Ir al contenido principal

¿Cómo conectar Google Cloud Platform (GCP)?

Nuestro módulo de Seguridad de Apps te permite conectar una variedad de sistemas para monitorearlos y garantizar que todos cuenten con las configuraciones de seguridad adecuadas para proteger tu información, e incluso para robustecer el cumplimiento de tu programa de seguridad ✅⭐.

Para ir a este módulo solo debes ir a “Seguridad de apps” en la barra lateral izquierda dentro de nuestra plataforma:

Esto te mostrará las herramientas que tenemos disponibles para su conexión. Y solo debes pasar el cursor sobre la que desees conectar:

💡 Recuerda que sólo el administrador de la aplicación puede conectarse, si una persona distinta al administrador se conecta, la herramienta te indicará que estamos conectados, pero sin escanear nada.

Ahora bien, para lograr una integración adecuada con GCP, es fundamental seguir una serie de pasos estructurados. Estos incluyen la creación de un rol específico dentro de tu organización, la asignación de dicho rol a un usuario y el uso de las credenciales generadas para configurar la integración con la plataforma.

¡A continuación, te explicamos paso a paso cómo puedes lograr esta conexión! 🚀

Cómo crear el "Security Audit Role"

1. Inicia sesión en la consola de Google Cloud y activa el Cloud Shell:

2. Crea un nuevo archivo llamado hackmetrix-security-audit-role.yaml. Puedes utilizar: nano hackmetrix-security-audit-role.yaml:

3. Copie y pegue el siguiente código yaml en el archivo de su Cloud Shell, presione Ctrl + X, y escriba "Y" para guardar el archivo:

name: roles/HackmetrixCSPMSecurityAuditt
title: Hackmetrix CSPM Security Audit
includedPermissions:
  - cloudasset.assets.listResource
  - cloudkms.cryptoKeys.list
  - cloudkms.keyRings.list
  - cloudsql.instances.list
  - cloudsql.users.list
  - compute.autoscalers.list
  - compute.backendServices.list
  - compute.disks.list
  - compute.firewalls.list
  - compute.healthChecks.list
  - compute.instanceGroups.list
  - compute.instances.getIamPolicy
  - compute.instances.list
  - compute.networks.list
  - compute.projects.get
  - compute.securityPolicies.list
  - compute.subnetworks.list
  - compute.targetHttpProxies.list
  - container.clusters.list
  - dns.managedZones.list
  - iam.serviceAccountKeys.list
  - iam.serviceAccounts.list
  - logging.logMetrics.list
  - logging.sinks.list
  - monitoring.alertPolicies.list
  - resourcemanager.folders.get
  - resourcemanager.folders.getIamPolicy
  - resourcemanager.folders.list
  - resourcemanager.hierarchyNodes.listTagBindings
  - resourcemanager.organizations.get
  - resourcemanager.organizations.getIamPolicy
  - resourcemanager.projects.get
  - resourcemanager.projects.getIamPolicy
  - resourcemanager.projects.list
  - resourcemanager.resourceTagBindings.list
  - resourcemanager.tagKeys.get
  - resourcemanager.tagKeys.getIamPolicy
  - resourcemanager.tagKeys.list
  - resourcemanager.tagValues.get
  - resourcemanager.tagValues.getIamPolicy
  - resourcemanager.tagValues.list
  - storage.buckets.getIamPolicy
  - storage.buckets.list
  - deploymentmanager.deployments.list
  - dataproc.clusters.list
  - artifactregistry.repositories.list
  - composer.environments.list
  - cloudsql.backupRuns.list
  - compute.snapshots.list
stage: GA

💡 Esto creará el archivo .yaml para crear el rol Hackmetrix CSPM Security Audit que será necesario mas adelante.

