Upgrade to Pro — share decks privately, control downloads, hide ads and more …

頑固吧!GCP Cloud SQL (Why Hardening GCP Cloud SQL)

D69e77fd50edf1a9c6d5ffcddd03dd90?s=47 Funny Systems
December 14, 2020

頑固吧!GCP Cloud SQL (Why Hardening GCP Cloud SQL)

問題 : Cloud SQL Proxy Credential File 外洩

該如何防止再次發生?

開源 PoC

D69e77fd50edf1a9c6d5ffcddd03dd90?s=128

Funny Systems

December 14, 2020
Tweet

Transcript

  1. Why Hardening GCP Cloud SQL ?

  2. 問題 Cloud SQL Proxy Credential File 外洩

  3. Project CMS Compute Engine Database Cloud SQL API Compute Engine

    Backend Compute Engine Frontend Compute Engine 真實案例, 這種資料外洩情況,該如何防止再次發生? 正常使用連線 惡意後門連線 主機被攻陷後, 持續外洩資料不停機。
  4. 原本 Cloud SQL Proxy 的連線行為,明文憑證 Project Instance A Compute Engine

    Cloud SQL Proxy Credential File 1. 讀取 2. 建立連線 存在於檔案系統當中, 且 Cloud SQL Proxy 目前僅允許讀取明文檔案。 所以此檔案外洩具有嚴重風險。 Cloud SQL
  5. Credential File 掉了 會有甚麼風險 風險 1. 可以在任一主機上,建立 Cloud SQL Proxy

    風險 2. 等同於服務帳號 ( Service Account ) 的帳號金鑰 提升權限
  6. 關於風險 1. Project Instance A Compute Engine Cloud SQL Proxy

    Credential File 1. 讀取 2. 建立連線 1. 讀取 Credential File 2. 建立連線 攻擊者和您使用了一樣的方式讀取 Cloud SQL 機敏資料就此外流 Cloud SQL Proxy Cloud SQL
  7. 解決方案 加密保護 Credential File

  8. 原本 Cloud SQL Proxy 的連線行為,加密憑證 Project Instance A Compute Engine

    1. 讀取 2. 建立連線 檔案系統中僅存放密文, 並在讀取的過程之中進行「 透明解密 」。 Cloud SQL Proxy Hardening Cloud SQL Encrypted Credential File
  9. Project Instance A Compute Engine Cloud SQL Proxy Hardening 1.

    讀取 2. 建立連線 無法讀取明文 攻擊者無法讀取 Credential File 明文 原本 Cloud SQL Proxy 的連線行為,加密憑證 Encrypted Credential File Cloud SQL Proxy Cloud SQL Encrypted Credential File
  10. 您認為一般的資安技術服務, (例如:滲透測試、原始碼檢查) 可以保護您在意的資料 ( 或個資 ) 嗎? 程式碼改版,就又要花一筆檢測費用?

  11. 以應用程式安全為核心目標 了解需求 滲透測試 原始碼檢查

  12. 以資料安全為核心目標 了解需求 改造流程 重整架構 開發私房工具 滲透測試 原始碼檢查 獨立資料路由 敏感資料分離 憑證透明解密

    備份透明加密
  13. 規劃安全架構,保護敏感資料 Funny-Systems-OSS oss@funny.systems