# Google GCP > **Um guia abrangente sobre o Google Cloud Platform** – desde os fundamentos da nuvem e o modelo de responsabilidade compartilhada até serviços de segurança, detecção de ameaças e procedimentos de investigação forense em ambientes Google Cloud. *** ## 📌 Índice 1. [Introdução ao Google Cloud Platform](#-introdução-ao-google-cloud-platform) * 1.1 [O que é GCP?](#11-o-que-é-gcp) * 1.2 [O Modelo de Responsabilidade Compartilhada](#12-o-modelo-de-responsabilidade-compartilhada) * 1.3 [Infraestrutura Global: Regiões, Zonas e Redes](#13-infraestrutura-global-regiões-zonas-e-redes) 2. [Arquitetura GCP: Fundamentos de Segurança](#-arquitetura-gcp-fundamentos-de-segurança) * 2.1 [Os Pilares da Segurança Google Cloud](#21-os-pilares-da-segurança-google-cloud) * 2.2 [Shared Fate: O Modelo de Parceria Google](#22-shared-fate-o-modelo-de-parceria-google) * 2.3 [Google Cloud Recommended Security Checklist](#23-google-cloud-recommended-security-checklist) 3. [Gerenciamento de Identidade e Acesso (IAM)](#-gerenciamento-de-identidade-e-acesso-iam) * 3.1 [IAM no GCP: Usuários, Grupos e Papéis](#31-iam-no-gcp-usuários-grupos-e-papéis) * 3.2 [Context-Aware Access: Controle Baseado em Contexto](#32-context-aware-access-controle-baseado-em-contexto) * 3.3 [Melhores Práticas de IAM e Least Privilege](#33-melhores-práticas-de-iam-e-least-privilege) * 3.4 [Cloud Identity e Autenticação](#34-cloud-identity-e-autenticação) 4. [Serviços de Proteção e Defesa em Profundidade](#-serviços-de-proteção-e-defesa-em-profundidade) * 4.1 [Proteção de Rede: Cloud Armor e VPC](#41-proteção-de-rede-cloud-armor-e-vpc) * 4.2 [Proteção de Dados: Criptografia e KMS](#42-proteção-de-dados-criptografia-e-kms) * 4.3 [Confidential Computing: Dados em Uso](#43-confidential-computing-dados-em-uso) * 4.4 [VPC Service Controls: Perímetros de Segurança](#44-vpc-service-controls-perímetros-de-segurança) 5. [Serviços de Detecção e Monitoramento de Segurança](#-serviços-de-detecção-e-monitoramento-de-segurança) * 5.1 [Cloud Logging – O Registro Centralizado](#51-cloud-logging--o-registro-centralizado) * 5.2 [Cloud Audit Logs: Admin, Data Access e System Events](#52-cloud-audit-logs-admin-data-access-e-system-events) * 5.3 [Security Command Center (SCC) – Centro de Comando](#53-security-command-center-scc--centro-de-comando) * 5.4 [Chronicle – Inteligência de Ameaças](#54-chronicle--inteligência-de-ameaças) * 5.5 [VPC Flow Logs e Monitoramento de Rede](#55-vpc-flow-logs-e-monitoramento-de-rede) 6. [Artefatos Forenses no GCP](#-artefatos-forenses-no-gcp) * 6.1 [Cloud Logging como Fonte Primária de Evidências](#61-cloud-logging-como-fonte-primária-de-evidências) * 6.2 [Cloud Audit Logs: Quem, Quando, Onde](#62-cloud-audit-logs-quem-quando-onde) * 6.3 [VPC Flow Logs: Tráfego de Rede](#63-vpc-flow-logs-tráfego-de-rede) * 6.4 [Bucket de Logs: \_Required, \_Default e Sinks Personalizados](#64-bucket-de-logs-_required-_default-e-sinks-personalizados) * 6.5 [Snapshots de Disco (Persistent Disk)](#65-snapshots-de-disco-persistent-disk) * 6.6 [Forensic Acquisition: Cloud Forensics Utils e GRR](#66-forensic-acquisition-cloud-forensics-utils-e-grr) 7. [Investigação Forense e Resposta a Incidentes](#-investigação-forense-e-resposta-a-incidentes) * 7.1 [Preparação: Plano de Resposta e Conhecimento do Ambiente](#71-preparação-plano-de-resposta-e-conhecimento-do-ambiente) * 7.2 [Coleta de Evidências: Live Forensics no GCP](#72-coleta-de-evidências-live-forensics-no-gcp) * 7.3 [Análise Forense com Cloud Logging e BigQuery](#73-análise-forense-com-cloud-logging-e-bigquery) * 7.4 [Cadeia de Custódia: Imutabilidade e Controle de Acesso](#74-cadeia-de-custódia-imutabilidade-e-controle-de-acesso) * 7.5 [Workflow Automatizado: Eliminando Toil com Orquestração](#75-workflow-automatizado-eliminando-toil-com-orquestração) * 7.6 [Exemplo Prático: Investigação de VM Comprometida](#76-exemplo-prático-investigação-de-vm-comprometida) 8. [Melhores Práticas de Segurança Operacional](#-melhores-práticas-de-segurança-operacional) * 8.1 [Organização de Recursos e Hierarquia](#81-organização-de-recursos-e-hierarquia) * 8.2 [Logging e Monitoramento Essenciais](#82-logging-e-monitoramento-essenciais) * 8.3 [Proteção de Dados e Criptografia](#83-proteção-de-dados-e-criptografia) * 8.4 [Automação e Infrastructure as Code (IaC)](#84-automação-e-infrastructure-as-code-iac) 9. [Referências e