Ejecuta el siguiente comando para crear el rol, usa tu ID de organización para crear el rol en el nivel de organización:

 gcloud iam roles create HackmetrixCSPMSecurityAudit--organization=YOUR_ORGANIZATION_ID --file=hackmetrix-security-audit-role.yaml

Cómo crear el "Service Account"

1. Inicia sesión en la consola de Google Cloud y navega hasta Administrador de IAM > Cuentas de servicio:

2. Haga clic en "Crear cuenta de servicio":

3. Ingresa la palabra "Hackmetrix" en el nombre de la cuenta de servicio. Luego, ingresa el siguiente texto en la descripción: "Acceso a la API de Hackmetrix".

4. Da clic en continuar.

5. Selecciona la función: Custom > Hackmetrix CSPM Security Audit:

6. Da clic en continuar.

7. Luego da clic en "Administrar claves" y posteriormente en "Crear clave nueva":

8. Deja seleccionado el JSON predeterminado:

9. Da clic en "Crear".

10. La clave será descargada en tu ordenador, y será solicitada en el momento de la conexión.

11. También debes asegurarte que las siguientes APIs estén activadas:

  1. Compute Engine API

  2. Cloud Key Managment Service KMS API

  3. Cloud Resource Manager API

  4. Cloud SQL Admin API

  5. Cloud DNS API

  6. Cloud OS Login API

  7. Access Approval API

Cómo conectar dentro de la plataforma Hackmetrix

Ahora debes ingresar la información del archivo en nuestra plataforma:

Consideración importante

Si en el paso 8 no te es posible crear la clave, es necesario realizar lo siguiente:

1. Ir a "Políticas de la organización" dentro del proyecto:

2. Buscar “iam.serviceAccountKeyExposureResponse”:

3. Da clic en “Administrar Política”:

4. En “Fuente de las políticas” debes seleccionar la opción de “Anular la política del superior”. Y en “aplicación forzosa” se debe seleccionar la opción de “Desactivada”:

5. Después de guardar, puedes volver al paso 8 del proceso inicial en la sección de Cómo crear el "Service Account".

Conecta todos tus proyectos de GCP

Si tu organización cuenta con más de un proyecto en GCP, no tienes que priorizar cuál cuenta conectar, ¡ahora puedes conectar todas las que tu quieras en la plataforma Hackmetrix! Solo debes presionar los 3 puntos al lado de la herramienta de GCP en el módulo de Seguridad de Apps y seleccionar “conectar nueva cuenta”.

Para conectar nuevas cuentas se siguen los mismos pasos explicados anteriormente en este artículo 😉.


¿Qué se monitorea de la herramienta?

Al conectar esta herramienta podrás monitorear los siguientes aspectos:

  • Permisos en cuentas de servicios: Verifica que las cuentas de servicio en Google Cloud Platform (GCP) no posean privilegios excesivos(admin,owner o permisos de escritura), asegurando que solo tengan los permisos mínimos necesarios para realizar sus tareas.

  • Service Account User sin uso: Verifica si algún usuario tiene asignado el rol "Service Account User" en Google Cloud Platform, lo cual podría otorgarles permisos adicionales innecesarios.

  • El sistema solo cuenta con usuarios internos a la organizacion: Este test verifica si la herramienta solo cuenta con usuarios internos a la organización, lo cual es crucial para mantener la seguridad y controlar el acceso a los recursos. Garantizar que solo el personal autorizado tenga acceso ayuda a proteger la integridad y confidencialidad de la información manejada por la herramienta, minimizando el riesgo de brechas de seguridad y accesos no autorizados.

  • Separación de Roles KMS y CryptoKeys: Verifica que ningún usuario tenga simultáneamente el rol de administrador de KMS (cloudkms.admin) y cualquier rol asociado con CryptoKeys, como cryptoKeyDecrypter, cryptoKeyEncrypter, o cryptoKeyEncrypterDecrypter en GCP.

