базовых модулей, которые можно легко включать, настраивать и выполнять независимо.

Существует также несколько дополнительных модулей для расширения возможностей и настройки Forseti.

Основные возможности Forseti

• Отслеживает ресурсы GCP, на наличие правильно настроенных функций безопасности, вроде контроля доступа и защищает их от несанкционированных изменений.
• Выполняет инвентаризацию ресурсов и отслеживает среду GCP.
• Разработка и применение политик и правил безопасности и межсетевого экрана
• Оценка параметров на соответствие требованиям и отсутствие утечек и лишних доступов к ресурсам GCP.
• Исследование политик Cloud Identity and Access Management (Cloud IAM), а также уровня доступов пользователей к ресурсам.
• Имеет визуализатор, который помогает понять структуру безопасности GCP, а также выявить несоблюдение политик и нарушения.

3. Cloud Guard

CloudGuard - это облачное безагентное решение для обеспечения безопасности, которое оценивает и визуализирует состояние безопасности платформы GPC, тем самым позволяя группам защитить свои облачные ресурсы и среду. Решение анализирует различные ресурсы, включая вычислительный механизм, базы данных, виртуальные машины и другие службы, а также сетевые брандмауэры и многое другое.

Основные возможности Cloud Guard

• Непрерывный мониторинг политик и событий безопасности, обнаружение изменений и проверку соответствия требованиям.
• Выявление и устранение неправильных настроек, а также уязвимостей и связанных с ними угроз безопасности.
• Укрепление безопасности и обеспечение соответствия нормативам и передовым практикам.
• Мощная визуализация и безопасность сетевых ресурсов GCP
• Легко интегрируется с GCP, а также с другими общедоступными облаками, такими как веб-службы Amazon и Microsoft Azure.
• Применение политик управления, которые удовлетворяют уникальные потребности организации в безопасности.

4. Cloudsploit

Cloudsploit - это мощное решение, которое проверяет и автоматически обнаруживает проблемы конфигурации безопасности в Google Cloud Platform, а также в других общедоступных облачных сервисах, таких как Azure, AWS, Github и Oracle.

Решение безопасности подключается к проектам GCP, где обеспечивает мониторинг различных компонентов. Оно обеспечивает обнаружение неправильных настроек безопасности, вредоносных действий, незащищенных активов и других уязвимостей.

Особенности Cloudsploit

• Простое развертывание и использование решения для мониторинга конфигурации безопасности с функцией оповещения
• Быстрое и надежное сканирование точек и создание отчетов
• Дает представление о состоянии безопасности и нормативно-правовом соответствии
• Проверяет системы при анализе привилегий, ролей, сетей, сертификатов, тенденций использования, аутентификации и различных конфигураций.
• Предоставляет обзоры уровня счета, которые позволяют просматривать и легко определять тенденции и относительные уровни риска с течением времени.
• Конструкция на основе API, которая упрощает интеграцию инструмента с различными панелями мониторинга CISO и другими системами отчетности.

5. Prisma Cloud

Prisma cloud - интегрированное облачное решение, обеспечивающее надлежащее внедрение и поддержку безопасности и соответствия требованиям GCP-среды, приложений и ресурсов.

Комплексный инструмент имеет API-интерфейсы, которые легко интегрируются со службой GCP, обеспечивая непрерывную аналитику, защиту и отчетность в дополнение к обеспечению соответствия нормативным требованиям.

Особенности Prisma Cloud

• Комплексное масштабируемое решение для обеспечения безопасности на основе API, обеспечивающее анализ, непрерывный мониторинг, обнаружение угроз и быстрое реагирование.
• Полная видимость, позволяющая выявлять и устранять неправильные конфигурации, уязвимости рабочей нагрузки, сетевые угрозы, утечку данных, небезопасные действия пользователей и многое другое
• Защищает рабочие нагрузки, контейнеры и приложения, работающие на облачной платформе Google.
• Настраиваемое применение политик безопасности на основе приложений, пользователей или устройств.
• Простое применение политик управления и соблюдение широкого спектра стандартов, включая, в частности, NIST, CIS (Центр интернет-безопасности), GDPR, HIPAA и PCI.

6. Cloud Custodian

Cloud custodian - это система правил с открытым исходным кодом, гибкая и легкая система управления облачной безопасностью и доступами. Решение позволяет безопасно управлять учетными записями и ресурсами GCP. В дополнение к безопасности интегрированное решение помогает оптимизировать затраты, управляя использованием ресурсов, что позволяет экономить средства.

Особенности Cloud Custodian

• Обеспечение соблюдения политик безопасности и соответствия нормативным требованиям в реальном времени в таких областях, как управление доступом, правила межсетевого экрана, шифрование, теги, сбор мусора, автоматизированное управление ресурсами в нерабочее время и т.д.
• Предоставляет унифицированные метрики и отчеты
• Легко интегрируется с функциями Google Cloud Platform
• Автоматическое предоставление GCP AuditLog и других функций без сервера.

7. McAfee MVISION

McAfee MVISION - это решение для обеспечения безопасности, которое интегрируется с Google Cloud SCC и позволяет командам получать информацию о состоянии безопасности ресурсов GCP, обнаруживать и устранять уязвимости и угрозы.

Кроме того, "облачное" решение обеспечивает аудит конфигурации, который позволяет группам безопасности выявлять скрытые риски и устранять их. Данный продукт имеет механизмы облачной политики, которые улучшают запросы GCP, что позволяет находить широкий спектр неправильных настроек безопасности в различных службах GCP.

