如何执行 GCP 安全扫描以查找错误配置?

作者
Tweet
Share
Share
Pin
0 Shares

☁️ 云基础设施因其灵活性、强大的扩展能力、卓越的性能以及经济实惠的特点而备受青睐。

一旦您开始使用诸如 Google Cloud Platform (GCP) 这样的服务,您就不必再为自建数据中心及其相关基础设施带来的高昂成本和维护费用而烦恼。 然而,传统的本地安全措施在面对虚拟环境时,往往显得力不从心,无法提供及时有效的安全保障。

与本地数据中心依赖外围安全来保护整个设施和资源不同,云环境的特性,例如技术和位置的多样性,需要采用不同的安全策略。 通常,云环境的分布性和动态性会导致攻击面的扩大。

尤其值得注意的是,云平台和组件上出现的配置错误会暴露资产,同时也增加了潜在的安全风险。 有时,开发人员在开发软件时可能会临时开放数据存储,但在产品上线时却忘记关闭。

因此,除了遵循安全最佳实践外,还需确保配置的正确性,并提供持续的监控、可见性和合规性。

值得庆幸的是,市面上存在一些工具,可以通过检测和防止错误配置,提供对 GCP 安全态势的可见性,以及识别和修复其他漏洞,来帮助您提升安全水平。

更新:关于 AWS 安全扫描器的信息,请参考这篇文章。

谷歌云 SCC

谷歌云 SCC 是一个综合的风险分析和仪表板系统,它可以帮助 GCP 用户了解其安全状态,并通过统一的管理平台采取补救措施,保护云资源和资产免受侵害。

Cloud SCC(安全指挥中心)能够提供对 Google 云环境中运行的资产和风险配置错误的可见性,从而帮助团队降低面临威胁的风险。 此外,其全面的安全和数据风险管理工具能够帮助 GCP 用户实施安全最佳实践。

基本的指挥中心集成了来自 Google 的多种安全工具。 但同时,它也是一个灵活的平台,可以与各种第三方工具集成,以增强安全性,并增加对组件、风险和安全措施的覆盖范围。

功能特性:

  • 检查并解决配置错误,例如防火墙、IAM 规则等。
  • 检测、响应和预防威胁以及合规性问题。
  • 识别大多数漏洞和风险,例如混合内容、Flash 注入等,并提供便捷的结果浏览功能。
  • 识别暴露的资产,如虚拟机、SQL 实例、存储桶、数据集等。
  • 资产发现和清点,识别漏洞、敏感数据和异常情况。
  • 与第三方工具集成,以增强对受损终端、网络攻击、DDoS 攻击、策略和合规性违规、实例安全漏洞和威胁的识别与解决能力。

总而言之,安全指挥中心是一个能够满足各种组织需求的灵活解决方案。该工具可以与多种 Google 安全工具(例如 Cloud Data Loss Prevention 和 Web Security Scanner)以及第三方安全解决方案(如 McAfee、Qualys、CloudGuard 等)集成。

福塞蒂

福塞蒂 是一款开源软件,它能帮助您深入了解 GCP 环境、解决漏洞,以及监控和理解策略与合规性。它由多个核心模块组成,这些模块可以独立启用、配置和运行。

此外,还有一些附加模块,可以增强 Forseti 的功能和定制性。

功能特性:

  • 监控您的 GCP 资源,确保访问控制等安全功能到位,并防止未经授权的修改。
  • 清点资源并跟踪您的 GCP 环境。
  • 了解并执行安全和防火墙策略与规则。
  • 评估设置,确保其合规且不会暴露您的任何 GCP 资源。
  • 除了显示用户对资源的访问权限外,还可以深入了解您的 Cloud Identity and Access Management (Cloud IAM) 策略。
  • 提供可视化工具,帮助您理解 GCP 安全架构,并识别策略的遵守和违规情况。

云卫士

云卫士 是一种云原生的无代理安全解决方案,用于评估和可视化 GPC 平台的安全态势,从而帮助团队保护其云资产和环境。该解决方案可以分析各种资产,包括计算引擎、数据库、虚拟机和其他服务以及网络防火墙等。