  • Roles Primitivos sin uso: Verifica que los miembros de IAM en GCP no utilicen roles primitivos (como owner, editor, o viewer), para garantizar una gestión más granular de permisos.

  • Acceso Público a BigQuery: Garantizar que los conjuntos de datos de BigQuery en GCP no tengan configurado el acceso público, protegiendo los datos sensibles de accesos no autorizados.

  • IPs Públicas en Bases SQL: Verifica que las IPs de las bases SQL en GCP no sean públicas, para evitar accesos no autorizados y potenciales ataques.

  • Bases SQL sin acceso remoto: Verifica que el acceso remoto a SQL en GCP esté deshabilitado, protegiendo las bases de datos de accesos no autorizados.

  • Implementación de Copias de Seguridad: Este test verifica si se han implementado adecuadamente las copias de seguridad para proteger los datos críticos y asegurar la recuperación en caso de incidentes o fallos.

  • Acceso Público a Bases de Datos: Verifica que las bases de datos en GCP no sean públicas, protegiendo los datos sensibles de accesos no autorizados.

  • Verificación del Puerto 22 Abierto: Verifica si el puerto 22 está abierto en Google Cloud Platform, lo cual puede permitir accesos SSH no autorizados.

  • Verificación del Puerto 1433 Abierto: Verifica si el puerto 1433 está abierto en Google Cloud Platform, lo cual puede permitir accesos SQL Server no autorizados.

  • Seguridad DNS Activada: Verifica que la seguridad DNS esté activada en toda la zona de Google Cloud Platform, garantizando la integridad y autenticidad de las respuestas DNS.

  • No uso de RSASHA1 en Seguridad DNS: Verifica que la seguridad DNS en Google Cloud Platform no use RSASHA1, un algoritmo poco seguro.

  • Configuración de Registros de Eventos: Este test verifica si tus sistemas están configurados para guardar registros de todo lo que sucede. Los registros o "logs" son esenciales porque te permiten ver qué acciones se han realizado en tus sistemas, ayudando a identificar y reaccionar frente a actividades sospechosas o ataques.

  • Restricción de Edición en Buckets: Verifica que los buckets en Google Cloud Platform no puedan ser editados por cualquiera, asegurando que solo usuarios autorizados tengan permisos de edición.

  • Encriptación de Buckets: Verifica que los buckets en Google Cloud Platform tengan la encriptación adecuada, protegiendo los datos almacenados.

  • Capacidad de Restauración de Bases de Datos: Asegura que las bases de datos en Google Cloud Platform pueden ser restauradas, garantizando la recuperación de datos en caso de fallos.

  • Autenticación de Dos Factores en VMs: Este test verifica si las instancias de máquinas virtuales tienen la función lógica del sistema operativo habilitada y configurada con autenticación de dos factores (2FA). Esta medida es crucial para fortalecer la seguridad del acceso al sistema operativo, asegurando que solo usuarios autorizados puedan acceder a las máquinas virtuales mediante un proceso de autenticación robusto. La implementación de 2FA ayuda a proteger las instancias de posibles accesos no autorizados y aumenta la seguridad general del entorno.

  • Encriptación de Snapshots: Verifica que las snapshots en Google Cloud Platform estén encriptadas, protegiendo los datos respaldados.

  • Habilitación de Aprobación de Acceso: Este test verifica si la aprobación de acceso está habilitada para el proyecto, lo cual es fundamental para garantizar que solo usuarios autorizados puedan acceder a los recursos del proyecto. La aprobación de acceso añade una capa adicional de seguridad, asegurando que cada solicitud de acceso sea revisada y aprobada antes de conceder permisos, lo que ayuda a proteger la integridad y confidencialidad de la información manejada en el proyecto.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
¿Cómo conectar AWS?
¿Cómo conectar Bitbucket?
¿Cómo conectar Google Workspace?
¿Cómo conectar Azure?
¿Cómo conectar JIRA?
¿Ha quedado contestada tu pregunta?