gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-16 23:01:43 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 18:57:14 +00:00
parent 7770a50092
commit 77a009d308
244 changed files with 8632 additions and 11470 deletions
Download Patch File Download Diff File Expand all files Collapse all files

84
src/pentesting-cloud/gcp-security/gcp-services/gcp-security-enum.md
View File

@@ -2,38 +2,37 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Grundlegende Informationen
Google Cloud Platform (GCP) Security encompasses a **comprehensive suite of tools** and practices designed to ensure the **security** of resources and data within the Google Cloud environment, divided into four main sections: **Security Command Center, Detections and Controls, Data Protection and Zero Turst.**
Google Cloud Platform (GCP) Sicherheit umfasst eine **umfassende Suite von Tools** und Praktiken, die darauf abzielen, die **Sicherheit** von Ressourcen und Daten innerhalb der Google Cloud-Umgebung zu gewährleisten, unterteilt in vier Hauptbereiche: **Security Command Center, Detections and Controls, Data Protection und Zero Trust.**
## **Security Command Center**
The Google Cloud Platform (GCP) Security Command Center (SCC) is a **security and risk management tool for GCP** resources that enables organizations to gain visibility into and control over their cloud assets. It helps **detect and respond to threats** by offering comprehensive security analytics, **identifying misconfigurations**, ensuring **compliance** with security standards, and **integrating** with other security tools for automated threat detection and response.
Das Google Cloud Platform (GCP) Security Command Center (SCC) ist ein **Sicherheits- und Risikomanagement-Tool für GCP**-Ressourcen, das es Organisationen ermöglicht, Sichtbarkeit und Kontrolle über ihre Cloud-Assets zu gewinnen. Es hilft, **Bedrohungen zu erkennen und darauf zu reagieren**, indem es umfassende Sicherheitsanalysen bietet, **Fehlkonfigurationen identifiziert**, die **Einhaltung** von Sicherheitsstandards sicherstellt und sich **mit anderen Sicherheitstools integriert** für automatisierte Bedrohungserkennung und -reaktion.
- **Overview**: Panel to **visualize an overview** of all the result of the Security Command Center.
- Threats: \[Premium Required] Panel to visualize all the **detected threats. Check more about Threats below**
- **Vulnerabilities**: Panel to **visualize found misconfigurations in the GCP account**.
- **Compliance**: \[Premium required] This section allows to **test your GCP environment against several compliance checks** (such as PCI-DSS, NIST 800-53, CIS benchmarks...) over the organization.
- **Assets**: This section **shows all the assets being used**, very useful for sysadmins (and maybe attacker) to see what is running in a single page.
- **Findings**: This **aggregates** in a **table findings** of different sections of GCP Security (not only Command Center) to be able to visualize easily findings that matters.
- **Sources**: Shows a **summary of findings** of all the different sections of GCP security **by sectio**n.
- **Posture**: \[Premium Required] Security Posture allows to **define, assess, and monitor the security of the GCP environment**. It works by creating policy that defines constraints or restrictions that controls/monitor the resources in GCP. There are several pre-defined posture templates that can be found in [https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy](https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy)
- **Überblick**: Panel zur **Visualisierung eines Überblicks** über alle Ergebnisse des Security Command Centers.
- Bedrohungen: \[Premium erforderlich] Panel zur Visualisierung aller **erkannten Bedrohungen. Weitere Informationen zu Bedrohungen finden Sie unten**
- **Schwachstellen**: Panel zur **Visualisierung gefundener Fehlkonfigurationen im GCP-Konto**.
- **Compliance**: \[Premium erforderlich] Dieser Abschnitt ermöglicht es, die **GCP-Umgebung gegen mehrere Compliance-Prüfungen** (wie PCI-DSS, NIST 800-53, CIS-Benchmarks...) über die Organisation zu testen.
- **Assets**: Dieser Abschnitt **zeigt alle verwendeten Assets**, sehr nützlich für Sysadmins (und vielleicht Angreifer), um zu sehen, was auf einer einzigen Seite läuft.
