Day-061-GCP 安全实战

# Day 59: GCP 安全实战

> Web 安全系列第 29 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [GCP 安全架构](#gcp 安全架构)
2. [IAM 与资源管理](#iam 与资源管理)
3. [VPC 网络安全](#vpc 网络安全)
4. [Cloud Storage 安全](#cloud-storage 安全)
5. [Compute Engine 安全](#compute-engine 安全)
6. [Cloud Functions 安全](#cloud-functions 安全)
7. [Secret Manager 安全](#secret-manager 安全)
8. [安全监控与合规](#安全监控与合规)
9. [漏洞利用与防护](#漏洞利用与防护)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## GCP 安全架构

### GCP 安全责任

**Google 负责**：
```
- 物理设施安全
- 网络基础设施
- 虚拟化层安全
- 基础服务安全
- 全球基础设施
- 硬件安全模块
```

**客户负责**：
```
- 数据安全
- 应用安全
- IAM 配置
- 网络安全配置
- 操作系统安全
- 加密密钥管理
- 访问控制
```

### GCP 安全服务

**身份服务**：
```
Cloud IAM：
- 细粒度权限
- 服务账户
- 组织策略

Cloud Identity：
- 身份管理
- 设备管理
- 访问控制

BeyondCorp：
- 零信任架构
- 无 VPN 访问
- 上下文感知
```

**网络安全**：
```
VPC：虚拟私有云
- 软件定义网络
- 全球网络
- 私有 Google 访问

Firewall Rules：防火墙规则
- 实例级防火墙
- 标签匹配
- 优先级

Cloud Armor：
- DDoS 防护
- WAF 功能
- 安全策略

Cloud CDN：
- 内容分发
- DDoS 缓解
- 边缘安全
```

**数据安全**：
```
Cloud KMS：密钥管理
- 密钥管理
- HSM 支持
- 自动轮换

Secret Manager：秘密管理
- 秘密存储
- 版本控制
- 访问审计

Cloud DLP：数据防泄露
- 敏感数据发现
- 数据脱敏
- 风险检测
```

**监控服务**：
```
Cloud Audit Logs：审计日志
- 管理活动日志
- 数据访问日志
- 系统事件日志

Security Command Center：安全中心
- 安全管理
- 威胁发现
- 合规监控

Cloud Monitoring：监控
- 资源监控
- 指标告警
- 日志分析

Forseti Security：安全工具
- 开源安全工具
- 策略执行
- 合规检查
```

---

## IAM 与资源管理

### IAM 基础

**核心概念**：
```
成员（Member）：
- 用户账户
- 服务账户
- 组
- 所有用户

角色（Role）：
- 原始角色
- 预定义角色
- 自定义角色

权限（Permission）：
- 操作权限
- 资源权限
- 细粒度控制

策略（Policy）：
- IAM 策略
- 组织策略
- 资源策略
```

**角色类型**：
```
原始角色：
- Owner（完全控制）
- Editor（编辑权限）
- Viewer（只读权限）
- 不推荐用于生产

预定义角色：
- 服务特定
- 细粒度权限
- 推荐用于生产

自定义角色：
- 组织特定
- 精确权限
- 需要维护
```

### IAM 安全最佳实践

**最小权限原则**：
```
1. 避免原始角色
   - 不使用 Owner/Editor
   - 使用预定义角色
   - 细粒度权限

2. 资源级权限
   - 限制资源范围
   - 特定项目
   - 特定资源

3. 条件权限
   - 时间限制
   - IP 限制
   - 设备限制
```

**服务账户管理**：
```
1. 服务账户最佳实践
   - 每个服务独立
   - 最小权限
   - 定期轮换密钥

2. 密钥管理
   - 避免长期密钥
   - 使用工作负载身份
   - 监控密钥使用

3. 模拟限制
   - 限制模拟权限
   - 审计模拟操作
   - 最小化模拟
```

**组织策略**：
```
1. 域名限制
   - 限制用户域
   - 防止外部用户
   - 组织边界

2. 位置限制
   - 数据驻留
   - 资源位置
   - 合规要求

3. 访问限制
   - 公开访问阻止
   - 策略强制执行
   - 审计合规
```

### IAM 漏洞利用

**权限提升**：
```
场景 1: iam.serviceAccountTokenCreator
- 创建服务账户令牌
- 模拟服务账户
- 权限提升

利用：
gcloud iam service-accounts keys create key.json \
  --iam-account=service-account@project.iam.gserviceaccount.com

防护：
- 限制密钥创建
- 使用工作负载身份
- 监控密钥使用
```

