Hur utför man GCP-säkerhetsskanning för att hitta felkonfiguration?

av

☁️ Molninfrastruktur har fördelar som flexibilitet, skalbarhet, hög prestanda och prisvärdhet.

När du väl prenumererar på en tjänst som Google Cloud Platform (GCP) behöver du inte oroa dig för de höga kapital- och underhållskostnaderna för ett likvärdigt internt datacenter och tillhörande infrastruktur. Traditionella säkerhetsrutiner på plats ger dock inte tillräcklig och snabb säkerhet för virtuella miljöer.

Till skillnad från ett lokalt datacenter där perimetersäkerhet skyddar hela installationen och resurserna, kräver molnmiljöns natur, med olika tekniker och platser, ett annat tillvägagångssätt. Vanligtvis leder molnmiljöns decentraliserade och dynamiska karaktär till en ökad attackyta.

I synnerhet felkonfigurationer på molnplattformarna och komponenterna exponerar tillgångarna samtidigt som de dolda säkerhetsriskerna ökar. Ibland kan utvecklare öppna ett datalager när de utvecklar en mjukvara men lämnar det sedan öppet när applikationen släpps på marknaden.

Som sådan, förutom att följa bästa säkerhetspraxis, finns det ett behov av att säkerställa korrekta konfigurationer och tillhandahålla kontinuerlig övervakning, synlighet och efterlevnad.

Lyckligtvis hjälper flera verktyg dig att förbättra säkerheten genom att upptäcka och förhindra felkonfigurationer, ge insyn i säkerhetspositionen för GCP:n samt identifiera och åtgärda andra sårbarheter.

Uppdatering: för AWS-säkerhetsskannern, kolla in det här inlägget.

Google Cloud SCC

De Google Cloud SCC är ett integrerat riskanalys- och instrumentpanelsystem som gör det möjligt för GCP-kunder att förstå sin säkerhetsställning och vidta korrigerande åtgärder för att skydda sina molnresurser och tillgångar från en enda ruta.

Cloud SCC (Security Command Center) ger insyn i vilka tillgångar som körs i Googles molnmiljö och riskfyllda felkonfigurationer, vilket gör det möjligt för team att minska sin exponering för hot. Dessutom hjälper det omfattande säkerhets- och datariskhanteringsverktyget GCP-klienterna att upprätthålla bästa praxis för säkerhet.

Det grundläggande kommandocentret består av flera säkerhetsverktyg från Google. Det är dock en flexibel plattform som integreras med ett brett utbud av tredjepartsverktyg för att förbättra säkerheten och öka täckningen avseende komponenter, risker och metoder.

Funktioner

  • Visa och åtgärda felkonfigurerade problem som brandväggar, IAM-regler etc.
  • Upptäck, reagera och förebygg hot och efterlevnadsproblem
  • Identifiera de flesta av sårbarheterna och riskerna som blandat innehåll, flashinjektion och mer samtidigt som du enkelt kan utforska resultaten.
  • Identifiera offentligt exponerade tillgångar som virtuella datorer, SQL-instanser, hinkar, datauppsättningar, etc.
  • Upptäckt och inventering av tillgångar, identifiering av sårbarheter, känsliga data och avvikelser,
  • Integreras med tredjepartsverktyg för att förbättra identifieringen och åtgärden av komprometterade slutpunkter, nätverksattacker, DDoS, policy- och efterlevnadsöverträdelser, instanssäkerhetssårbarheter och hot.

Generellt sett är säkerhetsledningscentralen en flexibel lösning för att möta varje organisations behov. Verktyget integreras med olika säkerhetsverktyg från Google som Cloud Data Loss Prevention och Web Security Scanner, såväl som tredjeparts säkerhetslösningar som McAfee, Qualys, CloudGuard och mer.

Forseti

Forseti är en öppen källkod, som hjälper dig att få synlighet i din GCP-miljö, åtgärda sårbarheter samt övervaka och förstå policyer och efterlevnad. Den består av olika kärnmoduler som du enkelt kan aktivera, konfigurera och köra självständigt.