- **Ergebnisse**: Dies **aggregiert** in einer **Tabelle Ergebnisse** aus verschiedenen Abschnitten der GCP-Sicherheit (nicht nur Command Center), um wichtige Ergebnisse leicht visualisieren zu können.
- **Quellen**: Zeigt eine **Zusammenfassung der Ergebnisse** aus allen verschiedenen Abschnitten der GCP-Sicherheit **nach Abschnitt**.
- **Posture**: \[Premium erforderlich] Security Posture ermöglicht es, die **Sicherheit der GCP-Umgebung zu definieren, zu bewerten und zu überwachen**. Es funktioniert, indem Richtlinien erstellt werden, die Einschränkungen oder Beschränkungen definieren, die die Ressourcen in GCP steuern/überwachen. Es gibt mehrere vordefinierte Posture-Vorlagen, die unter [https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy](https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy) gefunden werden können.
### **Threats**
### **Bedrohungen**
From the perspective of an attacker, this is probably the **most interesting feature as it could detect the attacker**. However, note that this feature requires **Premium** (which means that the company will need to pay more), so it **might not be even enabled**.
Aus der Perspektive eines Angreifers ist dies wahrscheinlich die **interessanteste Funktion, da sie den Angreifer erkennen könnte**. Beachten Sie jedoch, dass diese Funktion **Premium** erfordert (was bedeutet, dass das Unternehmen mehr bezahlen muss), sodass sie **vielleicht nicht einmal aktiviert ist**.
There are 3 types of threat detection mechanisms:
Es gibt 3 Arten von Bedrohungserkennungsmechanismen:
- **Event Threats**: Findings produced by matching events from **Cloud Logging** based on **rules created** internally by Google. It can also scan **Google Workspace logs**.
- It's possible to find the description of all the [**detection rules in the docs**](https://cloud.google.com/security-command-center/docs/concepts-event-threat-detection-overview?authuser=2#how_works)
- **Container Threats**: Findings produced after analyzing low-level behavior of the kernel of containers.
- **Custom Threats**: Rules created by the company.
- **Ereignisbedrohungen**: Ergebnisse, die durch das Abgleichen von Ereignissen aus **Cloud Logging** basierend auf **intern von Google erstellten Regeln** erzeugt werden. Es kann auch **Google Workspace-Protokolle** scannen.
- Es ist möglich, die Beschreibung aller [**Erkennungsregeln in den Dokumenten**](https://cloud.google.com/security-command-center/docs/concepts-event-threat-detection-overview?authuser=2#how_works) zu finden.
- **Containerbedrohungen**: Ergebnisse, die nach der Analyse des Verhaltens des Kernels von Containern auf niedriger Ebene erzeugt werden.
- **Benutzerdefinierte Bedrohungen**: Regeln, die vom Unternehmen erstellt wurden.
It's possible to find recommended responses to detected threats of both types in [https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response](https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response)
### Enumeration
Es ist möglich, empfohlene Reaktionen auf erkannte Bedrohungen beider Typen unter [https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response](https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response) zu finden.
### Aufzählung
```bash
# Get a source
gcloud scc sources describe <org-number> --source=5678
@@ -45,7 +44,6 @@ gcloud scc notifications list <org-number>
# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>
```
### Post Exploitation
{{#ref}}
@@ -54,28 +52,28 @@ gcloud scc findings list <org-number>
## Detections and Controls
- **Chronicle SecOps**: An advanced security operations suite designed to help teams increase their speed and impact of security operations, including threat detection, investigation, and response.
- **reCAPTCHA Enterprise**: A service that protects websites from fraudulent activities like scraping, credential stuffing, and automated attacks by distinguishing between human users and bots.
- **Web Security Scanner**: Automated security scanning tool that detects vulnerabilities and common security issues in web applications hosted on Google Cloud or another web service.
- **Risk Manager**: A governance, risk, and compliance (GRC) tool that helps organizations assess, document, and understand their Google Cloud risk posture.
- **Binary Authorization**: A security control for containers that ensures only trusted container images are deployed on Kubernetes Engine clusters according to policies set by the enterprise.
