Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
頑固吧!GCP Cloud SQL (Why Hardening GCP Cloud SQL)
Search
Funny Systems
December 14, 2020
Technology
510
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
頑固吧!GCP Cloud SQL (Why Hardening GCP Cloud SQL)
問題 : Cloud SQL Proxy Credential File 外洩
該如何防止再次發生?
開源 PoC
Funny Systems
December 14, 2020
More Decks by Funny Systems
See All by Funny Systems
雲端 DHCP 安全問題
funnysystems
1
1.1k
雲端資料掉光光 - GCP 事件調查真實案例
funnysystems
2
1.7k
SMB 捲土重來 (Turning SMB Server Side Bug to Client Side)
funnysystems
0
320
跟壞鄰居想的一樣,供應鏈安全與硬體後門
funnysystems
1
800
以安全工程角度,連結實務與設計
funnysystems
0
400
FunnyPot ‐ 改造 Windows 核心,強固化、蜜罐化
funnysystems
0
750
攻擊者的視角 - 兼談匿名識別度與可追蹤性
funnysystems
1
490
黑客技術,黑科技樹 II
funnysystems
1
870
黑科技樹,黑客技術
funnysystems
1
610
Other Decks in Technology
See All in Technology
cccccc
moznion
0
1.9k
関数型の考えを TypeScript に持ち込んで、テストしやすい純粋関数を増やす / Pure at the Core, Effects at the Edge: Bringing Functional Thinking into TypeScript
kaminashi
1
110
Genie Ontologyは銀の弾丸かを考える / Is Genie Ontology a Silver Bullet?
nttcom
0
260
ボーイスカウトルールでメモリやスキルを改善しよう
azukiazusa1
3
1k
Mastraエージェント、どのクラウドにデプロイする?
minorun365
PRO
2
180
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
5.2k
GuardrailからGovernanceへ~AIエージェント運用の次の課題~
sbspsy
2
270
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
2
1.5k
ゴールデンパスは敷いただけでは道にならない ─ 企画部門のエンジニアが技術標準を事業価値に変えるまで
mhrtech
0
140
10年目を迎えた「ABEMA」がどのように AI 活用を推進して、AI 駆動開発にシフトしているのか / How ABEMA, entering its 10th year, is promoting the use of AI and shifting toward AI-driven development
miyukki
0
140
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
2
3.8k
Foxgloveについて 実際にExtensionを開発して公開するまでの話 / About Foxglove: The Story of Developing and Releasing an Extension
ry0_ka
0
220
Featured
See All Featured
Building AI with AI
inesmontani
PRO
1
1.1k
Tell your own story through comics
letsgokoyo
1
990
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
4.1k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
1
1.9k
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
420
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
190
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
870
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
220
The Pragmatic Product Professional
lauravandoore
37
7.4k
Transcript
Why Hardening GCP Cloud SQL ?
問題 Cloud SQL Proxy Credential File 外洩
Project CMS Compute Engine Database Cloud SQL API Compute Engine
Backend Compute Engine Frontend Compute Engine 真實案例, 這種資料外洩情況,該如何防止再次發生? 正常使用連線 惡意後門連線 主機被攻陷後, 持續外洩資料不停機。
原本 Cloud SQL Proxy 的連線行為,明文憑證 Project Instance A Compute Engine
Cloud SQL Proxy Credential File 1. 讀取 2. 建立連線 存在於檔案系統當中, 且 Cloud SQL Proxy 目前僅允許讀取明文檔案。 所以此檔案外洩具有嚴重風險。 Cloud SQL
Credential File 掉了 會有甚麼風險 風險 1. 可以在任一主機上,建立 Cloud SQL Proxy
風險 2. 等同於服務帳號 ( Service Account ) 的帳號金鑰 提升權限
關於風險 1. Project Instance A Compute Engine Cloud SQL Proxy
Credential File 1. 讀取 2. 建立連線 1. 讀取 Credential File 2. 建立連線 攻擊者和您使用了一樣的方式讀取 Cloud SQL 機敏資料就此外流 Cloud SQL Proxy Cloud SQL
解決方案 加密保護 Credential File
原本 Cloud SQL Proxy 的連線行為,加密憑證 Project Instance A Compute Engine
1. 讀取 2. 建立連線 檔案系統中僅存放密文, 並在讀取的過程之中進行「 透明解密 」。 Cloud SQL Proxy Hardening Cloud SQL Encrypted Credential File
Project Instance A Compute Engine Cloud SQL Proxy Hardening 1.
讀取 2. 建立連線 無法讀取明文 攻擊者無法讀取 Credential File 明文 原本 Cloud SQL Proxy 的連線行為,加密憑證 Encrypted Credential File Cloud SQL Proxy Cloud SQL Encrypted Credential File
您認為一般的資安技術服務, (例如:滲透測試、原始碼檢查) 可以保護您在意的資料 ( 或個資 ) 嗎? 程式碼改版,就又要花一筆檢測費用?
以應用程式安全為核心目標 了解需求 滲透測試 原始碼檢查
以資料安全為核心目標 了解需求 改造流程 重整架構 開發私房工具 滲透測試 原始碼檢查 獨立資料路由 敏感資料分離 憑證透明解密
備份透明加密
規劃安全架構,保護敏感資料 Funny-Systems-OSS
[email protected]