2

近日,GCP 的 IAM 密钥被曝光,安装了矿工。

在 AWS 的情况下,可以在使用访问密钥访问时设置 2fa,或者只能从特定 IP 进行访问。

如果有这样的设置,即使钥匙暴露在外也不会立即发生事故。

我在GCP中搜索了ACL和2FA设置,但是没有key设置,只勾选了instance access设置。

是否可以设置 GCP 的 Web 控制台访问、2FA 访问 IAM 密钥和 IP ACL?

此外,BigQuery 需要基于 IP 的 ACL,但在联系其他团队时无法访问 BigQuery 访问的 ACL,并且仅由 IAM 控制。

如果 IAM 因用户错误而暴露,GCP 有什么办法可以防止这种情况发生?

4

2 回答 2

2

您可以对 IAM 服务实施 2fa 和 IP 控制(使用IAM 条件上下文感知访问)。

Google 可以帮助您:

  • 如果出现异常活动,例如矿工安装了您的虚拟机并因此出现可疑的网络活动,支持人员会与您联系
  • google 会定期扫描公共存储库,例如 Github,如果找到服务帐户密钥文件,则会通知您
  • 平台为您提供降低风险的解决方案
    • 上下文感知访问
    • IAM条件
    • 禁用生成服务帐户密钥文件的能力的组织策略。在验证用户请求后,只有一小部分用户能够生成它们。目标是限制密钥的数量并仅在用例需要它们时生成它们
    • SCC(安全指挥中心)发现可以提高服务帐户的原始角色:角色过多,请改用预定义角色
    • IAM 推荐人,建议您根据活动的最后 90 天缩小权限范围

因此,有一套工具可以对事件进行主动和反应。

于 2021-01-13T11:53:42.437 回答
0

您可以设置在尝试访问 GCP vm 实例时触发的 2 步验证 (2sv)。

按照本指南为您的实例设置 2sv。

此外,VPC 服务控制可以为 bigQuery 等托管服务添加额外的安全层。

您可以阻止此服务的特定 IP 地址。

本文将对您使用 VPC Service Control 有很大帮助。

于 2021-01-13T08:45:18.487 回答