点击这里收起
点击此处展开 点击此处展开

Google Cloud 目录的攻击面分析器

使用攻击面分析器,您可以检测 Google Cloud 目录中的威胁并增强云安全。

以下是攻击面分析器跟踪的 Google Cloud 目录服务列表:

  • GCP Compute Engine
  • GCP VPC 网络
  • GCP Big Query
  • GCP 网络服务
  • GCP 云存储
  • GCP KMS
  • GCP SQL
  • GCP 日志记录
  • GCP Kubernetes Engine
  • GCP 组织
  • GCP App Engine
  • GCP 云函数
  • GCP Composer
  • GCP Dataproc
  • GCP 云运行
  • GCP Big Table
  • GCP 部署管理器
  • GCP Pub/Sub
  • GCP FileStore
  • GCP Spanner
  • GCP AlloyDB
  • GCP Batch
  • GCP Build
  • GCP API 和服务
  • GCP DataFlow
  • GCP 负载均衡
  • GCP API 密钥
  • GCP IAM
  • GCP 项目

前提条件

为使攻击面分析器顺利运行,ADAudit Plus 服务器应具备 可用的互联网连接。此外, 需要在 ADAudit Plus 服务器上打开出站的 HTTPS 端口 443 以便与 Google Cloud 目录通信。

在 ADAudit Plus 中配置 Google Cloud 目录进行攻击面分析之前,您需要:

注意:ADAudit Plus 支持基于项目的 Google Cloud 目录配置以进行攻击面分析。

创建自定义角色

  1. 打开 Google Cloud 控制台 并选择您希望创建自定义角色的项目。
  2. 在右上角,找到并选择 启动 Cloud Shell 图标。

    3. 亚马逊网络服务的攻击面分析器

  3. 在 Cloud Shell 终端内,选择 打开编辑器 在顶部菜单。

    4. 亚马逊网络服务的攻击面分析器

  4. 在左侧窗格,找到并选择 新建文件... 图标 并创建一个合适名称的 YAML 文件。 例如:roleCreation.yaml.

    5. 亚马逊网络服务的攻击面分析器

  5. 复制权限声明自 此文件 并粘贴到 YAML 刚刚创建的文件中。

    6. 注意:确保粘贴权限声明时不要修改缩进。

  6. 在刚刚粘贴到 YAML 文件中的权限声明里:
    • 查找包含以下内容的行 title: "ROLE_NAME" 并替换 "ROLE_NAME" 为您选择的合适标题。 例如:Test_Role.
    • 查找包含以下内容的行 description: "ROLE_DESCRIPTION" 并替换 "ROLE_DESCRIPTION" 为您选择的合适描述。

    亚马逊网络服务的攻击面分析器

  7. 执行以下命令,在组织级别创建自定义角色:

    8. gcloud iam roles create ROLE_ID --organization=ORGANIZATION_ID --file=YAML_FILE_PATH

    例如:gcloud iam roles create Test_Role --organization=********* --file=roleCreation.yaml

    在上面命令中:

    • 替换 ROLE_ID 为您在步骤五的 YAML 文件中使用的 标题
    • 替换 ORGANIZATION_ID 为项目 ID。

      • 亚马逊网络服务的攻击面分析器

    • 替换 YAML_FILE_PATH 为您在步骤四创建的 YAML 文件名称。
  8. 在出现的 授权 Cloud Shell 弹窗中,点击 授权.
  9. 在 Google Cloud 控制台,导航至 IAM 和管理员 部分,从左侧窗格中选择 角色 ,确保刚刚创建的角色已列出。

    10. 亚马逊网络服务的攻击面分析器

创建服务账户

  1. 打开 Google Cloud 控制台,选择您希望创建服务账户的项目。
  2. 导航至 IAM 和管理员 部分,从左侧窗格中选择 服务账户 从左侧窗格,点击 +创建服务账户.

    3. 亚马逊网络服务的攻击面分析器

  3. 服务账户详情下,输入合适的 服务账户名称服务账户描述服务账户 ID 将基于服务账户名称自动生成。
  4. 点击 创建并继续.

    5. 亚马逊网络服务的攻击面分析器

  5. 授予该服务账户项目访问权限,点击 选择角色,选择 自定义,并选择之前创建的角色。
  6. 点击 继续,然后点击 完成.

    7. 亚马逊网络服务的攻击面分析器

  7. 服务账户创建完成后,选择它,导航至 密钥 选项卡,点击 添加密钥,并选择 创建新密钥 从下拉菜单中。

    8. 亚马逊网络服务的攻击面分析器

  8. 选择 JSON 作为密钥类型并点击 CREATE。这将为您的服务帐户创建一个 JSON 密钥文件并保存到您的本地计算机。

    9. 亚马逊网络服务的攻击面分析器

  9. 打开 JSON 文件以查找 客户端电子邮件地址,项目 ID,以及 私钥 值,这些在配置 ADAudit Plus 中的 Google Cloud 目录时需要使用。

注意:请记住保持此 JSON 密钥文件的安全,因为它包含敏感信息并授予对您的 Google Cloud 目录资源的访问权限。如果密钥被泄露,您应重新生成密钥并更新所有使用该密钥的服务。

在 ADAudit Plus 中配置 Google Cloud 目录

  1. 登录到您的 ADAudit Plus web 控制台。
  2. 导航至 云目录 选项卡 > 攻击面分析器 > 配置 > 云目录.
  3. 点击 右上角的 +添加云目录
  4. 选择 Google Cloud 来自 添加云目录 弹出窗口。

    5. 亚马逊网络服务的攻击面分析器

  5. 输入 显示名称、客户端电子邮件地址、项目 ID,以及 私钥 ,这些值可在您下载的服务帐户 JSON 密钥文件中找到。
  6. 如果您想获取并监控 Google Cloud 目录环境内发生的所有活动,请选中 审核日志 复选框,然后点击 下一步.

    7. 亚马逊网络服务的攻击面分析器

  7. 审核您的设置并点击 完成.

没有找到您想要的内容?

  •  

    访问我们的社区

    在论坛中发布您的问题。

     
  •  

    请求更多资源

    向我们发送您的需求。

     
  •  

    需要实施帮助?

    试试 OnboardPro

     

本页内容

版权 © 2020, ZOHO Corp。版权所有。

获取下载链接