- **Advisory Notifications**: A service that provides alerts and advisories about potential security issues, vulnerabilities, and recommended actions to keep resources secure.
- **Access Approval**: A feature that allows organizations to require explicit approval before Google employees can access their data or configurations, providing an additional layer of control and auditability.
- **Managed Microsoft AD**: A service offering managed Microsoft Active Directory (AD) that allows users to use their existing Microsoft AD-dependent apps and workloads on Google Cloud.
- **Chronicle SecOps**: Eine fortschrittliche Sicherheitsoperationssuite, die Teams dabei hilft, die Geschwindigkeit und den Einfluss ihrer Sicherheitsoperationen, einschließlich Bedrohungserkennung, Untersuchung und Reaktion, zu erhöhen.
- **reCAPTCHA Enterprise**: Ein Dienst, der Websites vor betrügerischen Aktivitäten wie Scraping, Credential Stuffing und automatisierten Angriffen schützt, indem er zwischen menschlichen Benutzern und Bots unterscheidet.
- **Web Security Scanner**: Automatisiertes Sicherheitsscanning-Tool, das Schwachstellen und häufige Sicherheitsprobleme in Webanwendungen erkennt, die auf Google Cloud oder einem anderen Webdienst gehostet werden.
- **Risk Manager**: Ein Governance-, Risiko- und Compliance- (GRC) Tool, das Organisationen hilft, ihre Google Cloud-Risikolage zu bewerten, zu dokumentieren und zu verstehen.
- **Binary Authorization**: Eine Sicherheitskontrolle für Container, die sicherstellt, dass nur vertrauenswürdige Container-Images auf Kubernetes Engine-Clustern gemäß den von der Unternehmenspolitik festgelegten Richtlinien bereitgestellt werden.
- **Advisory Notifications**: Ein Dienst, der Warnungen und Hinweise zu potenziellen Sicherheitsproblemen, Schwachstellen und empfohlenen Maßnahmen bereitstellt, um Ressourcen sicher zu halten.
- **Access Approval**: Eine Funktion, die es Organisationen ermöglicht, eine ausdrückliche Genehmigung zu verlangen, bevor Google-Mitarbeiter auf ihre Daten oder Konfigurationen zugreifen können, und so eine zusätzliche Kontrolle und Nachvollziehbarkeit bietet.
- **Managed Microsoft AD**: Ein Dienst, der verwaltetes Microsoft Active Directory (AD) anbietet und es Benutzern ermöglicht, ihre bestehenden Microsoft AD-abhängigen Apps und Workloads auf Google Cloud zu nutzen.
## Data Protection
- **Sensitive Data Protection**: Tools and practices aimed at safeguarding sensitive data, such as personal information or intellectual property, against unauthorized access or exposure.
- **Data Loss Prevention (DLP)**: A set of tools and processes used to identify, monitor, and protect data in use, in motion, and at rest through deep content inspection and by applying a comprehensive set of data protection rules.
- **Certificate Authority Service**: A scalable and secure service that simplifies and automates the management, deployment, and renewal of SSL/TLS certificates for internal and external services.
- **Key Management**: A cloud-based service that allows you to manage cryptographic keys for your applications, including the creation, import, rotation, use, and destruction of encryption keys. More info in:
- **Sensitive Data Protection**: Werkzeuge und Praktiken, die darauf abzielen, sensible Daten, wie persönliche Informationen oder geistiges Eigentum, vor unbefugtem Zugriff oder Offenlegung zu schützen.
- **Data Loss Prevention (DLP)**: Eine Reihe von Werkzeugen und Prozessen, die verwendet werden, um Daten im Einsatz, in Bewegung und im Ruhezustand durch tiefgehende Inhaltsinspektion zu identifizieren, zu überwachen und zu schützen sowie durch die Anwendung eines umfassenden Sets von Datenschutzregeln.
- **Certificate Authority Service**: Ein skalierbarer und sicherer Dienst, der die Verwaltung, Bereitstellung und Erneuerung von SSL/TLS-Zertifikaten für interne und externe Dienste vereinfacht und automatisiert.
