GCP Scannerの紹介と使い方

はじめに

2023年のBlack Hat@ラスベガスでGoogleさんのミニセッションで紹介されていたのがGCP Scannerです。
Googleのリポジトリにあるものの、非公式のGoogleプロジェクトとなります。

このツールを利用することで、プリンシパル（ユーザーやサービスアカウントなど）がどのようなアクセス権を持っているかをスキャンできます。それによって、クレデンシャル漏洩の疑いが発生した場合などに速やかに影響範囲を確認することができます。
よく似た機能にPolicy Analyzerというものもあります。特定のプロジェクトに対するスキャンであればこちらでも問題ないかもですが、Policy Analyzerの利用にはプロジェクトごとにCloud Assets APIの有効化を行う必要があります。
不特定多数の解析には、GCP Scannerの方が向いていると思います。

ミニセッションも枠内でループされるくらいのシンプルな機能のため、そこまで深掘りした内容ではないですが、関連記事がほとんど見当たらなかったのもありこの場で紹介したいと思います。

実行してみる

インストールはpipで行いました。

出力結果を吐き出すディレクトリ(result)を作成して以下のコマンドを叩きます。
GCLOUD_PROFILE_PATHは、デフォルトでは以下のようになっていると思いますが、変更されている方は合わせて書き換えてください。

$ python3 -m gcp_scanner -g ~/.config/gcloud/ -o ./result

当該プロファイルでアクセスできるプロジェクト群のスキャン結果がresultディレクトリに出力されていきます。
各ファイルの中身は以下のような感じです。

{
  "projects": {
    "myproject-#####": {
      "project_info": {
        "projectNumber": "123456789012",
        "projectId": "myproject-#####",
        "lifecycleState": "ACTIVE",
        "name": "MyProject",
        "labels": {
          "hoge": "enabled"
        },
        "createTime": "2020-06-16T00:22:53.949Z",
        "parent": {
          "type": "organization",
          "id": "098765432109"
        }
      },
      "app_services": {},
      "bigtable_instances": [],
      "bq": {},
      "cloud_functions": [],
      "compute_disks": [],
      "compute_images": [],
      "compute_instances": [],
      "compute_snapshots": [],
      "datastore_kinds": {},
      "dns_policies": [],
      "endpoints": [],
      "firestore_collections": {},
      "filestore_instances": [],
      "firewall_rules": [],
      "iam_policy": [
        {
          "role": "roles/cloudfunctions.serviceAgent",
          "members": [
...

Jsonで結果が返るため、gronと相性がよくこんな感じで欲しい情報を検索することが可能です。

$ find . -type f -exec gron {}  \; | grep projectNumber
json.projects["hoge"].project_info.projectNumber = "123456789012";
json.projects["fuga"].project_info.projectNumber = "123456789012";
json.projects["sys-##########################"].project_info.projectNumber = "123456789012";
json.projects["sys-##########################"].project_info.projectNumber = "123456789012";
json.projects["sys-##########################"].project_info.projectNumber = "123456789012";
...

まとめ

影響範囲の洗い出しにプロジェクトごとのAPI有効化することなく洗い出せるのはすごく強力なツールと思いました。
使うシーンが発生しないことが望ましいですが、何かあったときにスピード感をもって影響範囲を洗い出せることは、被害の最小化にも重要です。
オープンソースでGoogleサポートの元成長させていくツールのようですので、自分も時間がとれればコントリビュートしたいと思います！

この記事を書いた人

廣山豊

AWS および Google Cloud の運用、運用自動化のための開発、セキュリティを管轄しています。内部統制として、各種監査対応やインシデントハンドリングも行っています。そのため、運用やセキュリティ、開発など横断的な知識が強みです。
Google Cloud Partner Top Engineer - 2021 ~
Google Cloud Champion Innovator - 2022 ~
Japan APN AWS Ambassador - 2020, 2021
AWS Top Engineers - 2019 ~ 廣山豊が書いた記事

GCP Scannerの紹介と使い方

はじめに

実行してみる

まとめ

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

AWSの生成AI活用事例集GenUを使い倒す

Python で Cloud Storage の JSON ファイルを読み込む

WindowsServer上に作成したローカルユーザーのパスワード有効期限管理パターンとその適用手順をまとめてみる

Oracle のロックされているテーブルのセッションを知りたい [cloudpack OSAKA blog]

GCP Scannerの紹介と使い方

はじめに

実行してみる

まとめ

関連記事Related Articles

Deep Securityの侵入防御ルールイベントをアラート登録する設定(検知間隔の変更)

OSSとAWSで出来る、セキュア接続なプライベート環境

Deep Security as a Serviceって何よ？

Secure AWS Users Meetup #1に参加してみた

忙しい人のためのAmazon Inspector User Guide まとめ