如何执行GCP安全扫描以查找配置错误？

☁️ 云基础设施具有灵活性、可扩展性、高性能和可负担性等优点。

一旦您订阅了像Google Cloud Platform（GCP）这样的服务，您就不必担心等效的内部数据中心和相关基础设施的高资本和维护成本。然而，传统的本地安全实践无法为虚拟环境提供足够和及时的安全性。

与本地数据中心不同，本地数据中心的周界安全保护整个安装和资源，而云环境由于具有多样化的技术和位置，因此需要一种不同的方法。通常，云环境的分散和动态性会导致攻击面增加。

特别是，云平台和组件上的配置错误会暴露资产，同时增加了隐藏的安全风险。有时，开发人员在开发软件时可能会打开一个数据存储，但在将应用程序发布到市场后就忘记关闭它。

因此，除了遵循security best practices之外，还需要确保正确的配置，并提供持续的监控、可见性和合规性。

幸运的是，有几种工具可以通过检测和防止配置错误、提供对GCP安全状况的可见性以及识别和解决其他漏洞来提高安全性。

更新：有关AWS安全扫描程序，请查看此post。

Google Cloud SCC

Google Cloud SCC是一个集成的风险分析和仪表板系统，使GCP客户能够了解其安全状况，并采取补救措施保护他们的云资源和资产。

Cloud SCC（安全命令中心）可以查看在Google云环境上运行的资产和存在风险的配置错误，使团队能够减少受到威胁的风险。此外，全面的安全和数据风险管理工具有助于GCP客户执行安全最佳实践。

基本的命令中心包括来自Google的几个安全工具。然而，它是一个灵活的平台，可以与各种第三方工具集成，以增强安全性并增加组件、风险和实践方面的覆盖范围。

功能

• 查看和解决配置错误，如防火墙、IAM规则等。
• 检测、响应和预防威胁和合规性问题
• 识别大多数漏洞和风险，如混合内容、Flash注入等，并允许您轻松探索结果。
• 识别公开暴露的资产，如VM、SQL实例、存储桶、数据集等。
• 资产发现和清单，识别漏洞、敏感数据和异常情况，
• 与第三方工具集成，以增强对受损端点、网络攻击、DDoS、策略和合规性违规、实例安全漏洞和威胁的识别和解决。

总的来说，安全命令中心是一个灵活的解决方案，可以满足每个组织的需求。该工具与各种Google安全工具（如Cloud Data数据丢失预防和Web安全扫描程序）以及第三方安全解决方案（如McAfee、Qualys、CloudGuard等）集成。

Forseti

Forseti是一个开源工具，帮助您了解GCP环境，解决漏洞，监控和理解策略和合规性。它包含多个核心模块，可以轻松启用、配置和独立执行。

还有几个附加模块可以增强Forseti的功能和定制性。

功能

• 监控您的GCP资源，确保安全功能（如访问控制）已经到位并受到未经授权的修改的保护。
• 清点资源并跟踪您的GCP环境。
• 了解并执行安全和防火墙策略和规则。
• 评估设置并确保其符合规定，并且不会暴露任何或您的GCP资源。
• 获得对您的云身份和访问管理（Cloud IAM）策略的可见洞察，以及显示用户对资源的访问权限。
• 具有可视化工具，可以帮助您了解GCP的安全结构，并识别策略遵守情况和违规行为。

CloudGuard

CloudGuard是一种基于云的无代理安全解决方案，评估和可视化GCP平台的安全状况，从而使团队能够保护其云资产和环境。该解决方案分析各种资产，包括计算引擎、数据库、虚拟机和其他服务，以及network firewalls等。

特点

• 持续监控安全策略和事件，检测更改并检查合规性。
• 识别和解决配置错误以及相关的安全风险。
• 加强安全性并确保合规性和最佳实践。
• 功能强大的可视化工具，显示GCP网络资产的安全状况。
• 与GCP以及其他公共云（如Amazon Web Services和Microsoft Azure）无缝集成。
• 执行适合组织独特安全需求的治理策略。

Cloudsploit

Cloudsploit是一种功能强大的解决方案，可检查并自动检测Google Cloud Platform以及其他公共云服务（如Azure、AWS、Github和Oracle）中的安全配置问题。

该安全解决方案连接到GCP项目，提供对各种组件的监视。它可以检测安全配置错误、恶意活动、暴露的资产和其他漏洞。

特点

• 易于部署和使用的安全配置监控解决方案，具有警报功能。
• 快速可靠的扫描和报告。
• 提供安全状况和合规性的洞察。
• 在分析特权、角色、网络、证书、使用趋势、身份验证和各种配置的同时检查系统。
• 提供账户级别的概览，帮助您随时间轻松识别趋势和相对风险水平。
• 基于API的设计，可以轻松将该工具与各种CISO仪表板和其他报告系统集成。

Prisma Cloud

Prisma cloud是一种集成的基于云的解决方案，用于确保GCP环境、应用和资源的安全和合规性的正确实施和维护。

这个综合工具具有与GCP服务无缝集成的API，提供持续的洞察、保护和报告，以及合规性执行。

特点

• 综合、可扩展的基于API的安全解决方案，提供洞察、持续监控、威胁检测和响应。
• 完全可见性，可以识别和解决配置错误、工作负载漏洞、网络威胁、数据泄漏、不安全用户活动等。
• 保护在Google Cloud Platform上运行的工作负载、容器和应用程序。
• 根据应用程序、用户或设备自定义安全策略执行。
• 轻松执行治理策略，并符合包括但不限于NIST、CIS、GDPR、HIPAA和PCI在内的各种标准。

