2022-08-13 03:08 Doba čtení: 19 min
Cloud a vývoj

Jak provést bezpečnostní skenování GCP, abyste našli nesprávnou konfiguraci?

Výhody cloudové infrastruktury a její zabezpečení

☁️ Cloudová infrastruktura přináší řadu výhod, mezi které patří především flexibilita, škálovatelnost, vysoký výkon a také cenová dostupnost.

Po předplacení cloudových služeb, například Google Cloud Platform (GCP), se už nemusíte zatěžovat vysokými kapitálovými výdaji ani náklady na správu vlastního datového centra a související infrastruktury. Nicméně, tradiční bezpečnostní postupy, které se používají v on-premise prostředích, nemusí být dostatečně rychlé a účinné pro virtuální prostředí, jako je cloud.

Zatímco v on-premise datovém centru chrání bezpečnostní perimetr celou instalaci a zdroje, cloudové prostředí, charakterizované různými technologiemi a umístěními, vyžaduje odlišný přístup k zabezpečení. Decentralizovaná a dynamická povaha cloudu často vede ke zvětšení plochy pro potenciální útoky.

Chybná konfigurace cloudových platforem a jejich komponent představuje zvýšené bezpečnostní riziko a odhaluje citlivá data. Například vývojáři mohou při vývoji softwaru dočasně otevřít úložiště dat, ale zapomenou ho zavřít při uvedení aplikace do provozu.

Z tohoto důvodu je kromě dodržování osvědčených bezpečnostních postupů nezbytné dbát na správné konfigurace a zajistit kontinuální monitorování, viditelnost a dodržování všech relevantních předpisů.

Naštěstí existuje několik nástrojů, které vám pomohou zvýšit úroveň zabezpečení detekcí a prevencí chybných konfigurací, poskytnou vám detailní přehled o stavu zabezpečení GCP a také identifikují a pomohou řešit další potenciální zranitelnosti.

Pro informaci: pokud se zajímáte o bezpečnostní skener pro AWS, podívejte se na tento příspěvek.

Google Cloud SCC

Google Cloud SCC je komplexní systém pro analýzu rizik a řídicí panely, který umožňuje uživatelům GCP lépe porozumět jejich aktuálnímu stavu zabezpečení. Umožňuje také podniknout nápravná opatření, která pomohou chránit cloudové zdroje a data z jedné centrální platformy.

Cloud SCC (Security Command Center) poskytuje přehled o všech aktivech, které jsou v provozu v cloudovém prostředí Google, a o potenciálně rizikových nesprávných konfiguracích. Tím pomáhá týmům snižovat vystavení hrozbám. Tento komplexní nástroj pro správu bezpečnostních a datových rizik také pomáhá zákazníkům GCP prosazovat osvědčené bezpečnostní postupy.

Základní velitelské centrum obsahuje několik bezpečnostních nástrojů od společnosti Google. Je to však flexibilní platforma, která se dokáže integrovat s mnoha nástroji třetích stran, což umožňuje ještě více zvýšit zabezpečení a rozsah pokrytí komponent, rizik a procesů.

Funkce:

  • Zobrazování a řešení nesprávně nakonfigurovaných prvků, jako jsou firewally, pravidla IAM atd.
  • Detekce, reakce a prevence hrozeb a problémů s dodržováním předpisů.
  • Identifikace většiny zranitelností a rizik, jako je smíšený obsah a vkládání blesku, a snadné prozkoumání zjištěných problémů.
  • Identifikace veřejně přístupných aktiv, jako jsou virtuální počítače, instance SQL, buckety, datové sady atd.
  • Zjišťování a inventarizace majetku, identifikace zranitelností, citlivých dat a anomálií.
  • Integrace s nástroji třetích stran pro zlepšení identifikace a řešení ohrožených koncových bodů, síťových útoků, DDoS, porušení zásad a dodržování předpisů, zranitelností zabezpečení instancí a hrozeb.

Celkově je Security Command Center flexibilním řešením, které se dokáže přizpůsobit potřebám jakékoli organizace. Tento nástroj se integruje s různými bezpečnostními nástroji Google, jako je Cloud Data Loss Prevention a Web Security Scanner, a také s bezpečnostními řešeními třetích stran, jako jsou McAfee, Qualys, CloudGuard a další.

Forseti

Forseti je open-source nástroj, který vám pomůže získat lepší přehled o vašem prostředí GCP, řešit zranitelná místa a také monitorovat a porozumět zásadám a dodržování předpisů. Skládá se z různých základních modulů, které můžete jednoduše aktivovat, nakonfigurovat a spouštět nezávisle.