Ferramentas](#-referências-e-ferramentas) *** ## 🔍 Introdução ao Google Cloud Platform ### 1.1 O que é GCP? O **Google Cloud Platform (GCP)** é o conjunto de serviços de computação em nuvem da Google, oferecido na mesma infraestrutura global que sustenta produtos como Google Search, Gmail e YouTube . Lançado em 2008 com o App Engine e expandido significativamente desde então, o GCP fornece mais de 200 serviços que vão desde infraestrutura como serviço (IaaS) até plataforma como serviço (PaaS) e capacidades de machine learning de ponta . **Benefícios Fundamentais:** * **Infraestrutura Global**: Data centers em mais de 40 regiões e 121 zonas de disponibilidade * **Segurança por Design**: Infraestrutura construída com princípios de segurança desde a base * **Inovação em IA/ML**: Liderança em inteligência artificial com TensorFlow, Vertex AI e modelos foundation * **Escala Planetária**: Mesma infraestrutura que suporta bilhões de usuários nos produtos Google * **Pricing Flexível**: Modelo de pagamento por uso com descontos por compromisso de uso ### 1.2 O Modelo de Responsabilidade Compartilhada Como todos os provedores de nuvem, o GCP opera sob o modelo de **responsabilidade compartilhada**, mas com uma abordagem que a Google chama de **"shared fate"** (destino compartilhado) . | **Responsabilidade** | **Google (Segurança *****da***** Nuvem)** | **Cliente (Segurança *****na***** Nuvem)** | | ------------------------- | --------------------------------------------------- | ----------------------------------------------------------- | | **Infraestrutura Física** | Data centers, hardware, rede global | - | | **Virtualização** | Isolamento entre tenants, hypervisor seguro | - | | **Sistema Operacional** | Para serviços gerenciados (GKE, Cloud SQL) | Para Compute Engine VMs (configuração, patches) | | **Aplicações** | Serviços gerenciados (App Engine, Cloud Functions) | Aplicações próprias e configurações | | **Dados** | Criptografia em repouso e em trânsito por padrão | Classificação, gerenciamento de chaves (CMEK/BYOK), backups | | **Identidades** | Cloud Identity, IAM | Usuários, grupos, papéis, políticas de acesso | > 💡 **Shared Fate**: A Google adota uma abordagem proativa de "destino compartilhado", fornecendo ferramentas e checklists para ajudar os clientes a implementar segurança corretamente, em vez de simplesmente transferir a responsabilidade . ### 1.3 Infraestrutura Global: Regiões, Zonas e Redes ```mermaid graph TB subgraph "Região (ex: us-central1 - Iowa)" Z1[Zona A] Z2[Zona B] Z3[Zona C] end subgraph "Região (ex: southamerica-east1 - São Paulo)" Z4[Zona A] Z5[Zona B] end subgraph "Rede Global" VPC[Virtual Private Cloud] Edge[Edge Points of Presence] end Z1 --- Z2 Z2 --- Z3 Z4 --- Z5 Região1 & Região2 --> VPC VPC --> Edge ``` | **Componente** | **Descrição** | **Exemplo** | | ------------------------------- | -------------------------------------------------------------- | ------------------------------------------------------------------- | | **Região** | Conjunto de zonas geograficamente próximas | `us-central1` (Iowa), `southamerica-east1` (São Paulo) | | **Zona** | Data center isolado dentro de uma região | `us-central1-a`, `us-central1-b`, `us-central1-c` | | **Virtual Private Cloud (VPC)** | Rede virtual global que abrange todas as regiões | Permite comunicação segura entre recursos em diferentes continentes | | **Edge Locations** | Pontos de presença para CDN (Cloud CDN) e balanceamento global | 140+ pontos globalmente | *** ## 🏗️ Arquitetura GCP: Fundamentos de Segurança ### 2.1 Os Pilares da Segurança Google Cloud A segurança no GCP é construída sobre uma base de mais de 20 anos de experiência da Google em proteger seus próprios serviços . | **Pilar** | **Descrição** | **Implementação** | | --------------------------------- | ------------------------------------------------------------------------------------------- | ------------------------------------------------------- | | **Infraestrutura Segura** | Data centers customizados, hardware projetado pela Google, cadeia de suprimentos verificada | Titan chips, Secure Boot, isolamento físico e lógico | | **Criptografia Onipresente** | Dados criptografados em repouso, em trânsito e em uso | AES-256 por padrão, TLS 1.3, Confidential Computing | | **Identidade como Perímetro** | Zero Trust com BeyondCorp Enterprise | Context-Aware Access, IAM