Det finns också flera tilläggsmoduler för att förbättra Forsetis möjligheter och anpassning.

Funktioner

  • Övervaka dina GCP-resurser för att säkerställa att säkerhetsfunktionerna som åtkomstkontroller är på plats och skyddade mot obehöriga ändringar.
  • Inventera resurserna och håll koll på din GCP-miljö.
  • Förstå och tillämpa säkerhets- och brandväggspolicyer och regler
  • Utvärdera inställningarna och se till att de överensstämmer och inte exponerar några eller dina GCP-resurser.
  • Få synliga insikter i dina policyer för Cloud Identity and Access Management (Cloud IAM) förutom att visa vilken åtkomst användare har till resurserna.
  • Har en Visualizer som hjälper dig att förstå din GCP-säkerhetsstruktur samt identifiera policyefterlevnad och överträdelser.

CloudGuard

CloudGuard är en molnbaserad agentfri säkerhetslösning som utvärderar och visualiserar säkerhetsställningen för GPC-plattformen, vilket gör det möjligt för team att skydda sina molntillgångar och miljö. Lösningen analyserar olika tillgångar, inklusive beräkningsmotorn, databaser, virtuella maskiner och andra tjänster, såväl som nätverkets brandväggar med mera.

Funktioner

  • Tillhandahålla kontinuerlig övervakning av säkerhetspolicyer och händelser, upptäcka ändringar och kontrollera efterlevnad.
  • Identifiera och åtgärda felkonfigurationer samt sårbarheter och relaterade säkerhetsrisker.
  • Hård säkerhet och säkerställ efterlevnad och bästa praxis.
  • Kraftfulla visualiseringar och säkerhetsposition för GCP-nätverkstillgångarna
  • Integreras sömlöst med GCP såväl som andra offentliga moln som Amazon webbtjänster och Microsoft Azure.
  • Upprätthålla styrningspolicyer som passar organisationens unika säkerhetsbehov.

Cloudsploit

Cloudsploit är en kraftfull lösning som kontrollerar och automatiskt upptäcker säkerhetskonfigurationsproblem i Google Cloud Platform såväl som andra offentliga molntjänster som Azure, AWS, Github och Oracle.

Säkerhetslösningen ansluter till GCP-projekten, där den tillhandahåller övervakning av de olika komponenterna. Det ger upptäckt av säkerhetsfelkonfigurationer, skadliga aktiviteter, exponerade tillgångar och andra sårbarheter.

Funktioner

  • Lätt att distribuera och använda övervakningslösning för säkerhetskonfiguration med en varningsfunktion
  • Snabba och tillförlitliga skanningar och rapporter
  • Ger insikter i säkerhetsställning och efterlevnad
  • Kontrollerar systemen samtidigt som privilegier, roller, nätverk, certifikat, användningstrender, autentisering och olika konfigurationer analyseras.
  • Ger översikter på kontonivå som gör att du kan se och enkelt identifiera trender och relativa risknivåer över tid.
  • En API-baserad design som gör det enkelt att integrera verktyget med olika CISO-dashboards och andra rapporteringssystem.

Prisma Cloud

Prisma moln är en integrerad, molnbaserad lösning för att säkerställa korrekt implementering och underhåll av säkerheten och efterlevnaden av GCP-miljön, applikationerna och resurserna.

Det omfattande verktyget har API:er som integreras sömlöst med GCP-tjänsten för att ge kontinuerliga insikter, skydd och rapportering utöver efterlevnad.

Funktioner

  • Omfattande, skalbar, API-baserad säkerhetslösning som ger insikter, kontinuerlig övervakning, hotdetektering och svar.
  • Fullständig synlighet som låter dig identifiera och åtgärda felkonfigurationer, arbetsbelastningssårbarheter, nätverkshot, dataläckage, osäker användaraktivitet och mer
  • Skyddar arbetsbelastningar, behållare och appar som körs över Google Cloud Platform.
  • Anpassad tillämpning av säkerhetspolicyer baserat på applikationer, användare eller enheter.
  • Genomför enkelt styrningspolicyer och efterlevnad av ett brett utbud av standarder inklusive, men begränsat till, NIST, CIS, GDPR, HIPAA och PCI.