K dispozici je také několik přídavných modulů pro rozšíření možností a přizpůsobení Forseti.

Funkce:

  • Sledování zdrojů GCP, aby bylo zajištěno, že jsou bezpečnostní funkce, jako je řízení přístupu, správně nastavené a chráněné před neoprávněnými úpravami.
  • Provádění inventury zdrojů a monitorování prostředí GCP.
  • Zajištění dodržování bezpečnostních zásad a pravidel a vynucování jejich dodržování.
  • Ověřování nastavení a zajištění jejich souladu s předpisy, čímž se minimalizuje vystavení zranitelnostem.
  • Získání přehledu o zásadách Cloud Identity and Access Management (Cloud IAM) a zobrazení přístupových práv uživatelů ke zdrojům.
  • Vizuální nástroj, který pomůže porozumět vaší bezpečnostní struktuře GCP a odhalit dodržování nebo porušování zásad.

CloudGuard

CloudGuard je cloudové, nativní bezpečnostní řešení, které nevyžaduje agenty. Hodnotí a vizualizuje stav zabezpečení platformy GPC, což týmům umožňuje chránit jejich cloudová aktiva a prostředí. Řešení analyzuje různá aktiva, včetně výpočetního jádra, databází, virtuálních strojů a dalších služeb, a také síťové firewally.

Funkce:

  • Zajištění nepřetržitého monitorování bezpečnostních politik a událostí, sledování změn a ověřování souladu.
  • Identifikace a řešení chybných konfigurací, zranitelností a souvisejících bezpečnostních rizik.
  • Posílení zabezpečení a zajištění dodržování předpisů a osvědčených postupů.
  • Výkonné vizualizace a bezpečnostní analýza aktiv sítě GCP.
  • Bezproblémová integrace s GCP a dalšími veřejnými cloudy, jako jsou webové služby Amazon a Microsoft Azure.
  • Vynucování zásad správy, které odpovídají specifickým potřebám zabezpečení organizace.

Cloudsploit

Cloudsploit je výkonné řešení, které kontroluje a automaticky detekuje problémy s konfigurací zabezpečení v Google Cloud Platform a také v dalších veřejných cloudových službách, jako jsou Azure, AWS, Github a Oracle.

Toto bezpečnostní řešení monitoruje jednotlivé komponenty v rámci projektů GCP. Zajišťuje detekci nesprávných konfigurací zabezpečení, škodlivých aktivit, odhalených aktiv a dalších zranitelností.

Funkce:

  • Snadno použitelné řešení pro monitorování konfigurace zabezpečení s funkcí upozornění.
  • Rychlé a spolehlivé komplexní skenování a generování reportů.
  • Poskytování přehledu o stavu zabezpečení a dodržování předpisů.
  • Kontrola systémů a analýza oprávnění, rolí, sítí, certifikátů, trendů využití, ověřování a různých konfigurací.
  • Poskytování přehledů na úrovni účtu, které umožňují snadnou identifikaci trendů a relativních úrovní rizika v průběhu času.
  • Návrh založený na API, který usnadňuje integraci nástroje s různými řídicími panely CISO a dalšími systémy reportování.

Prisma Cloud

Prisma Cloud je integrované, cloudové řešení pro zajištění správné implementace a údržby zabezpečení a souladu prostředí, aplikací a zdrojů GCP.

Tento komplexní nástroj má rozhraní API, která se bezproblémově integrují se službou GCP, aby poskytovaly nepřetržité statistiky, ochranu a generování reportů, kromě vynucování souladu.

Funkce:

  • Komplexní a škálovatelné bezpečnostní řešení založené na API, které poskytuje přehled, nepřetržité monitorování, detekci hrozeb a reakci.
  • Kompletní přehled, který umožňuje identifikaci a řešení nesprávných konfigurací, zranitelností pracovního zatížení, síťových hrozeb, úniku dat a nezabezpečené aktivity uživatelů.
  • Ochrana pracovního zatížení, kontejnerů a aplikací spuštěných na platformě Google Cloud Platform.
  • Vlastní vynucování zásad zabezpečení na základě aplikací, uživatelů nebo zařízení.
  • Snadné prosazování zásad správy a řízení a soulad s širokou škálou standardů včetně NIST, CIS, GDPR, HIPAA a PCI.

