Security Command Center Premium
管理登入權限新方法

2023/06/07

本文編譯自:Google Blog

在數據中心管理和保護登入權限數十年後,安全和 IT 營運團隊在檢測公有雲環境中的身份洩露時面臨新的挑戰。在考慮威脅形勢時,保護雲端服務帳號不被洩露、在複雜的授權系統中的權限升級以及內部威脅侵害是至關重要的任務。

Google為 Google Cloud 內置的安全和風險管理解決方案 Security Command Center Premium 發布新功能,幫助檢測身份並防禦外部攻擊者和惡意內部人員的風險。

為什麼認證身分安全既複雜又困難

在 Google Cloud 中,使用三種類型的主體來管理身份:

  1. Google 帳戶:Google Cloud 的人類最終用戶
  2. 服務帳戶:應用程式和工作負載使用它來訪問資源
  3. 群組:Google 帳戶或服務帳戶的集合

定義委託人後,IT 團隊需要為其分配正確的權限以便訪問 Google Cloud 資源。權限是根據角色分配的,角色控制可以訪問哪些資源。在某些雲端環境中,一個委託人在另一個委託人的許可下合法行事是有意義的,這稱為服務帳戶模擬

使用群組會使管理身份變得更加複雜。例如,群組可以透過組織內部或外部的用戶組成。此外,群組也可以包含其他群組,包括來自組織外部的群組。

雖然此框架為組織提供了管理雲端身份和資源靈活性與效率,但潛在的複雜性,尤其是在公司規模上,都可能是風險的來源。

雲端中身份威脅檢測的重要性

身份訪問管理(IAM) 政策管理委託人如何訪問數據、創建新的計算實例以及修改 Google Cloud 項目、文件夾和組織中的安全設置。Security Command Center Premium 可以檢測有風險的 IAM 策略更改和委託人行為,這些行為可能代表帳戶被其他人接管。檢測發生在整個攻擊鏈上,從最初的憑證訪問、權限升級,到最後的攻擊者持久性。

Security Command Center Premium 提供差異化的檢測功能,它被設計到Google Cloud基礎設施中,並且擁有對核心平台服務(如Google Cloud上論壇)的第一方訪問權。在經過仔細審查的安全和隱私控制下運行,以保護 Google Cloud 客戶數據的私密性。

Security Command Center Premium 中的新身份威脅檢測器

Security Command Center Premium 包括以下新檢測:

  • 過多的失敗嘗試:此檢測器分析當主體嘗試訪問資源但根據策略被拒絕時創建的路徑。雖然一定數量的拒絕嘗試是正常的,但 Security Command Center 會查找異常多的案例,這些異常可能代表對手正試圖獲取他們的權限或探索權限環境。
  • 異常服務帳戶模擬:服務帳戶模擬允許一個主體在另一個主體的許可下進行操作。雖然這是某些組織權限管理的正常方法,但這個新的安全命令中心檢測器旨在識別異常長的模擬鏈,這通常是對手參與權限升級的狀況。
  • 休眠服務帳戶活動:在任何雲端環境中管理服務帳戶的蔓延都很困難,但 Google Cloud 提供政策情報服務。除了根據不經常使用的服務帳戶提出主動建議外,Security Command Center 還會提醒用戶有關已休眠一段時間的服務帳戶所進行的活動。

這些新檢測器增強了 Security Command Center 對常見身份威脅的現有防禦措施:

  • UEBA用戶和實際行為分析)新的地理位置、使用者裝置以及客戶資料:Security Command Center 可以識別委託人何時從新地理位置或使用新客戶資料,來更改 Google Cloud 配置。雖然這些並不是帳戶洩露的決定性證據,但它們能夠幫助分析師在與委託人有關的其他調查結果背景下了解帳戶狀態的訊號。
  • UEBA API 方法:此安全命令中心功能主要是檢測偏離其既定行為模式的過度許可帳戶。當Service account(服務帳戶)使用 API 或 API 上的方法時,在創建後的前 7 天都不能使用。
  • Service account(服務帳戶)的自我審查:人類用戶在開始使用之前先確認自己的 IAM 策略是正常的,可以確保他們擁有必要的權限。而Service account解析 IAM 策略的情況要少得多,當Service account解析自己的 IAM 策略時,通常代表對手已經洩露了Service account密碼並正在使用策略來查看其權限。
  • 持久性、授權和群組:攻擊者可以嘗試在群組中建立備份或隱藏管理帳戶,以在雲端環境中獲得持久性。Security Command Center 會自動檢查群組內的成員身份,並當有外部成員獲得敏感權限時,向群組內成員發出警報。
  • 規避來自匿名帳號的訪問:Security Command Center 會檢測主體何時有匿名帳號對雲端環境進行更改。雖然通過匿名帳號(例如 Tor 出口節點)瀏覽 Web 並不罕見,但在管理雲端環境時使用匿名帳號的合法目的很少。Security Command Center 使用由 Google Cloud Threat Intelligence 團隊定期更新的匿名帳號列表。

保護雲端環境需要能夠檢測基於身份的威脅。Security Command Center 繼續為 Google Cloud 客戶增強檢測和補救功能。轉到您的 Google Cloud 控制台,立即開始使用Security Command Center中的新功能。