granular, MFA obrigatória | | **Operações de Segurança Global** | Monitoramento 24/7, inteligência de ameaças | Chronicle, Security Command Center, equipes de resposta | | **Conformidade e Transparência** | Certificações globais e regionais | GDPR, HIPAA, SOC, FedRAMP, ISO 27001 | ### 2.2 Shared Fate: O Modelo de Parceria Google Diferentemente do modelo tradicional de "responsabilidade compartilhada", onde o provedor define os limites de responsabilidade e transfere o restante ao cliente, a Google adota o conceito de **"shared fate"** (destino compartilhado) . **Princípios do Shared Fate:** * **Ferramentas proativas**: Checklists de segurança, Terraform modules validados, blueprints prontos * **Automação como padrão**: Configurações seguras por padrão (secure by default) * **Educação contínua**: Documentação, tutoriais, cursos de capacitação * **Parceria ativa**: Apoio na implementação de controles de segurança ### 2.3 Google Cloud Recommended Security Checklist Em março de 2026, a Google lançou um **checklist de segurança recomendado** inspirado nos princípios do Minimum Viable Secure Product (MVSP) . **Estrutura do Checklist (60 controles em 6 domínios):** | **Domínio** | **Exemplos de Controles** | | --------------------------------------- | ----------------------------------------------------------------------------------- | | **1. Autenticação e Autorização** | MFA obrigatória, IAM com privilégio mínimo, service accounts com escopo restrito | | **2. Organização e Gestão de Recursos** | Hierarquia de pastas, políticas organizacionais, restrição de localização de dados | | **3. Gestão de Infraestrutura** | Imagens de VM hardened, configurações seguras de GKE, VPC Service Controls | | **4. Proteção de Dados** | Criptografia com CMEK, backups regulares, DLP para dados sensíveis | | **5. Segurança de Rede** | Cloud Armor, VPC Firewall Rules, Private Google Access | | **6. Monitoramento, Logging e Alertas** | Cloud Audit Logs ativados, log sinks para retenção prolongada, alertas configurados | **Níveis de Maturidade:** * **Básico**: Controles essenciais para qualquer ambiente (ex: MFA, Cloud Audit Logs ativados) * **Intermediário**: Controles para organizações em crescimento (ex: VPC Service Controls, CMEK) * **Avançado**: Controles para alta segurança e conformidade (ex: Confidential Computing, BeyondCorp) *** ## 🔐 Gerenciamento de Identidade e Acesso (IAM) ### 3.1 IAM no GCP: Usuários, Grupos e Papéis O **Identity and Access Management (IAM)** do GCP permite controle granular sobre quem pode acessar quais recursos e quais ações podem realizar . **Componentes do IAM:** * **Membro (Principal)**: Usuário, grupo, service account, domínio, ou identidade externa * **Papel (Role)**: Conjunto de permissões concedidas a um membro * **Recurso**: Qualquer recurso GCP (VM, bucket, projeto, etc.) **Tipos de Papéis:** | **Tipo** | **Descrição** | **Exemplo** | | ------------------------- | -------------------------------------------------- | -------------------------------------------------------------- | | **Papéis Básicos** | Owner, Editor, Viewer (amplos, não recomendados) | `roles/owner` | | **Papéis Predefinidos** | Permissões granulares por serviço | `roles/compute.instanceAdmin.v1`, `roles/storage.objectViewer` | | **Papéis Personalizados** | Criados pelo cliente para necessidades específicas | `roles/custom.auditor` | ### 3.2 Context-Aware Access: Controle Baseado em Contexto O **Context-Aware Access** (CAA) permite definir políticas de acesso baseadas em : * **Localização geográfica**: IP, região * **Dispositivo**: Nível de conformidade do dispositivo, criptografia * **Identidade**: Grupo, função, nível de risco * **Atributos de rede**: Endereço IP confiável, VPN **Exemplo de política CAA:** ``` Acesso ao projeto "produção" apenas: - Usuários no grupo "admins-producao" - Dispositivos gerenciados pela empresa - Endereço IP proveniente da rede corporativa ``` ### 3.3 Melhores Práticas de IAM e Least Privilege | **Prática** | **Descrição** | **Justificativa** | | ---------------------------------------- | -------------------------------------------------------------------- | --------------------------------------------------- | | **Conceda privilégios mínimos** | Use papéis predefinidos ou personalizados com permissões específicas | Reduz impacto de credenciais comprometidas | | **Use service accounts** | Para aplicações, não