Správce mraků

Správce mraků je open source, flexibilní a odlehčený nástroj pro správu a zabezpečení cloudu. Toto řešení umožňuje bezpečnou správu účtů a zdrojů GCP. Kromě zabezpečení pomáhá optimalizovat náklady řízením využití zdrojů, což vede k úsporám.

Funkce:

  • Vynucování bezpečnostních zásad a dodržování předpisů v reálném čase při správě přístupu, pravidlech firewallu, šifrování, značek, automatizované správě zdrojů mimo pracovní dobu atd.
  • Poskytování jednotných metrik a přehledů.
  • Bezproblémová integrace s funkcemi Google Cloud Platform.
  • Automatické poskytování GCP AuditLog a dalších bezserverových funkcí.

McAfee MVISION

McAfee MVISION je bezpečnostní řešení, které se integruje se službou Google Cloud SCC a poskytuje tak týmům přehled o stavu zabezpečení jejich zdrojů GCP. Pomáhá odhalovat a řešit zranitelná místa a hrozby.

Toto cloudové řešení poskytuje také konfigurační audity, které bezpečnostním týmům umožňují identifikovat a řešit skrytá rizika. Obsahuje cloudové nástroje, které vylepšují dotazy GCP, a tak je schopné najít různé nesprávné konfigurace zabezpečení v různých službách GCP.

Funkce:

  • Poskytování přehledů, které pomáhají týmům identifikovat a řešit problémy se zabezpečením a dodržováním předpisů.
  • Zlepšování a komplexní audit konfigurací k nalezení skrytých zranitelností, což týmům umožňuje vynucovat osvědčené postupy.
  • Poskytování přehledu, který umožňuje týmům vyšetřovat bezpečnostní incidenty, anomálie, porušení a hrozby, a tak umožňuje rychlou nápravu v Security Command Center.
  • Upozorňování na bezpečnostní hrozby nebo porušení zásad.
  • Vizualizace zranitelných míst a hrozeb na řídicích panelech Google Cloud SCC.

Netskope

Netskope umožňuje rychle identifikovat a řešit bezpečnostní problémy, hrozby a nesprávné konfigurace, které ohrožují vaše digitální aktiva.

Kromě doplňování GSCC při ochraně výpočetních instancí, objektových úložišť, databází a dalších aktiv jde Netskope hlouběji a rozsáhleji, aby poskytl přehled o chybných konfiguracích, pokročilých hrozbách a rizicích.

Funkce:

  • Získání cenného přehledu o hrozbách, zranitelnostech, nesprávných konfiguracích a dodržování předpisů na vaší cloudové platformě Google v reálném čase.
  • Identifikace a řešení všech zranitelných míst, nesprávných konfigurací, dodržování předpisů a bezpečnostních rizik.
  • Nepřetržité sledování konfigurace zabezpečení a její srovnávání s osvědčenými postupy. Identifikace problémů a prosazování standardů založených na osvědčených postupech a benchmarkech CIS.
  • Vytváření reportů o souladu – provádí inventarizaci zdrojů GCP za účelem zjištění a reportování nesprávných konfigurací a anomálií.

Tripwire

Tripwire Cloud Cybersecurity je komplexní řešení, které organizacím umožňuje implementovat efektivní bezpečnostní konfigurace a kontroly, a tím zabránit odhalení jejich digitálních aktiv. Kombinuje správu konfigurace, nástroj pro hodnocení správy cloudu (CMA) a možnosti monitorování integrity souborů k identifikaci veřejně vystavených zdrojů a dat na GCP.

Klíčové vlastnosti:

  • Objevování a řešení veřejně vystavených úložišť GCP nebo instancí, aby bylo zajištěno správné nastavení konfigurace a zabezpečení dat.
  • Shromažďování, analýza a následné hodnocení dat konfigurace GCP, což umožňuje identifikaci a řešení nesprávných konfigurací.
  • Sledování změn konfigurace, které ohrožují cloud GCP nebo odhalují aktiva.
  • Hodnotitel správy cloudu Tripwire monitoruje chybnou konfiguraci platformy Google Cloud Platform, a poté upozorňuje bezpečnostní týmy na nutnost nápravy.

Scout Suite

Scout Suite je open-source nástroj pro bezpečnostní audit pro GCP a další veřejné cloudy. Umožňuje bezpečnostním týmům posoudit stav zabezpečení jejich prostředí GCP a identifikovat nesprávné konfigurace a další zranitelnosti.

Tento nástroj pro kontrolu konfigurace Scout Suite snadno spolupracuje s API, která poskytuje Google, aby shromažďoval a analyzoval data o stavu zabezpečení. Následně zvýrazní všechny nalezené zranitelnosti.