Cloud Custodian

Molnvårdare är en öppen källkod, flexibel och lättviktig regelmotor för molnsäkerhet och styrning. Lösningen gör att du kan hantera dina GCP-konton och resurser på ett säkert sätt. Förutom säkerhet hjälper den integrerade lösningen till att optimera kostnaderna genom att hantera resursanvändning, vilket gör att du kan spara pengar.

Funktioner

  • Upprätthållande av säkerhetspolicyer i realtid och efterlevnad av åtkomsthantering, brandväggsregler, kryptering, taggar, sophämtning, automatiserad resurshantering utanför öppettider, etc.
  • Ger enhetliga mätvärden och rapporter
  • Integreras sömlöst med funktionerna i Google Cloud Platform
  • Tillhandahåll automatiskt GCP AuditLog och andra serverlösa funktioner.

McAfee MVISION

De McAfee MVISION är en säkerhetslösning som integreras med Google Cloud SCC för att ge team insyn i säkerhetsläget för deras GCP-resurser och upptäcka och åtgärda sårbarheter och hot.

Den molnbaserade lösningen tillhandahåller också konfigurationsrevisioner som gör det möjligt för säkerhetsteam att identifiera och hantera dolda risker. Den har molnpolicymotorer som förbättrar GCP-frågorna och därmed möjligheten att hitta olika säkerhetsfelkonfigurationer på olika GCP-tjänster.

Funktioner

  • Ger insikter som hjälper team att identifiera och ta itu med säkerhets- och efterlevnadsproblem.
  • Förbättrar och omfattande granskning av konfigurationer för att hitta dolda sårbarheter, vilket gör att teamen kan tillämpa bästa praxis.
  • Ger synlighet för att ge team möjlighet att undersöka säkerhetsincidenter, anomalier, överträdelser och hot, vilket möjliggör snabba korrigerande åtgärder i molnsäkerhetskommandocentret.
  • Meddelanden när det finns säkerhetshot eller policyöverträdelser.
  • Visualisera sårbarheter och hot på Google Cloud SCC-instrumentpaneler.

Netskope

Netskope gör det möjligt för dig att snabbt identifiera och åtgärda säkerhetsproblem, hot och felkonfigurationer som utsätter dina digitala tillgångar för hot och attacker.

Förutom att komplettera GSCC för att skydda beräkningsinstanser, objektlagring, databaser och andra tillgångar, går Netskope djupare och bredare för att ge insikter om felkonfigurationer, avancerade hot och risker.

Funktioner

  • Få värdefull insyn i realtid av hot, sårbarheter, felkonfigurationer och efterlevnad på din Googles molnplattform.
  • Identifiera och åtgärda eventuella sårbarheter, felkonfigurationer, efterlevnad och säkerhetsrisker.
  • Övervaka din säkerhetskonfiguration kontinuerligt och kontrollera dem mot bästa praxis. Identifiera problem och upprätthåll standarder baserat på bästa praxis och CIS-riktmärken.
  • Efterlevnadsrapportering – inventerar dina GCP-resurser för att fastställa och rapportera felkonfigurationer och avvikelser.

Snubbeltråd

Tripwire Cloud Cybersecurity är en heltäckande lösning som gör det möjligt för organisationer att implementera effektiva säkerhetskonfigurationer och kontroller, vilket förhindrar att deras digitala tillgångar exponeras. Den kombinerar konfigurationshantering, en molnhanteringsbedömare (CMA) och funktioner för övervakning av filintegritet för att identifiera offentligt exponerade resurser och data på GCP.