para humanos | Credenciais podem ser rotacionadas, escopo limitado | | **Evite papéis básicos** | Owner, Editor, Viewer concedem permissões excessivas | Alto risco de movimento lateral | | **Ative MFA** | Autenticação multifator para todos os usuários | 99,9% dos ataques de comprometimento são bloqueados | | **Revise permissões regularmente** | Remova acessos não utilizados | Acúmulo de permissões aumenta superfície de ataque | | **Use grupos, não usuários individuais** | Gerencie permissões por grupos | Facilita administração e auditoria | ### 3.4 Cloud Identity e Autenticação O **Cloud Identity** é o serviço de gerenciamento de identidades que controla usuários, grupos e o acesso aos recursos GCP . **Funcionalidades:** * **Gerenciamento de usuários**: Criação, desativação, exclusão * **Sincronização com Active Directory**: Google Cloud Directory Sync (GCDS) * **Federated Identity**: SSO com provedores externos (SAML, OIDC) * **Mobile Device Management (MDM)**: Gerenciamento de dispositivos móveis *** ## 🛡️ Serviços de Proteção e Defesa em Profundidade ### 4.1 Proteção de Rede: Cloud Armor e VPC | **Serviço** | **Descrição** | **Caso de Uso** | | ------------------------- | --------------------------------------------------------------------------------------- | --------------------------------------------------------- | | **Cloud Armor** | WAF e proteção DDoS baseada na mesma infraestrutura que protege Google Search e YouTube | Bloquear SQL injection, XSS; mitigar ataques volumétricos | | **VPC Firewall Rules** | Firewall stateful L3-L4 com políticas hierárquicas | Restringir tráfego entre VMs, sub-redes e regiões | | **Cloud NAT** | Saída de internet para VMs sem IP público | Permitir atualizações seguras sem exposição direta | | **Private Google Access** | Acesso privado a APIs Google sem tráfego público | Conectar VMs a serviços GCP via rede interna | ### 4.2 Proteção de Dados: Criptografia e KMS O GCP criptografa todos os dados **em repouso** e **em trânsito** por padrão . | **Serviço** | **Descrição** | **Nível de Controle** | | ------------------------------------------- | --------------------------------------- | -------------------------------------- | | **Default Encryption** | AES-256 gerenciado pela Google | Automático, sem custo adicional | | **Cloud KMS** | Gerenciamento de chaves de criptografia | Chaves gerenciadas pelo cliente | | **Customer-Managed Encryption Keys (CMEK)** | Chaves controladas pelo cliente no KMS | Rotação, revogação, auditoria | | **Bring Your Own Key (BYOK)** | Importação de chaves externas para KMS | Controle total sobre material de chave | | **External Key Manager (EKM)** | Uso de HSM externo (não Google) | Conformidade regulatória específica | ### 4.3 Confidential Computing: Dados em Uso O **Confidential Computing** protege dados enquanto estão sendo processados, preenchendo a lacuna de segurança para dados em uso . **Tecnologias de Confidencialidade:** * **AMD SEV/SEV-SNP**: Memória criptografada em VMs (N2D, C2D) * **Intel TDX**: Trust Domain Extensions para isolamento de workloads * **GPU Confidential Computing**: Proteção para cargas de IA/ML **Aplicações:** * Processamento de dados sensíveis em saúde (HIPAA) * Análise de dados financeiros (PCI-DSS) * Workloads de IA com dados proprietários ### 4.4 VPC Service Controls: Perímetros de Segurança **VPC Service Controls** (VPC-SC) criam perímetros de segurança que protegem dados em serviços gerenciados . **Como funciona:** * Define um perímetro lógico em torno de serviços (Cloud Storage, BigQuery, Bigtable) * Controla comunicação entre serviços dentro e fora do perímetro * Prevê exfiltração de dados e acesso não autorizado **Exemplo de uso:** ``` Perímetro "Seguro-Producao": - Serviços: Cloud Storage, BigQuery, Cloud SQL - Recursos: Projetos: prod-data, prod-analytics - Regras: Apenas comunicação interna dentro do perímetro - Exceções: Nenhuma (default deny) ``` *** ## 🕵️ Serviços de Detecção e Monitoramento de Segurança ### 5.1 Cloud Logging – O Registro Centralizado O **Cloud Logging** centraliza logs de todos os serviços GCP, VMs e aplicações . **Componentes:** * **Log Buckets**: Armazenamento de logs (3 tipos: \_Required, \_Default, custom) * **Log Sinks**: Regras para rotear logs para buckets, BigQuery, Cloud Storage * **Log Explorer**: Interface para consulta e análise de logs * **Log-based Metrics**: Métricas derivadas de logs para monitoramento e alertas ### 5.2 Cloud Audit Logs: Admin, Data Access e System Events O **Cloud Audit Logs** é a fonte mais crítica para investigações forenses . | **Tipo de Log** | **Descrição** | **Ativação Padrão** | **Valor Forense** | | ------------------ | ----------------------------------------------------------------- | ------------------------- | ----------------------------------------------- | | **Admin Activity** | Alterações de configuração (criação, exclusão, modificação) | **Sempre ativado** | Quem criou/modificou recursos, quando e de onde | | **Data Access** | Leitura/escrita de dados em serviços (ex: ler objetos do Storage) | **Desativado por padrão** | Acesso a dados sensíveis, operações de leitura | | **System Events** | Eventos do sistema Google (manutenção, migrações) | **Sempre ativado** | Ações realizadas pela Google nos recursos | | **Policy Denied** | Violações de políticas de segurança | **Ativado por padrão** | Tentativas de acesso negadas | **Comando para ativar Data Access Logs (gcloud):** ```bash # Ativar logs de acesso a dados para um projeto gcloud logging sinks create data-access-sink \ storage.googleapis.com/bucket-data-access \ --log-filter="logName:cloudaudit.googleapis.com/data_access" ``` ### 5.3 Security Command Center (SCC) – Centro de Comando O **Security Command Center (SCC)** é o centro de operações de segurança do GCP, que integra descobertas de múltiplas fontes . **Funcionalidades:** * **Descoberta de Ativos**: Inventário completo de recursos * **Vulnerabilidades**: Escaneamento de VMs, containers, e serviços * **Descobertas de Ameaças**: Detecção de comportamentos anômalos * **Compliance**: Avaliação contínua contra benchmarks (CIS, NIST, PCI-DSS) * **AI Protection**: Detecção de ameaças relacionadas a IA e agentes de IA **Tiers do SCC:** | **Tier** | **Recursos** | | ------------ | ---------------------------------------------------------------------------------------------------------- | | **Standard** | Asset inventory, IAM recommendations, vulnerability scanning (gratuito) | | **Premium** | Threat detection (Container Threat Detection, Event Threat Detection), Web Security Scanner, AI Protection | ### 5.4 Chronicle – Inteligência de Ameaças O **Chronicle** é a plataforma de inteligência de ameaças da Google, integrada ao GCP . **Capacidades:** * **Threat Intelligence**: Acesso ao conhecimento global da Google sobre ameaças * **Predictive Analytics**: Identificação de vulnerabilidades antes da exploração * **Correlação em Escala**: Análise de logs em petabytes com latência de segundos * **Detecção de Emerging Threats**: Identificação de novas campanhas de ataque ### 5.5 VPC Flow Logs e Monitoramento de Rede Os **VPC Flow Logs** capturam metadados de tráfego de rede para análise forense . | **Campo** | **Descrição** | **Exemplo** | | ------------ | ----------------- | ------------- | | `src_ip` | IP de origem | 10.128.0.2 | | `dest_ip` | IP de destino | 34.120.0.1 | | `src_port` | Porta de origem | 49152 | | `dest_port` | Porta de destino | 443 | | `protocol` | Protocolo | tcp (6) | | `connection` | Estado da conexão | `established` | **Configuração recomendada :** ```bash # Ativar VPC Flow Logs para uma sub-rede gcloud compute networks subnets update subnet-name \ --region=us-central1 \ --enable-flow-logs \ --aggregation-interval=INTERVAL_5_SEC \ --sample-rate=1.0 ``` *** ## 📀 Artefatos Forenses no GCP ### 6.1 Cloud Logging como Fonte Primária de Evidências No GCP, **Cloud Logging é a principal fonte de evidências forenses** . Diferentemente de ambientes on-premises onde é necessário imagear discos, no GCP grande parte da investigação pode ser feita analisando logs centralizados. **Vantagens:** * **Escalabilidade**: Logs de toda a organização em um único local * **Tempo real**: Disponíveis imediatamente após a ação * **Riqueza**: Incluem contexto (identidade, IP, timestamp, recurso) * **Persistência**: Retenção configurável, opção de bucket imutável ### 6.2 Cloud Audit Logs: Quem, Quando, Onde Os **Cloud Audit Logs** são o artefato forense mais valioso . **Campos críticos para investigação:** * `protoPayload.authenticationInfo.principalEmail`: Quem realizou a ação * `protoPayload.requestMetadata.callerIp`: Endereço IP de origem * `timestamp`: Momento exato da ação * `protoPayload.methodName`: Ação executada (ex: `google.compute.instances.delete`) * `resource`: Recurso afetado * `protoPayload.response`: Resposta da operação (sucesso/falha) **Exemplo de consulta (Log Explorer):** ``` logName:"cloudaudit.googleapis.com/data_access" protoPayload.methodName:"storage.objects.get" resource.labels.bucket_name:"bucket-sensivel" timestamp >= "2025-03-27T00:00:00Z" ``` ### 6.3 VPC Flow Logs: Tráfego de Rede Os **VPC Flow Logs** são essenciais para investigar atividade de rede . **Informações fornecidas:** * **Origem e destino**: IPs, portas, zona * **Protocolo**: TCP, UDP, ICMP * **Ação**: Permitido ou negado pelas regras de firewall * **Latência e pacotes**: Tempo de resposta, volume de dados **Casos de uso forense:** * Identificar comunicação com C2 (command & control) * Detectar varreduras de rede não autorizadas * Confirmar exfiltração de dados * Rastrear movimento lateral entre VMs ### 6.4 Bucket de Logs: \_Required, \_Default e Sinks Personalizados O GCP oferece três tipos de buckets de logs : | **Bucket** | **Retenção** | **Conteúdo** | **Configurável** | | ---------------- | ------------ | ----------------------------- | ----------------------- | | **\_Required** | 400 dias | Admin Activity, System Events | Não (retenção fixa) | | **\_Default** | 30 dias | Data Access logs, outros logs | Retenção ajustável | | **User-Defined** | Configurável | Logs roteados via sinks | Totalmente configurável | **Melhores práticas de retenção :** * **Retenção curta (30 dias)** para logs operacionais * **Retenção longa (1-7 anos)** para logs de auditoria de conformidade * **Bucket Lock** para logs forenses (imutáveis) * **Sink para BigQuery** para consultas complexas * **Sink para Cloud Storage** para arquivamento de longo prazo ### 6.5 Snapshots de Disco (Persistent Disk) Para análise forense aprofundada, é possível capturar **snapshots de discos persistentes** . **Comando para criar snapshot:** ```bash gcloud compute disks snapshot disk-name \ --snapshot-names forensic-snapshot-20250327 \ --region=us-central1 ``` **Análise forense:** 1. Criar snapshot da VM suspeita 2. Criar uma nova VM forense (com acesso restrito) 3. Anexar o snapshot como disco de dados 4. Montar em modo somente leitura 5. Analisar com ferramentas forenses tradicionais (Autopsy, The Sleuth Kit) ### 6.6 Forensic Acquisition: Cloud Forensics Utils e GRR A Google utiliza ferramentas especializadas para aquisição forense em escala : | **Ferramenta** | **Descrição** | **Função** | | ------------------------- | ------------------------------------------------------- | --------------------------------------------------------- | | **Cloud Forensics Utils** | Conjunto de utilitários para aquisição forense em nuvem | Capturar imagens de disco e outros artefatos | | **GRR Rapid Response** | Framework de resposta a incidentes em escala | Coleta automatizada de evidências de máquinas em execução | **Fluxo de aquisição com GRR:** 1. GRR client instalado nas VMs 2. Servidor central gerencia coleta sob demanda 3. Coleta seletiva de artefatos (memória, processos, arquivos) 4. Upload para análise centralizada *** ## 🔬 Investigação Forense e Resposta a Incidentes ### 7.1 Preparação: Plano de Resposta e Conhecimento do Ambiente A preparação é o fator mais crítico para o sucesso de uma investigação forense em nuvem . **Elementos essenciais:** * **Plano de Resposta a Incidentes**: Papéis definidos, protocolos de comunicação, escalonamento * **Conhecimento do Ambiente**: Mapa de recursos, serviços utilizados, fluxos de dados * **Ferramentas Prontas**: Scripts, playbooks, buckets de evidências pré-configurados * **Acesso Privilegiado**: Contas de emergência com privilégios para investigação * **Treinamento Regular**: Simulações e tabletop exercises **A importância dos postmortems:** A Google realiza **postmortems sem culpa (blameless postmortems)** após cada incidente para documentar o que funcionou, o que falhou e onde houve sorte . As lições aprendidas são incorporadas aos processos de melhoria contínua. ### 7.2 Coleta de Evidências: Live Forensics no GCP No GCP, a coleta de evidências pode ser feita **em tempo real, sem desligar os sistemas** . **Abordagem Live Forensics:** 1. **Análise de Logs**: Primeira linha de investigação via Cloud Logging 2. **Coleta Seletiva**: GRR coleta artefatos específicos sem interromper serviços 3. **Snapshots de Disco**: Para análise aprofundada 4. **Dump de Memória**: Para investigação de processos em execução **Quando usar cada abordagem:** | **Cenário** | **Abordagem Recomendada** | | ------------------------------------ | ----------------------------------- | | Investigação rápida de ação suspeita | Cloud Audit Logs | | Possível comprometimento de VM | Snapshot de disco + análise offline | | Malware em execução | GRR para coleta de memória | | Exfiltração de dados | VPC Flow Logs + Data Access Logs | ### 7.3 Análise Forense com Cloud Logging e BigQuery A análise forense no GCP frequentemente utiliza **BigQuery** para consultas complexas em logs . **Exemplo de consulta (BigQuery SQL):** ```sql -- Identificar todas as ações de um IP suspeito SELECT timestamp, protoPayload.methodName, protoPayload.authenticationInfo.principalEmail, resource.type, resource.labels FROM `project.audit_logs.cloudaudit_googleapis_com_data_access` WHERE protoPayload.requestMetadata.callerIp = '203.0.113.45' AND timestamp >= TIMESTAMP('2025-03-27') ORDER BY timestamp DESC ``` **Análise de timeline:** Ferramentas de timelining extraem todos os artefatos baseados em tempo e os organizam em uma sequência cronológica . Isso permite: * Visualizar a sequência exata de eventos * Identificar relação causal entre ações * Correlacionar eventos de diferentes serviços ### 7.4 Cadeia de Custódia: Imutabilidade e Controle de Acesso A cadeia de custódia em nuvem exige atenção especial . **Práticas recomendadas:** | **Prática** | **Implementação** | | ------------------------- | --------------------------------------------------- | | **Imutabilidade** | Bucket Lock no Cloud Storage para evidências | | **Controle de Acesso** | IAM restrito ao time de resposta a incidentes | | **Auditoria de Acesso** | Cloud Audit Logs para o bucket de evidências | | **Hashes criptográficos** | Calcular e armazenar hashes de snapshots e arquivos | | **Registro de Ações** | Documentar cada acesso e ação sobre evidências | ### 7.5 Workflow Automatizado: Eliminando Toil com Orquestração A Google automatiza ao máximo o processo forense para eliminar "toil" (trabalho repetitivo e manual) . ```mermaid graph LR A[Detecção - SCC] --> B[Orquestração - Workflow Engine] B --> C[Coleta - GRR/Cloud Forensics Utils] C --> D[Processamento - Distributed Processing Engine] D --> E[Timelining] E --> F[Análise Colaborativa] ``` **Benefícios da automação:** * **Velocidade**: De horas para minutos * **Consistência**: Todos os incidentes seguem mesmo processo * **Precisão**: Reduz erro humano * **Foco**: Analistas concentram-se na investigação, não na coleta ### 7.6 Exemplo Prático: Investigação de VM Comprometida **Cenário**: Alerta do Security Command Center indica possível comprometimento de VM. **Fase 1: Coleta de Evidências** ```bash # 1. Identificar a VM suspeita via Cloud Logging gcloud logging read "resource.type=gce_instance AND protoPayload.methodName=google.compute.instances.insert" --limit=10 # 2. Criar snapshot do disco da VM gcloud compute disks snapshot vm-suspeita \ --snapshot-names forensic-$(date +%Y%m%d) \ --zone=us-central1-a # 3. Coletar logs de rede gcloud logging read "logName:compute.googleapis.com/vpc_flows AND jsonPayload.src_ip=10.128.0.2" --limit=1000 ``` **Fase 2: Análise de Logs** ```sql -- BigQuery: Análise de atividade do usuário SELECT timestamp, protoPayload.authenticationInfo.principalEmail, protoPayload.methodName FROM `project.audit_logs.cloudaudit_googleapis_com_activity` WHERE resource.labels.instance_id = '1234567890' AND timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 7 DAY) ORDER BY timestamp ``` **Fase 3: Análise de Disco** 1. Criar VM forense com acesso restrito 2. Anexar snapshot como disco de dados 3. Montar em modo somente leitura 4. Analisar com ferramentas forenses **Fase 4: Relatório e Resposta** * Consolidar evidências em timeline * Documentar cadeia de custódia * Isolar VM comprometida * Aplicar patches ou reverter para estado conhecido *** ## ✅ Melhores Práticas de Segurança Operacional ### 8.1 Organização de Recursos e Hierarquia | **Prática** | **Descrição** | **Implementação** | | ---------------------------------- | ----------------------------------------------- | ----------------------------------------------------------------- | | **Hierarquia de Recursos** | Organização > Pastas > Projetos | Separação por ambiente (prod, dev, test) e por unidade de negócio | | **Políticas