功能特性:

  • 提供对安全策略和事件的持续监控,检测更改并检查合规性。
  • 识别并解决错误配置以及漏洞和相关的安全风险。
  • 加强安全性,确保合规性和最佳实践。
  • 提供对 GCP 网络资产的强大可视化和安全态势。
  • 与 GCP 以及其他公共云(如 Amazon Web 服务和 Microsoft Azure)无缝集成。
  • 执行符合组织独特安全需求的治理策略。

云裂

云裂 是一种强大的解决方案,可以检查并自动检测 Google Cloud Platform 以及 Azure、AWS、Github 和 Oracle 等其他公共云服务中的安全配置问题。

该安全解决方案会连接到 GCP 项目,并对其中的各种组件进行监控。它可以检测安全错误配置、恶意活动、暴露的资产以及其他漏洞。

功能特性:

  • 易于部署和使用,配备报警功能的安全配置监控解决方案。
  • 提供快速可靠的单点扫描和报告。
  • 提供关于安全状况和合规性的深入分析。
  • 检查系统,同时分析权限、角色、网络、证书、使用趋势、身份验证和各种配置。
  • 提供帐户级别的概览,使您能够查看并轻松识别一段时间内的趋势和相对风险等级。
  • 采用基于 API 的设计,可以轻松地将该工具与各种 CISO 仪表板和其他报告系统集成。

棱镜云

棱镜云 是一种集成的云原生解决方案,旨在确保 GCP 环境、应用程序和资源的安全性和合规性得到正确实施和维护。

这款综合工具的 API 可以与 GCP 服务无缝集成,提供持续的洞察力、保护、报告和合规性强制执行。

功能特性:

  • 全面、可扩展、基于 API 的安全解决方案,提供深入的分析、持续监控、威胁检测和响应。
  • 全面的可见性,使您能够识别和解决错误配置、工作负载漏洞、网络威胁、数据泄漏、不安全的用户活动等。
  • 保护跨 Google Cloud Platform 运行的工作负载、容器和应用程序。
  • 可以基于应用程序、用户或设备实施自定义的安全策略。
  • 轻松执行治理策略,并符合各种标准,包括但不限于 NIST、CIS、GDPR、HIPAA 和 PCI。

云托管

云托管人 是一个用于云安全和治理的开源、灵活和轻量级的规则引擎。 该解决方案使您能够安全地管理您的 GCP 帐户和资源。 除了安全性之外,集成解决方案还可以通过管理资源使用来帮助优化成本,从而节省资金。

功能特性:

  • 在访问管理、防火墙规则、加密、标签、垃圾回收、自动关闭闲置资源等方面实时执行安全策略和合规性。
  • 提供统一的指标和报告。
  • 与 Google Cloud Platform 功能无缝集成。
  • 自动配置 GCP AuditLog 和其他无服务器功能。

迈克菲 MVISION

迈克菲 MVISION 是一种与 Google Cloud SCC 集成的安全解决方案,它可以帮助团队了解其 GCP 资源的安全状况,并检测和解决漏洞与威胁。

此外,该云原生解决方案还提供配置审计功能,使安全团队能够识别和解决隐藏的风险。它拥有增强 GCP 查询的云策略引擎,因此能够检测各种 GCP 服务中的多种安全配置错误。

功能特性:

  • 提供有助于团队识别和解决安全性和合规性问题的深入分析。
  • 增强和全面的配置审计,可以发现隐藏的漏洞,帮助团队实施最佳实践。
  • 提供可见性,使团队能够调查安全事件、异常情况、违规行为和威胁,从而在云安全指挥中心实现快速补救措施。
  • 在存在安全威胁或违反策略时提供通知。
  • 在 Google Cloud SCC 仪表板上可视化漏洞和威胁。