Nyckelfunktioner

  • Upptäck och adressera offentligt exponerade GCP-lagringshinkar eller -instanser för att säkerställa korrekt konfiguration och datasäkerhet.
  • Samlar in, analyserar och poängsätter GCP-konfigurationens data, vilket gör att du kan identifiera och åtgärda felkonfigurationer.
  • Övervaka konfigurationsändringar som äventyrar GCP-molnet eller exponerar tillgångar
  • Tripwires molnhanteringsutvärderare övervakar Google Cloud Platform för felkonfiguration, varpå den varnar säkerhetsteamen för åtgärdande.

Scoutsvit

De Scoutsvit är ett säkerhetsgranskningsverktyg med öppen källkod för GCP och andra offentliga moln. Det gör det möjligt för säkerhetsteam att bedöma sina GCP-miljöers säkerhetsställning och identifiera felkonfigurationer och andra sårbarheter.

Verktyget för konfigurationsgranskning av Scout Suite interagerar enkelt med API:erna som Google exponerar för att samla in och analysera säkerhetspositionsdata. Den markerar sedan eventuella sårbarheter som den identifierar.

Aqua Security

Aqua Security är en plattform som ger organisationer synliga insikter i GCP och andra AWS, Oracle Cloud, Azure. Det hjälper till att förenkla och genomdriva policyer och efterlevnad.

Aqua integreras med Googles Cloud Security Command Center, andra tredjepartslösningar och analys- och övervakningsverktyg. Detta gör att du kan se och hantera din säkerhet, policyer och efterlevnad från en enda plats.

Funktioner

  • Skanna, identifiera och åtgärda felkonfigurationer, skadlig programvara och sårbarheter på bilder
  • Framtvinga bildernas integritet över hela applikationens livscykel
  • Definiera och upprätthålla privilegier och efterlevnadsstandarder som PCI, GDPR, HIPAA, etc.
  • Tillhandahåller förbättrade hotupptäckts- och begränsningsåtgärder för GCP-containers arbetsbelastningar.
  • Skapa och tillämpa policyer för bildsäkerhet för att förhindra att komprometterade, sårbara eller felkonfigurerade bilder körs i din Google Kubernetes Engine-miljö
  • Det hjälper dig att bygga ett revisionsspår för kriminalteknik och efterlevnad.
  • Det ger kontinuerlig genomsökning av inställningarna för att hitta sårbarheter och anomalier.

GCPBucketBrute

De GCPBucketBrute är en anpassningsbar och effektiv säkerhetslösning med öppen källkod för att upptäcka öppna eller felkonfigurerade Google Storage-hinkar. I allmänhet är detta ett skript som räknar upp Googles lagringshinkar för att fastställa om det finns osäkra konfigurationer och privilegieskaleringar.

Funktioner

  • Upptäck öppna GCP-hinkar och riskfyllda behörighetsupptrappningar på molninstanser på plattformen.
  • Kontrollera privilegiet i varje upptäckt hink och avgör om de är sårbara för privilegieskalering.
  • Lämplig för Googles molnpenetrationstester, röda teamengagemang och mer.

Cloud Security Suite

Säkerhet FTW Cloud Security Suite är en annan öppen källkod för granskning av säkerhetsläget för GCP-infrastruktur. Allt-i-ett-lösningen hjälper dig att granska konfigurationerna och säkerheten för GCP:s konton och kan identifiera ett brett spektrum av sårbarheter.

Slutsats

Google Cloud Platform tillhandahåller en flexibel och mycket skalbar IT-infrastruktur. Men precis som andra molnmiljöer kan den ha sårbarheter om den inte konfigureras korrekt. Dåliga aktörer kan utnyttja för att äventyra systemen, stjäla data, infektera med skadlig programvara eller begå andra cyberattacker.

Som tur är kan företag säkra sina GCP-miljöer genom att följa goda säkerhetsrutiner och använda pålitliga verktyg för att skydda, kontinuerligt övervaka och ge insyn i konfigurationerna och den övergripande säkerhetsställningen.