**策略修改**：
```
场景 2: resourcemanager.projects.setIamPolicy
- 修改 IAM 策略
- 添加管理员
- 权限提升

利用：
gcloud projects add-iam-policy-binding project \
  --member=user:attacker@example.com \
  --role=roles/editor

防护：
- 限制策略修改
- 审批流程
- 监控变更
```

**服务账户模拟**：
```
场景 3: iam.serviceAccounts.actAs
- 模拟服务账户
- 访问资源
- 权限提升

利用：
gcloud iam service-accounts simulate \
  service-account@project.iam.gserviceaccount.com

防护：
- 限制模拟权限
- 审计模拟操作
- 最小化模拟
```

### IAM 审计

**策略审查**：
```bash
# 查看项目策略
gcloud projects get-iam-policy project-id

# 查看服务账户策略
gcloud iam service-accounts get-iam-policy \
  service-account@project.iam.gserviceaccount.com

# 查看自定义角色
gcloud iam roles list --project=project-id
```

**权限分析**：
```bash
# 模拟权限检查
gcloud iam policy-test \
  --member=user:user@example.com \
  --role=roles/editor \
  --project=project-id

# 查看未使用权限
# 使用 Access Analyzer
# 第三方工具
```

---

## VPC 网络安全

### VPC 设计

**网络架构**：
```
1. 共享 VPC
   - 主机项目
   - 服务项目
   - 集中管理

2. VPC 对等
   - 项目间连接
   - 低延迟
   - 无单点故障

3. 网络拓扑
   - Hub-Spoke
   - 网格拓扑
   - 混合架构
```

**子网设计**：
```
1. 子网划分
   - 公有子网
   - 私有子网
   - 内部子网

2. IP 规划
   - CIDR 块
   - 避免重叠
   - 预留空间

3. 区域分布
   - 多区域
   - 高可用
   - 灾难恢复
```

### 防火墙规则

**规则配置**：
```
入站规则：
1. 允许必要端口
   - HTTP/HTTPS
   - SSH（限制 IP）
   - 应用端口

2. 限制源 IP
   - 特定 IP 范围
   - VPC 内部
   - 特定标签

3. 默认拒绝
   - 隐式拒绝
   - 明确允许
   - 审计日志
```

**最佳实践**：
```
1. 标签匹配
   - 实例标签
   - 目标标签
   - 源标签

2. 优先级管理
   - 高优先级（65534）
   - 默认规则（65535）
   - 文档化

3. 定期审查
   - 清理未使用
   - 验证规则
   - 审计变更
```

### Cloud Armor

**安全策略**：
```
预配置规则：
- OWASP Top 10
- XSS 防护
- SQL 注入防护
- RCE 防护

自定义规则：
- IP 地址匹配
- 地理匹配
- 速率限制
- 自定义表达式

速率限制：
- 每 IP 速率
- 每会话速率
- 突发限制
```

**DDoS 防护**：
```
第 3/4 层防护：
- SYN Flood
- UDP Flood
- ICMP Flood
- 自动缓解

第 7 层防护：
- HTTP Flood
- Slowloris
- CC 攻击
- 应用规则

最佳实践：
- 启用 Cloud Armor
- 配置安全策略
- 监控告警
```

---

## Cloud Storage 安全

### 存储桶配置

**访问控制**：
```
IAM 策略：
- 细粒度权限
- 资源级控制
- 审计日志

ACL（访问控制列表）：
- 传统方式
- 对象级权限
- 不推荐

统一桶级访问：
- 推荐方式
- IAM 集成
- 简化管
```

**公开访问控制**：
```
阻止公开访问：
- 组织策略
- 桶策略
- 默认设置

公开访问类型：
- 公开读取
- 公开写入
- 公开列表

最佳实践：
- 阻止公开访问
- 使用签名 URL
- 定期扫描
```

### 数据安全

**加密配置**：
```
默认加密：
- 自动启用
- Google 管理密钥
- 透明加密

客户管理密钥：
- Cloud KMS
- 客户控制
- 审计日志

自带密钥：
- 外部 HSM
- 完全控制
- 合规要求
```

**数据保护**：
```
版本控制：
- 对象版本
- 恢复删除
- 数据保护

生命周期管理：
- 自动删除
- 存储层转换
- 成本优化

对象保留：
- 保留策略
- 合法保留
- 合规要求
```

### 存储漏洞利用

**公开桶**：
```
场景 1: 存储桶公开可读
- 敏感数据泄露
- 凭证泄露
- 合规违规

发现：
gsutil ls gs://bucket-name

利用：
gsutil cp gs://bucket-name/file.txt .

防护：
- 阻止公开访问
- 桶策略限制
- 定期扫描
```