网管

网管 可以帮助您快速识别和解决那些威胁和攻击数字资产的安全问题、威胁和错误配置。

除了在保护计算实例、对象存储、数据库和其他资产方面对 GSCC 进行补充外,Netskope 还提供了更深入、更广泛的关于错误配置、高级威胁和风险的洞察。

功能特性:

  • 在您的 Google 云平台上获得对威胁、漏洞、错误配置和合规性的有价值的实时可见性。
  • 识别并解决任何漏洞、错误配置、合规性和安全风险。
  • 持续监控您的安全配置,并根据最佳实践对其进行检查。 根据最佳实践和 CIS 基准识别问题并执行标准。
  • 合规性报告——清点您的 GCP 资源,以确定和报告错误配置和异常情况。

绊线

Tripwire 云网络安全 是一款全面的解决方案,可以帮助组织实施有效的安全配置和控制,从而防止数字资产暴露。 它结合了配置管理、云管理评估器 (CMA) 和文件完整性监控功能,可以识别 GCP 上公开暴露的资源和数据。

主要特性:

  • 发现并解决公开暴露的 GCP 存储桶或实例,以确保正确的配置和数据安全。
  • 收集、分析 GCP 配置的数据并对其进行评分,使您能够识别和解决错误配置。
  • 监控危及 GCP 云或暴露资产的配置更改。
  • Tripwire 云管理评估器监控 Google Cloud Platform 的配置错误,并在此提醒安全团队进行补救。

童军套房

童军套房 是一款针对 GCP 和其他公有云的开源安全审计工具。 它可以帮助安全团队评估其 GCP 环境的安全状况,并识别错误配置和其他漏洞。

Scout Suite 配置审查工具可以轻松地与 Google 公开的 API 交互,以收集和分析安全态势数据。 然后,它会突出显示其识别出的任何漏洞。

水上安全

水上安全 是一个平台,可以为组织提供关于 GCP 以及其他 AWS、Oracle 云、Azure 的可见见解。 它可以帮助简化和执行策略与合规性。

Aqua 与 Google 的云安全指挥中心、其他第三方解决方案以及分析和监控工具集成。这使您可以从一个位置查看和管理您的安全性、策略和合规性。

功能特性:

  • 扫描、识别和解决镜像上的错误配置、恶意软件和漏洞。
  • 在整个应用程序生命周期中强制执行镜像的完整性。
  • 定义和执行特权和合规性标准,例如 PCI、GDPR、HIPAA 等。
  • 为 GCP 容器工作负载提供增强的威胁检测和缓解措施。
  • 创建并执行镜像保证策略,以防止受损、易受攻击或配置错误的镜像在您的 Google Kubernetes Engine 环境中运行。
  • 它可以帮助您为取证和合规建立审计跟踪。
  • 它可以对设置进行连续扫描,以发现漏洞和异常情况。

GCPBucketBrute

GCPBucketBrute 是一种可定制且有效的开源安全解决方案,用于检测开放或配置错误的 Google Storage 存储桶。 通常,这是一个用于枚举 Google 存储桶的脚本,以确定是否存在不安全的配置和权限提升。

功能特性:

  • 在平台上的云实例中发现开放的 GCP 存储桶和存在风险的特权升级。
  • 检查每个发现的存储桶中的特权,并确定它们是否容易受到特权升级的影响。
  • 适用于 Google 云渗透测试、红队参与等。

云安全套件

安全 FTW 云安全套件 是另一款用于审计 GCP 基础设施安全状况的开源软件。 这款多合一解决方案可以帮助您审核 GCP 帐户的配置和安全性,并识别各种漏洞。

结论

Google Cloud Platform 提供灵活且高度可扩展的 IT 基础设施。但是,与其他云环境一样,如果配置不当,就可能会存在漏洞。 不良行为者可能会利用这些漏洞来破坏系统、窃取数据、传播恶意软件或进行其他网络攻击。

幸运的是,企业可以通过遵循良好的安全实践,并使用可靠的工具来保护、持续监控并提供对其配置和整体安全状况的可见性,从而保护其 GCP 环境。