Aqua Security

Aqua Security je platforma, která organizacím poskytuje viditelný přehled o GCP a také o dalších AWS, Oracle Cloud a Azure. Pomáhá zjednodušit a prosadit zásady a dodržování předpisů.

Aqua se integruje s Cloud Security Command Center společnosti Google, dalšími řešeními třetích stran a analytickými a monitorovacími nástroji. Umožňuje prohlížet a spravovat zabezpečení, zásady a dodržování předpisů z jednoho místa.

Funkce:

  • Skenování, identifikace a řešení nesprávných konfigurací, malwaru a zranitelností v obrázcích.
  • Zesilování integrity obrazů během celého životního cyklu aplikace.
  • Definování a vynucování privilegií a standardů dodržování předpisů, jako jsou PCI, GDPR, HIPAA atd.
  • Poskytování vylepšené detekce hrozeb a opatření ke zmírnění pro úlohy kontejneru GCP.
  • Vytváření a vynucování zásad zabezpečení obrazů, aby se zabránilo spouštění ohrožených, zranitelných nebo špatně nakonfigurovaných obrazů v prostředí Google Kubernetes Engine.
  • Pomáhá vytvářet auditní stopu pro forenzní účely a dodržování předpisů.
  • Poskytování nepřetržitého skenování nastavení za účelem nalezení zranitelností a anomálií.

GCPBucketBrute

GCPBucketBrute je přizpůsobitelné a efektivní bezpečnostní řešení s otevřeným zdrojovým kódem pro detekci otevřených nebo nesprávně nakonfigurovaných segmentů úložiště Google. Jedná se o skript, který vytvoří výčet segmentů úložiště Google, aby zjistil, zda dochází k nezabezpečené konfiguraci a eskalaci oprávnění.

Funkce:

  • Objevování otevřených segmentů GCP a rizikové eskalace oprávnění v cloudových instancích na platformě.
  • Kontrola oprávnění v každém zjištěném segmentu a zjišťování, zda jsou zranitelné vůči eskalaci oprávnění.
  • Vhodné pro cloudové penetrační testy Google, zapojení červeného týmu a další.

Cloud Security Suite

Zabezpečení FTW Cloud Security Suite je dalším open-source nástrojem pro auditování bezpečnostní pozice infrastruktury GCP. Toto komplexní řešení pomáhá auditovat konfigurace a zabezpečení účtů GCP a dokáže identifikovat širokou škálu zranitelností.

Závěr

Google Cloud Platform poskytuje flexibilní a vysoce škálovatelnou IT infrastrukturu. Stejně jako ostatní cloudová prostředí však může mít chyby zabezpečení, pokud není správně nakonfigurována. Zlí aktéři mohou tyto chyby zneužít ke kompromitaci systémů, krádeži dat, infikování malwaru nebo k jiným kybernetickým útokům.

Naštěstí mohou podniky zabezpečit svá prostředí GCP dodržováním správných bezpečnostních postupů a používáním spolehlivých nástrojů k ochraně, nepřetržitému monitorování a poskytování přehledu o konfiguracích a celkovém stavu zabezpečení.

Petra Kovářová
Autor
Petra Kovářová
Czechia

Sleduje mobilní technologie, Android/iOS a praktické návody pro uživatele.

Související články
2025-09-12
AWS roste pomaleji (17,5 %), investuje do AI pro budoucí růst.
Amazon Web Services (AWS) nadále zůstává základní silou na globálním trhu cloud computingu, avšak jeho nedávné růstové metriky vyvolaly...
2025-09-10
Google Cloud: Miliardy z AI, nový motor růstu pro Alphabet.
Google Cloud rychle upevňuje svou pozici základního kamene strategické evoluce společnosti Alphabet, připraven generovat desítky miliard...
2025-08-31
Alibaba: 78% nárůst zisku a strategické zaměření na Cloud, AI a rychlé doručení
Alibaba Group strategicky rekalibrovala své obchodní zaměření a odhalila nuancovaný finanční výkon v posledním fiskálním čtvrtletí končícím...
2025-08-22
USA: GSA OneGov: Google Gemini AI a cloud pro modernizaci federální správy
Federální vláda Spojených států zrychluje svou strategickou integraci umělé inteligence (AI) a pokročilých cloudových služeb k modernizaci...
Předchozí článek
5 nástrojů pro skenování infrastruktury jako kódu pro zranitelnosti
Další článek
7 dobrých zdrojů pro výuku anglického znakového jazyka