**签名 URL 滥用**：
```
场景 2: 签名 URL 泄露
- 长期有效
- 权限过大
- 无访问控制

利用：
# 生成签名 URL
gsutil signurl -d 1h service-account-key.json gs://bucket/file

# 分享 URL
# 任何人可访问

防护：
- 短期有效
- 限制权限
- 监控使用
```

**IAM 权限过大**：
```
场景 3: storage.admin 角色
- 完全控制存储
- 删除数据
- 修改策略

利用：
gsutil rm -r gs://bucket-name
gsutil iam ch allUsers:objectAdmin gs://bucket-name

防护：
- 最小权限
- 资源级权限
- 监控变更
```

---

## Compute Engine 安全

### 实例安全配置

**安全启动**：
```
屏蔽实例：
- 加密内存
- 完整性验证
- 防篡改

安全启动：
- 验证引导加载程序
- 验证内核
- 验证驱动

最佳实践：
- 启用安全启动
- 使用屏蔽实例
- 监控完整性
```

**磁盘加密**：
```
默认加密：
- 自动启用
- Google 管理密钥
- 透明加密

客户管理密钥：
- Cloud KMS
- 客户控制
- 审计日志

最佳实践：
- 启用加密
- 使用 CMEK
- 定期轮换
```

**元数据保护**：
```
项目元数据：
- 配置信息
- 启动脚本
- 敏感数据

实例元数据：
- 实例信息
- 用户数据
- 敏感配置

最佳实践：
- 不存储敏感数据
- 限制访问
- 监控访问
```

### 网络安全

**外部 IP 管理**：
```
临时外部 IP：
- 启动时分配
- 停止时释放
- 动态 IP

静态外部 IP：
- 保留 IP
- 持续费用
- 固定 IP

无外部 IP：
- 仅内部 IP
- NAT Gateway
- 私有访问

最佳实践：
- 避免外部 IP
- 使用负载均衡
- 使用 NAT
```

**SSH 访问**：
```
传统 SSH：
- SSH 密钥
- 项目元数据
- 实例元数据

OS Login：
- IAM 集成
- 集中管理
- 审计日志

最佳实践：
- 使用 OS Login
- 限制 SSH 访问
- 使用 IAP
```

### 实例漏洞利用

**元数据服务**：
```
场景 1: 实例元数据泄露
- 敏感信息
- 服务账户令牌
- 配置信息

利用：
curl "http://metadata.google.internal/computeMetadata/v1/?recursive=true" \
  -H "Metadata-Flavor: Google"

防护：
- 限制访问
- 监控访问
- 最小权限
```

**启动脚本滥用**：
```
场景 2: 启动脚本包含凭证
- 硬编码凭证
- 敏感配置
- 权限提升

利用：
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/startup-script" \
  -H "Metadata-Flavor: Google"

防护：
- 不存储凭证
- 使用 Secret Manager
- 监控脚本
```

**快照泄露**：
```
场景 3: 磁盘快照公开
- 敏感数据
- 凭证泄露
- 合规违规

发现：
gcloud compute snapshots list --filter="licenses:*"

利用：
gcloud compute disks create disk-from-snapshot \
  --source-snapshot=snapshot-name

防护：
- 限制快照共享
- 加密快照
- 定期审计
```

---

## Cloud Functions 安全

### 函数安全配置

**身份认证**：
```
HTTP 触发器：
- 公开访问
- IAM 认证
- 限制访问

事件触发器：
- 服务账户
- 权限控制
- 事件源认证

最佳实践：
- 要求 IAM 认证
- 限制访问
- 监控调用
```

**网络安全**：
```
VPC 连接器：
- 出站连接
- 私有访问
- 安全组

私有服务连接：
- 私有 IP
- VPC 内部
- 无公网

最佳实践：
- 使用 VPC 连接器
- 限制访问
- 监控调用
```

**依赖安全**：
```
包管理：
- 锁定版本
- 扫描漏洞
- 定期更新

代码审查：
- 安全编码
- 秘密扫描
- 代码审计

最佳实践：
- 最小依赖
- 定期更新
- 监控漏洞
```

### 函数漏洞利用

**权限过大**：
```
场景 1: 函数服务账户权限过大
- 访问所有资源
- 管理权限
- 数据泄露

利用：
# 修改函数代码
gcloud functions deploy function-name \
  --source=evil-code

# 执行恶意代码
# 访问敏感数据

防护：
- 最小权限
- 服务账户限制
- 监控调用
```

