Para proteger los entornos de nube, es necesario proteger las cuentas de Identity and Access Management contra vulneraciones. Comprometer una cuenta de usuario privilegiado permite que un atacante realice cambios en un entorno de nube, por lo que detectar posibles compromisos es fundamental para proteger a las organizaciones de todos los tamaños. Para ayudar a las organizaciones a mantener la seguridad,Google Cloud registra las acciones sensibles que realizan las cuentas de usuario de IAM y notifica a los administradores de la organización sobre esas acciones directamente a través de las Notificaciones de aviso.
Las acciones sensibles son aquellas que pueden tener un efecto negativo significativo en tu Google Cloud organización si las realiza un agente malicioso con una cuenta comprometida. Estas acciones por sí solas no necesariamente representan una amenaza para tu organización ni indican que se haya vulnerado una cuenta. Sin embargo, te recomendamos que confirmes que tus usuarios realizaron las acciones con fines legítimos.
Quién recibe las notificaciones de acciones sensibles
Google Cloud Notifica a tu organización sobre las acciones sensibles enviando una notificación por correo electrónico a los contactos esenciales a nivel de la organización para garantizar la seguridad. Si no hay contactos esenciales configurados, la notificación por correo electrónico se envía a todas las cuentas que tienen el rol de IAM de administrador de la organización a nivel de la organización.
Rechazando
Si no quieres recibir notificaciones sobre acciones sensibles en tu organización, puedes inhabilitarlas. Para obtener más información, consulta Configura las notificaciones. Inhabilitar las notificaciones de acciones sensibles solo afecta a las notificaciones que se envían a través de las Notificaciones de aviso. Los registros de acciones sensibles se generan siempre y no se ven afectados por la inhabilitación de las notificaciones. Si usas Security Command Center, el Servicio de acciones sensibles no se ve afectado por la inhabilitación de las notificaciones de acciones sensibles.
Cómo funcionan las acciones sensibles
Google Cloud detecta acciones sensibles supervisando los registros de auditoría de actividad del administrador de tu organización. Cuando se detecta una acción sensible, Google Cloud escribe la acción en el registro de la plataforma del Servicio de acciones sensibles en el mismo recurso en el que ocurrió la actividad. Google Cloud También incluye el evento en una notificación que se entrega a través de las Notificaciones de aviso.
Frecuencia de las notificaciones
La primera vez que se observe una acción sensible en tu organización, recibirás un informe que incluye la acción inicial y cualquier otra acción que ocurra en la hora siguiente. Después del informe inicial, recibirás informes sobre las nuevas acciones sensibles en tu organización como máximo una vez cada 30 días. Si no se realizaron acciones sensibles en tu organización durante un tiempo prolongado, es posible que recibas el informe de una hora la próxima vez que se observe una acción sensible.
Cuándo no se producen acciones sensibles
Google Cloud solo informa las acciones sensibles si la principal que realiza la acción es una cuenta de usuario. No se informan las acciones que realiza una cuenta de servicio. Google desarrolló esta capacidad para protegerse contra adversarios que obtienen acceso a las credenciales de los usuarios finales y las usan para realizar acciones no deseadas en entornos de nube. Debido a que muchas de estas acciones son un comportamiento común para las cuentas de servicio, no se generan registros ni notificaciones de asesoramiento para estas identidades.
No se pueden detectar las acciones sensibles si configuraste tus Registros de auditoría de actividad del administrador para que se ubiquen en una región específica (es decir, no en la región global). Por ejemplo, si especificaste una región de almacenamiento para el bucket de registros de _Required en un recurso determinado, no se podrán analizar los registros de ese recurso en busca de acciones sensibles.
Si configuraste tus registros de auditoría de actividad del administrador para que se encripten con claves de encriptación administradas por el cliente, no se podrán analizar tus registros en busca de acciones sensibles.
Acciones sensibles en Security Command Center
Si usas Security Command Center, puedes recibir acciones sensibles como resultados a través del Servicio de acciones sensibles.
Si bien los registros de acciones sensibles y las Notificaciones de aviso brindan una perspectiva del comportamiento de las cuentas en tu organización, Security Command Center proporciona capacidades adicionales de administración y estadísticas para los equipos de seguridad que protegen cargas de trabajo y entornos más complejos, grandes o importantes. Te recomendamos que supervises las acciones sensibles como parte de tu estrategia general de supervisión de seguridad.
Para obtener más información sobre Security Command Center, consulta los siguientes recursos:
Precios
Las notificaciones sobre acciones sensibles en las Notificaciones de aviso se proporcionan sin cargo adicional. Los registros de acciones sensibles en Cloud Logging generan costos de transferencia y almacenamiento de acuerdo con los precios de Logging. La cantidad de entradas de registro de acciones sensibles depende de la frecuencia con la que las cuentas de usuario de tu organización realizan acciones sensibles. Por lo general, estas acciones no son frecuentes.
Tipos de acciones sensibles
Google Cloud te informa sobre los siguientes tipos de acciones sensibles.
Sensitive Roles Added
Se otorgó un rol de IAM de propietario (roles/owner) o editor (roles/editor) a una principal a nivel de la organización. Estos roles permiten una gran cantidad de acciones en toda tu organización.
Billing Admin Removed
Se quitó un rol de IAM de administrador de cuentas de facturación (roles/billing.admin) a nivel de la organización. Quitar este rol puede impedir que los usuarios tengan visibilidad y proporcionar un mecanismo para que un adversario permanezca sin ser detectado.
Organization Policy Changed
Se creó, actualizó o borró una política de la organización a nivel de la organización. Las políticas de la organización en este nivel pueden afectar la seguridad de todos los recursos deGoogle Cloud de tu organización.
Project-level SSH Key Added
Se agregó una clave SSH a nivel del proyecto a un Google Cloud proyecto que no tenía una clave de este tipo. Las claves SSH a nivel del proyecto pueden otorgar acceso a todas las máquinas virtuales (VMs) del proyecto.
GPU Instance Created
Una persona que no había creado una instancia de GPU en un proyecto recientemente creó una VM con una GPU en ese proyecto. Las instancias de Compute Engine con GPU pueden alojar cargas de trabajo, como la minería de criptomonedas.
Many Instances Created
Un usuario creó varias instancias de VM en un proyecto determinado. Se pueden usar grandes cantidades de instancias de VM para cargas de trabajo inesperadas, como la minería de criptomonedas o los ataques de denegación de servicio.
Many Instances Deleted
Un usuario borró varias instancias de VM en un proyecto determinado. Una gran cantidad de eliminaciones de instancias puede interrumpir tu negocio.
¿Qué sigue?
- Obtén más información para ver las notificaciones.
- Obtén más información para responder a las notificaciones de acciones sensibles.
- Obtén más información para habilitar o inhabilitar las notificaciones.