Organizacionais** | Restrições em nível de organização | Restringir regiões, tipos de recursos, configurações inseguras | | **Separação de Responsabilidades** | Projetos separados para logs, redes e workloads | Isolamento para auditoria e controle de acesso | ### 8.2 Logging e Monitoramento Essenciais | **Prática** | **Descrição** | **Justificativa** | | -------------------------- | ----------------------------------------- | --------------------------------------- | | **Ative Data Access Logs** | Para serviços com dados sensíveis | Detecta leitura não autorizada de dados | | **Configure Log Sinks** | Roteie logs críticos para bucket imutável | Preserva evidências contra exclusão | | **Configure Alertas** | Baseados em métricas de logs | Detecta ações suspeitas em tempo real | | **Retenção Adequada** | Conforme requisitos legais | Compliance com GDPR, HIPAA, etc. | ### 8.3 Proteção de Dados e Criptografia | **Prática** | **Descrição** | **Implementação** | | ----------------------------------- | -------------------------------------------- | --------------------------------------------------- | | **Use CMEK** | Para dados críticos | Chaves gerenciadas pelo cliente, rotação programada | | **Habilite Confidential Computing** | Para workloads com dados sensíveis | Protege dados em uso | | **Backups Regulares** | Para recuperação e forense | Snapshots automáticos, replicação entre regiões | | **DLP API** | Para descobrir e classificar dados sensíveis | Previne exposição acidental | ### 8.4 Automação e Infrastructure as Code (IaC) | **Prática** | **Descrição** | **Ferramentas** | | ------------------------- | -------------------------------------- | ------------------------------------------- | | **Security as Code** | Configurações de segurança versionadas | Terraform, Deployment Manager | | **Policy as Code** | Políticas automatizadas e testadas | Terraform Sentinel, Open Policy Agent (OPA) | | **Pipeline de Segurança** | Validação antes do deploy | Cloud Build, Security Command Center | **Checklist de Automação :** * Use o repositório GitHub de código Terraform para configurações seguras * Implemente políticas organizacionais como código * Automatize criação de log sinks e buckets de logs * Configure alertas baseados em logs como código *** ## 📚 Referências e Ferramentas ### Documentação Oficial Google Cloud | **Tópico** | **Documentação** | | --------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **GCP Security Overview** | [cloud.google.com/security](https://cloud.google.com/security) | | **Cloud Audit Logs** | [cloud.google.com/audit-logs](https://cloud.google.com/audit-logs) | | **Security Command Center** | [cloud.google.com/security-command-center](https://cloud.google.com/security-command-center) | | **IAM Documentation** | [cloud.google.com/iam](https://cloud.google.com/iam) | | **Cloud KMS** | [cloud.google.com/kms](https://cloud.google.com/kms) | | **Security Checklist** | [Google Cloud Recommended Security Checklist](https://cloud.google.com/blog/products/identity-security/introducing-the-google-cloud-recommended-security-checklist) | ### Ferramentas Essenciais | **Ferramenta** | **Função** | **Disponibilidade** | | --------------------------- | ------------------------- | ---------------------------- | | **gcloud CLI** | Gerenciamento e consultas | Google Cloud SDK | | **Cloud Logging** | Centralização de logs | Serviço GCP | | **Cloud Audit Logs** | Registro de atividades | Serviço GCP | | **Security Command Center** | Centro de segurança | Serviço GCP | | **Chronicle** | Inteligência de ameaças | Serviço GCP | | **GRR Rapid Response** | Coleta forense em escala | Open Source | | **Cloud Forensics Utils** | Utilitários de aquisição | Google-interno / open source | ### Comunidade e Treinamento * [Google Cloud Security Community](https://cloud.google.com/community) * [CISO Insights and Security Podcasts](https://cloud.google.com/blog/topics/inside-google-cloud/security) * [Google Cloud Security YouTube Channel](https://www.youtube.com/@GoogleCloudTech) * [Cloud Security Podcast](https://cloudsecuritypodcast.com/) ### Certificações Relevantes * **Professional Cloud Security Engineer** * **Professional Cloud Architect** * **Google Cloud Cybersecurity Certificate** --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/conceitos/ambientes/google-gcp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.