**注入攻击**：
```
场景 2: 输入未验证
- HTTP 触发
- 事件触发
- 存储触发

利用：
# SQL 注入
# 命令注入
# XXE 注入

防护：
- 输入验证
- 参数化查询
- 安全编码
```

**供应链攻击**：
```
场景 3: 第三方依赖
- 恶意包
- 已知漏洞
- 供应链攻击

利用：
# 污染依赖
# 植入后门
# 数据窃取

防护：
- 锁定依赖
- 扫描漏洞
- 最小依赖
```

---

## Secret Manager 安全

### Secret Manager 基础

**秘密管理**：
```
秘密类型：
- 密码
- API 密钥
- 证书
- 令牌

版本控制：
- 版本管理
- 回滚支持
- 审计日志

访问控制：
- IAM 权限
- 资源级权限
- 条件访问
```

**集成服务**：
```
Compute Engine：
- 服务账户
- 自动认证
- 秘密访问

Cloud Functions：
- 环境变量
- 运行时访问
- 自动轮换

Kubernetes Engine：
- Secret 同步
- Pod 访问
- 自动挂载
```

### Secret Manager 安全配置

**访问控制**：
```
IAM 策略：
- 细粒度权限
- 资源级控制
- 审计日志

权限类型：
- secretmanager.secrets.get
- secretmanager.versions.access
- secretmanager.versions.add

最佳实践：
- 最小权限
- 定期审查
- 监控访问
```

**轮换策略**：
```
自动轮换：
- 定期轮换
- 自动更新
- 版本保留

手动轮换：
- 按需轮换
- 版本管理
- 回滚支持

最佳实践：
- 启用自动轮换
- 定期审查
- 监控使用
```

### Secret Manager 漏洞利用

**权限过大**：
```
场景 1: secretmanager.admin 角色
- 访问所有秘密
- 修改秘密
- 删除秘密

利用：
gcloud secrets versions access latest --secret=secret-name

防护：
- 最小权限
- 资源级权限
- 监控访问
```

**秘密泄露**：
```
场景 2: 秘密硬编码
- 代码泄露
- 凭证泄露
- 资源访问

发现：
- GitHub 扫描
- 代码审查
- 秘密扫描

利用：
# 使用秘密访问资源
# 解密数据
# 签名请求

防护：
- 使用 Secret Manager
- 定期轮换
- 秘密扫描
```