Особенности McAfee MVISION

• Предоставляет информацию, которая помогает группам выявлять и устранять проблемы безопасности и несоответствия нормативным требованиям.
• Повышает эффективность и охват аудита конфигураций для обнаружения скрытых уязвимостей, что позволяет командам применять передовые практики.
• Обеспечивает видимость, чтобы предоставить командам возможность расследовать инциденты, аномалии, нарушения и угрозы безопасности, что позволяет быстро выполнять действия по устранению неполадок в командном центре облачной безопасности.
• Уведомления об угрозах безопасности или нарушениях политики.
• Визуализация уязвимостей и угроз на панелях мониторинга Google Cloud SCC.

8. Netskope

Netskope позволяет быстро выявлять и устранять проблемы безопасности, угрозы и неправильные настройки, которые подвергают цифровые ресурсы угрозам атак.

В дополнение к GSCC в защите вычислительных экземпляров, объектного хранилища, баз данных и других ресурсов, Netskope углубляется и расширяется, чтобы получить представление о неправильных конфигурациях, расширенных угрозах и рисках.

Особенности Netskope

• Предоставляет информацию об угрозах, уязвимостях, неправильных конфигурациях и нормативно-правовом несоответствии на облачной платформе Google в режиме реального времени.
• Выявление и устранение любых уязвимостей, неправильных настроек, несоответствий нормативным требованиям и угроз безопасности.
• Постоянно отслеживает настройки безопасности и проверяет их на соответствие передовым практикам. Выявляет проблемы и обеспечивает соблюдения стандартов на основе передовых практики и контрольных показателей CIS.
• Отчетность по соответствию нормативным требованиям - выполняет инвентаризацию ресурсов GCP для определения и сообщения о неправильных конфигурациях и аномалиях.

9. Tripwire

Tripwire Cloud Cybersecurity - это комплексное решение, которое позволяет организациям внедрять эффективные конфигурации безопасности и средства управления, предотвращая тем самым раскрытие своих цифровых ресурсов. Она сочетает в себе функции управления конфигурациями, оценки управления облаком (CMA) и мониторинга целостности файлов для определения общедоступных ресурсов и данных в GCP.

Ключевые функции Tripwire

• Обнаружение и обращение к общедоступным хранилищам GCP или экземплярам для обеспечения надлежащей конфигурации и безопасности данных.
• Собирает, анализирует, а затем оценивает данные конфигурации GCP, что позволяет выявлять и устранять неправильные конфигурации.
• Мониторинг изменений конфигурации, которые ставят под угрозу облако GCP или открывают ресурсы
• Оценщик управления облаком Tripwire отслеживает работу облачной платформы Google Cloud Platform на предмет неправильных настроек, при которых она предупреждает группы безопасности о необходимости исправления.

10. Scout Suite

Scout Suite - инструмент аудита безопасности с открытым исходным кодом для GCP и других общедоступных облаков. Она позволяет группам безопасности оценивать состояние безопасности в средах GCP, выявлять неправильную конфигурацию и другие уязвимости.

Инструмент проверки конфигурации Scout Suite легко взаимодействует с API, которые предоставляет Google, для сбора и анализа данных о состоянии безопасности. Затем она выделяет все обнаруженные уязвимости.

11. Aqua Security

Aqua Security - это платформа, которая предоставляет организациям визуальное представление о GCP и других AWS, Oracle Cloud, Azure. Она упрощает обеспечение соответствия политикам и нормативам.

Aqua интегрируется с Cloud Security Command Center компании Google, другими решениями сторонних производителей, а также инструментами анализа и мониторинга. Это обеспечивает возможность просмотра и управления безопасностью, политиками и соответствием нормативным требованиям буквально через один центр.

Особенности Aqua Security

• Сканирование образов, выявление и устранение неправильных настроек, вредоносных программ и уязвимостей
• Обеспечение целостности образов в течение всего жизненного цикла приложения
• Определение и обеспечение соблюдения привилегий и стандартов соответствия, таких как PCI, GDPR, HIPAA и т.д.
• Обеспечивает расширенные меры по обнаружению угроз и их устранению для рабочих нагрузок контейнеров GCP.
• Создание и применение политик безопасности на образы для предотвращения запуска скомпрометированных, уязвимых или неправильно настроенных образов в среде Google Kubernetes Engine
• Платформа логирует все действия создавая аудиторскую траекторию для криминалистики.
• Он обеспечивает непрерывное сканирование параметров для поиска уязвимостей и аномалий.

12. GCPBucketBrute

GCPBucketBrute - это настраиваемое и эффективное решение защиты с открытым исходным кодом для обнаружения открытых или неправильно настроенных сегментов Google Storage. Как правило, это сценарий, который перечисляет сегменты хранилища Google, чтобы установить наличие небезопасной конфигурации и эскалации привилегий.

Особенности GCPBucketBrute

• Обнаруживает открытые сегменты GCP, а также опасные эскалации привилегий на запущенных экземплярах на платформе.
• Проверяет привилегии в каждом обнаруженном сегменте и определяет, если ли риск несанкционированного повышения привилегий.
• Подходит для тестирования на проникновение облачной инфраструктуры Google, участия красной команды и многого другого.

13. Cloud Security Suit

Security FTW Cloud Security Suite является еще одним открытым источником для аудита состояния безопасности инфраструктуры GCP. Решении "все в одном" позволяет проверять конфигурации и безопасность учетных записей GCP и выявлять широкий спектр уязвимостей.

Заключение

Облачная платформа Google предоставляет гибкую и масштабируемую ИТ-инфраструктуру. Однако, как и в других облачных средах, они могут иметь уязвимости, если не настроены должным образом, и злоумышленники могут использовать их для компрометации систем, кражи данных, заражения вредоносными программами или совершения других кибератак.

К счастью, компании могут защитить свои среды GCP, следуя передовым практикам обеспечения безопасности и используя надежные инструменты для непрерывной защиты, мониторинга и обеспечения видимости конфигураций и общего состояния безопасности.