La protezione degli ambienti cloud richiede la protezione degli account Identity and Access Management contro la compromissione. La compromissione di un account utente con privilegi consente a un malintenzionato di apportare modifiche a un ambiente cloud, pertanto il rilevamento di potenziali compromissioni è essenziale per la sicurezza di organizzazioni di ogni dimensione. Per aiutare le organizzazioni a rimanere al sicuro, Google Cloud registra le azioni sensibili intraprese dagli account utente IAM e avvisa gli amministratori dell'organizzazione di queste azioni direttamente tramite le notifiche di consulenza.
Le azioni sensibili sono azioni che possono avere un effetto negativo significativo sulla tua Google Cloud organizzazione se vengono intraprese da un utente malintenzionato che usa un account compromesso. Queste azioni da sole non necessariamente rappresentano una minaccia per la tua organizzazione o indicano che un account è stato compromesso. Tuttavia, ti consigliamo di verificare che le azioni siano state intraprese dai tuoi utenti per scopi legittimi.
Chi riceve le notifiche relative alle azioni sensibili
Google Cloud avvisa la tua organizzazione di azioni sensibili inviando una notifica via email ai contatti essenziali a livello di organizzazione per motivi di sicurezza. Se non sono configurati contatti essenziali, la notifica via email viene inviata a tutti gli account che dispongono del ruolo IAM Amministratore dell'organizzazione a livello di organizzazione.
Disattivazione in corso…
Se non vuoi ricevere notifiche relative ad azioni sensibili nella tua organizzazione, puoi disattivarle. Per ulteriori informazioni, consulta la sezione Configurare le notifiche. La disattivazione delle notifiche relative alle azioni sensibili riguarda solo le notifiche inviate tramite Advisory Notifications. I log delle azioni sensibili vengono sempre generati e non sono interessati dalla disattivazione delle notifiche. Se utilizzi Security Command Center, il servizio Azioni sensibili non è interessato dalla disattivazione delle notifiche relative alle azioni sensibili.
Come funzionano le azioni sensibili
Google Cloud rileva le azioni sensibili monitorando gli audit log delle attività amministrative della tua organizzazione. Quando viene rilevata un'azione sensibile, Google Cloud la scrive nel log della piattaforma del servizio di azioni sensibili nella stessa risorsa in cui si è verificata l'attività. Google Cloud include inoltre l'evento in una notifica inviata tramite notifiche di avviso.
Frequenza di notifica
La prima volta che viene rilevata un'azione sensibile nella tua organizzazione, ricevi un report che include l'azione iniziale, oltre a qualsiasi altra azione che si verifica nell'ora successiva. Dopo il report iniziale, riceverai report sulle nuove azioni sensibili nella tua organizzazione al massimo una volta ogni 30 giorni. Se non sono state registrate azioni sensibili nella tua organizzazione per molto tempo, potresti ricevere il report di un'ora la volta successiva che viene rilevata un'azione sensibile.
Quando non vengono prodotte azioni sensibili
Google Cloud registra le azioni sensibili solo se il principale che esegue l'azione è un account utente. Le azioni intraprese da un account di servizio non vengono registrate. Google ha sviluppato questa funzionalità per proteggersi dagli avversari che ottengono l'accesso alle credenziali degli utenti finali e le utilizzano per intraprendere azioni indesiderate negli ambienti cloud. Poiché molte di queste azioni sono comportamenti comuni per gli account di servizio, i log e le notifiche di consulenza non vengono generati per queste identità.
Le azioni sensibili non possono essere rilevate se hai configurato i log di controllo dell'attività di amministrazione in modo che si trovino in una regione specifica (ovvero non nella regione global). Ad esempio, se hai
specificato una regione di archiviazione
per il bucket dei log _Required in una determinata risorsa, i log di quella risorsa
non possono essere analizzati per rilevare azioni sensibili.
Se hai configurato gli audit log delle attività di amministrazione in modo che vengano criptati con chiavi di crittografia gestite dal cliente, non è possibile eseguire la scansione dei log per rilevare azioni sensibili.
Azioni sensibili in Security Command Center
Se utilizzi Security Command Center, puoi ricevere le azioni sensibili come risultati tramite il servizio Sensitive Actions.
Sebbene i log delle azioni sensibili e le notifiche di avviso forniscano un'unica prospettiva sul comportamento dell'account nella tua organizzazione, Security Command Center offre ulteriori approfondimenti e funzionalità di gestione per i team di sicurezza che proteggono ambienti e carichi di lavoro più complessi, di grandi dimensioni o importanti. Ti consigliamo di monitorare le azioni sensibili come parte della tua strategia complessiva di monitoraggio della sicurezza.
Per ulteriori informazioni su Security Command Center, consulta le seguenti risorse:
Prezzi
Le notifiche per le azioni sensibili nelle notifiche di avviso sono fornite senza costi aggiuntivi. I log delle azioni sensibili in Cloud Logging comportano costi di importazione e archiviazione in conformità con i prezzi di Logging. Il volume delle voci del log Azioni sensibili dipende dalla frequenza con cui gli account utente della tua organizzazione eseguono azioni sensibili. Queste azioni in genere non sono comuni.
Tipi di azioni sensibili
Google Cloud ti informa dei seguenti tipi di azioni sensibili.
Sensitive Roles Added
A un'entità IAM con il ruolo Proprietario (roles/owner) o Editor (roles/editor) è stato concesso il ruolo IAM a livello di organizzazione. Questi ruoli consentono un numero elevato di azioni nella tua organizzazione.
Billing Admin Removed
Un ruolo IAM Amministratore account di fatturazione (roles/billing.admin) è stato rimosso a livello di organizzazione. La rimozione di questo ruolo può impedire agli utenti di avere visibilità e fornire un meccanismo per consentire a un avversario di rimanere inosservato.
Organization Policy Changed
Un criterio dell'organizzazione è stato creato, aggiornato o eliminato a livello di organizzazione. I criteri dell'organizzazione a questo livello possono influire sulla sicurezza di tutte le risorseGoogle Cloud dell'organizzazione.
Project-level SSH Key Added
Una chiave SSH a livello di progetto è stata aggiunta a un Google Cloud progetto che non ne aveva precedentemente una. Le chiavi SSH a livello di progetto possono concedere l'accesso a tutte le VM nel progetto.
GPU Instance Created
Una VM con una GPU è stata creata in un progetto da una persona che non aveva creato di recente un'istanza GPU in quel progetto. Le istanze Compute Engine con GPU possono ospitare carichi di lavoro come il mining di criptovalute.
Many Instances Created
Un utente ha creato più istanze VM in un determinato progetto. Un numero elevato di istanze VM può essere utilizzato per carichi di lavoro imprevisti come il mining di criptovalute o attacchi di denial-of-service.
Many Instances Deleted
Più istanze VM sono state eliminate da un utente in un determinato progetto. Un numero elevato di eliminazioni di istanze può interrompere la tua attività.
Passaggi successivi
- Scopri come visualizzare le notifiche.
- Scopri come rispondere alle notifiche relative ad azioni sensibili.
- Scopri come attivare o disattivare le notifiche.