问题描述
最近GCP的IAM key被曝光,安装矿工。
AWS的情况下,使用访问密钥访问时可以设置2fa,或者只能从特定IP访问。
如果有这样的设定,即使钥匙外露也不会立即发生事故。
我在 GCP 中搜索了 ACL 和 2FA 设置,但没有关键设置,只检查了实例访问设置。
是否可以设置 GCP 的 Web Console 访问权限、2FA 以访问 IAM 密钥和 IP ACL?
另外,BigQuery 需要一个基于IP的ACL,但是在联系其他团队时无法访问BigQuery的ACL,只能由IAM控制。
如果用户错误暴露了 IAM,GCP 有什么办法可以防止这种情况发生?
解决方法
您可以对 IAM 服务实施 2fa 和 IP 控制(使用 IAM conditions 和 context-aware access)。
Google 会尽力帮助您:
- 如果出现异常活动,例如矿工安装了您的 VM,从而导致可疑的网络活动,支持人员会与您联系
- Google 会定期扫描公共存储库(例如 Github),如果发现服务帐户密钥文件,您会收到通知
- 平台为您提供降低风险的解决方案
- 上下文感知访问
- IAM 条件
- 禁用生成服务帐户密钥文件的能力的组织政策。只有一小部分用户能够在用户请求验证后生成它们。目标是限制密钥的数量并仅在用例需要时才生成它们
- SCC(安全指挥中心)调查结果可以提高服务帐户的原始角色:角色过多,请改用预定义角色
- IAM 推荐者根据活动的最后 90 天建议您缩小权限范围
因此是一组对事件具有主动性和反应性的工具。
,您可以设置在尝试访问 GCP 虚拟机实例时触发的 2 步验证 (2sv)。
按照此 guide 为您的实例设置 2sv。
此外,VPC service control 还可以为 bigQuery 等托管服务添加额外的安全层。
您可以通过此服务阻止特定 IP 地址。
此 article 将对您使用 VPC 服务控制有很大帮助。