Cloud Custodian

Cloud custodian是一款开源、灵活、轻量级的云安全和治理规则引擎。该解决方案能够安全地管理您的GCP账户和资源。除了安全性外，这个集成解决方案还通过管理资源使用情况来优化成本，帮助您节省资金。

特点

• 实时执行安全策略和合规性，包括访问管理、防火墙规则、加密、标签、垃圾收集、自动化的非工作时间资源管理等。
• 提供统一的指标和报告
• 与Google Cloud Platform函数无缝集成
• 自动提供GCP AuditLog和其他无服务器函数。

McAfee MVISION

McAfee MVISION是一种安全解决方案，与Google Cloud SCC集成，为团队提供对其GCP资源的安全状况的可见性，并检测和解决漏洞和威胁。

此外，这个云原生解决方案提供配置审计，帮助安全团队识别和解决潜在风险。它具有云策略引擎，增强了GCP查询的功能，从而能够在各种GCP服务中找到各种安全配置错误。

特点

• 提供有助于团队识别和解决安全和合规性问题的见解。
• 增强和全面的配置审计，以发现隐藏的漏洞，使团队能够执行最佳实践。
• 提供可见性，让团队调查安全事件、异常、违规和威胁，并能够在云安全命令中心中快速采取纠正措施。
• 在出现安全威胁或策略违规时发送通知。
• 在Google Cloud SCC仪表板上可视化漏洞和威胁。

Netskope

Netskope能够快速识别和解决暴露您的数字资产于威胁和攻击的安全问题、威胁和配置错误。

除了在保护计算实例、对象存储、数据库和其他资产方面与GSCC相辅相成之外，Netskope还能更深入、更广泛地提供有关配置错误、高级威胁和风险的见解。

特点

• 在您的Google云平台上获得有价值的实时威胁、漏洞、配置错误和合规性可见性。
• 识别和解决任何漏洞、配置错误、合规性和安全风险。
• 持续监控安全配置，并根据最佳实践进行检查。根据最佳实践和CIS基准标准识别问题并执行标准。
• 合规性报告-对您的GCP资源进行清点，确定并报告配置错误和异常。

Tripwire

Tripwire Cloud Cybersecurity是一种综合解决方案，使组织能够实施有效的安全配置和控制，从而防止暴露其数字资产。它结合了配置管理、云管理评估器（CMA）和文件完整性监控功能，以识别GCP上公开暴露的资源和数据。

关键特点

• 发现和解决公开暴露的GCP存储桶或实例，以确保正确的配置和数据安全。
• 收集、分析和评分GCP配置的数据，使您能够识别和解决配置错误。
• 监控危害GCP云或暴露资产的配置更改
• Tripwire云管理评估器监控Google Cloud Platform的错误配置，并在发现时通知安全团队进行修复。

Scout Suite

Scout Suite是一款用于GCP和其他公共云的开源安全审计工具。它使安全团队能够评估其GCP环境的安全状况并识别配置错误和其他漏洞。

Scout Suite配置审查工具可以轻松与Google公开的API进行交互，收集和分析安全状况数据。然后，它会突出显示其识别出的任何漏洞。

Aqua Security

Aqua Security是一个提供给组织有关GCP以及其他AWS，Oracle Cloud和Azure的可见洞察力的平台。它有助于简化和执行策略和合规性。

Aqua与Google的Cloud Security Command Center以及其他第三方解决方案、分析和监控工具集成。这使您可以从一个地方查看和管理您的安全、策略和合规性。

功能

• 扫描、识别和处理镜像上的配置错误、恶意软件和漏洞
• 在整个应用程序生命周期中确保镜像的完整性
• 定义和执行特权和合规标准，如PCI、GDPR、HIPAA等
• 为GCP容器工作负载提供增强的威胁检测和缓解措施
• 创建和执行图像保证策略，防止在Google Kubernetes Engine环境中运行已被入侵、易受攻击或配置错误的镜像
• 帮助您建立取证和合规性的审计跟踪
• 提供对设置的持续扫描，以发现漏洞和异常

GCPBucketBrute

GCPBucketBrute是一款可定制且有效的用于检测开放或配置错误的Google Storage存储桶的开源安全解决方案。一般来说，这是一个枚举Google存储桶的脚本，用于确定是否存在不安全的配置和特权升级。

功能

• 发现云平台上的开放GCP存储桶和风险特权升级
• 检查每个发现的存储桶中的特权，并确定它们是否容易受到特权升级的攻击
• 适用于Google云渗透测试、红队任务等

Cloud Security Suite

Security FTW Cloud Security Suite是另一款用于审计GCP基础设施安全状况的开源工具。这个集成了多种功能的解决方案可以帮助您审计GCP账户的配置和安全性，并能够识别各种漏洞。

结论

谷歌云平台提供了灵活且高度可扩展的IT基础设施。然而，与其他云环境一样，如果配置不正确，它可能存在漏洞。恶意用户可以利用这些漏洞来破坏系统、窃取数据、感染恶意软件或进行其他网络攻击。

幸运的是，企业可以通过遵循良好的安全实践并使用可靠的工具来保护、持续监控并提供配置和整体安全性的可见性来保护其GCP环境。