**审计日志绕过**：
```
场景 3: 日志未启用
- 无访问审计
- 无法检测
- 无法追踪

利用：
# 静默访问秘密
# 无日志记录
# 数据窃取

防护：
- 启用审计日志
- 集中存储
- 监控访问
```

---

## 安全监控与合规

### Cloud Audit Logs

**日志类型**：
```
管理活动日志：
- 配置变更
- 权限变更
- 资源管理

数据访问日志：
- 数据读取
- 数据写入
- 数据删除

系统事件日志：
- 系统事件
- 自动操作
- 维护事件
```

**日志配置**：
```
启用日志：
- 所有服务
- 所有区域
- 集中存储

日志保留：
- 默认 30 天
- 长期存储
- 合规要求

最佳实践：
- 启用所有日志
- 集中存储
- 长期保留
```

### Security Command Center

**威胁检测**：
```
漏洞扫描：
- VM 漏洞
- 容器漏洞
- Web 漏洞

错误配置：
- 公开存储桶
- 开放防火墙
- 过度权限

恶意软件：
- 恶意软件检测
- 异常行为
- 威胁情报
```

**安全态势**：
```
安全评分：
- 总体分数
- 按项目
- 按资源

建议：
- 高优先级
- 中优先级
- 低优先级

修复：
- 手动修复
- 自动修复
- 跟踪进度
```

### 合规管理

**合规标准**：
```
内置标准：
- CIS Benchmark
- ISO 27001
- PCI DSS
- HIPAA
- GDPR

自定义标准：
- 组织要求
- 行业标准
- 特定合规
```

**合规报告**：
```
合规仪表板：
- 总体合规
- 按标准
- 按资源

审计报告：
- 合规状态
- 不合规资源
- 修复建议

持续监控：
- 自动评估
- 实时状态
- 告警通知
```

---

## 漏洞利用与防护

### 常见攻击场景

**场景 1: 凭证泄露**：
```
攻击链：
1. GitHub 扫描
   - 搜索硬编码凭证
   - 公开仓库
   - 历史提交

2. 凭证利用
   - 访问 GCP 资源
   - 提升权限
   - 数据窃取

防护：
- 使用 Secret Manager
- 定期轮换
- 监控使用
```

**场景 2: 元数据服务攻击**：
```
攻击链：
1. SSRF 漏洞
   - Web 应用
   - 函数服务
   - API 服务

2. 访问元数据
   - 获取凭证
   - 访问内网
   - 横向移动

防护：
- 限制元数据访问
- 输入验证
- 网络隔离
```

**场景 3: 存储桶泄露**：
```
攻击链：
1. 发现公开存储
   - 自动化扫描
   - 子域名枚举
   - 证书透明度

2. 数据窃取
   - 下载数据
   - 凭证泄露
   - 合规违规

防护：
- 阻止公开访问
- 存储策略限制
- 定期扫描
```

### 安全加固

**立即行动**：
```
1. 启用组织策略
   - 阻止公开访问
   - 限制资源位置
   - 强制 MFA

2. 审计 IAM 权限
   - 删除未使用
   - 限制过度权限
   - 启用审计日志

3. 启用安全服务
   - Security Center
   - Audit Logs
   - Cloud Armor
```

**短期改进**：
```
1. 权限审查
   - 未使用权限
   - 过度权限
   - 权限提升

2. 网络加固
   - 防火墙审查
   - VPC 设计
   - 私有访问

3. 数据保护
   - 加密启用
   - 备份配置
   - 访问控制
```

**长期规划**：
```
1. 安全架构
   - 多项目策略
   - 网络分段
   - 数据分类

2. 自动化安全
   - 基础设施即代码
   - 策略即代码
   - 自动合规

3. 持续监控
   - 安全态势
   - 威胁检测
   - 事件响应
```

---

## 总结与思考

### 核心要点回顾

1. **IAM 安全**
   - 最小权限
   - 服务账户管理
   - 组织策略

2. **网络安全**
   - VPC 设计
   - 防火墙规则
   - Cloud Armor

3. **数据安全**
   - 加密存储
   - Secret Manager
   - 访问控制

### 深入思考问题

1. **多云安全**？
   - GCP + AWS
   - 统一管理
   - 策略一致

2. **Serverless 安全**？
   - 函数安全
   - 事件安全
   - 依赖安全

3. **零信任架构**？
   - BeyondCorp
   - 持续验证
   - 动态授权

### 实战建议

**云架构师**：
1. 安全设计
2. 最佳实践
3. 合规要求
4. 成本优化

**安全人员**：
1. 持续监控
2. 事件响应
3. 漏洞管理
4. 合规审计

**开发人员**：
1. 安全编码
2. 凭证管理
3. 依赖管理
4. 安全测试

---

## 参考资料

### 学习资源
- [GCP Security Documentation](https://cloud.google.com/security)
- [GCP Well-Architected Framework](https://cloud.google.com/architecture/framework)
- [GCP Security Blog](https://cloud.google.com/blog/topics/threat-intelligence)

### 工具资源
- [Security Command Center](https://cloud.google.com/security-command-center)
- [Forseti Security](https://forsetisecurity.org/)
- [GCP Bucket Finder](https://github.com/sharkdp/gcp-bucket-finder)

### 书籍推荐
- 《GCP 安全最佳实践》
- 《Practical GCP Security》
- 《GCP Security》
- 《Cloud Security and Privacy》

### 在线资源
- [CIS GCP Benchmark](https://www.cisecurity.org/benchmark/google_cloud_platform/)
- [OWASP Cloud Security](https://owasp.org/www-project-cloud-security/)
- [GCP Security Checklist](https://cloud.google.com/security/docs/security-checklist)

---

**标记 明日预告**：Day 60 - 云安全综合实战

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 59 篇，Web 安全部分第 29 篇，精编版本*