- **Key Management**: Ein cloudbasierter Dienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Anwendungen zu verwalten, einschließlich der Erstellung, des Imports, der Rotation, der Verwendung und der Zerstörung von Verschlüsselungsschlüsseln. Weitere Informationen in:
{{#ref}}
gcp-kms-enum.md
{{#endref}}
- **Certificate Manager**: A service that manages and deploys SSL/TLS certificates, ensuring secure and encrypted connections to your web services and applications.
- **Secret Manager**: A secure and convenient storage system for API keys, passwords, certificates, and other sensitive data, which allows for the easy and secure access and management of these secrets in applications. More info in:
- **Certificate Manager**: Ein Dienst, der SSL/TLS-Zertifikate verwaltet und bereitstellt und sichere und verschlüsselte Verbindungen zu Ihren Webdiensten und Anwendungen gewährleistet.
- **Secret Manager**: Ein sicheres und praktisches Speichersystem für API-Schlüssel, Passwörter, Zertifikate und andere sensible Daten, das den einfachen und sicheren Zugriff und die Verwaltung dieser Geheimnisse in Anwendungen ermöglicht. Weitere Informationen in:
{{#ref}}
gcp-secrets-manager-enum.md
@@ -83,14 +81,10 @@ gcp-secrets-manager-enum.md
## Zero Trust
- **BeyondCorp Enterprise**: A zero-trust security platform that enables secure access to internal applications without the need for a traditional VPN, by relying on verification of user and device trust before granting access.
- **Policy Troubleshooter**: A tool designed to help administrators understand and resolve access issues in their organization by identifying why a user has access to certain resources or why access was denied, thereby aiding in the enforcement of zero-trust policies.
- **Identity-Aware Proxy (IAP)**: A service that controls access to cloud applications and VMs running on Google Cloud, on-premises, or other clouds, based on the identity and the context of the request rather than by the network from which the request originates.
- **VPC Service Controls**: Security perimeters that provide additional layers of protection to resources and services hosted in Google Cloud's Virtual Private Cloud (VPC), preventing data exfiltration and providing granular access control.
- **Access Context Manager**: Part of Google Cloud's BeyondCorp Enterprise, this tool helps define and enforce fine-grained access control policies based on a user's identity and the context of their request, such as device security status, IP address, and more.
- **BeyondCorp Enterprise**: Eine Zero-Trust-Sicherheitsplattform, die sicheren Zugriff auf interne Anwendungen ermöglicht, ohne dass ein traditionelles VPN erforderlich ist, indem sie sich auf die Überprüfung des Vertrauens von Benutzern und Geräten stützt, bevor der Zugriff gewährt wird.
- **Policy Troubleshooter**: Ein Tool, das Administratoren hilft, Zugriffsprobleme in ihrer Organisation zu verstehen und zu lösen, indem es identifiziert, warum ein Benutzer Zugriff auf bestimmte Ressourcen hat oder warum der Zugriff verweigert wurde, und so die Durchsetzung von Zero-Trust-Richtlinien unterstützt.
- **Identity-Aware Proxy (IAP)**: Ein Dienst, der den Zugriff auf Cloud-Anwendungen und VMs, die auf Google Cloud, vor Ort oder in anderen Clouds ausgeführt werden, basierend auf der Identität und dem Kontext der Anfrage steuert, anstatt auf dem Netzwerk, von dem die Anfrage stammt.
- **VPC Service Controls**: Sicherheitsperimeter, die zusätzliche Schutzschichten für Ressourcen und Dienste bieten, die in Google Clouds Virtual Private Cloud (VPC) gehostet werden, um Datenexfiltration zu verhindern und granulare Zugriffskontrolle zu ermöglichen.
- **Access Context Manager**: Teil von Google Clouds BeyondCorp Enterprise, hilft dieses Tool, feingranulare Zugriffskontrollrichtlinien basierend auf der Identität eines Benutzers und dem Kontext seiner Anfrage, wie z.B. Sicherheitsstatus des Geräts, IP-Adresse und mehr, zu definieren und durchzusetzen.
{{#include ../../../banners/hacktricks-training.md}}