Security Command Center i Workload Identity
GCP ma własną platformę bezpieczeństwa — Security Command Center — oraz mechanizm dostępu bez długoterminowych sekretów: Workload Identity. ZEUS korzysta z obu: czyta z SCC i uwierzytelnia się przez Workload Identity.
Security Command Center (SCC)
SCC to centralna konsola bezpieczeństwa dla całej organizacji GCP. Łączy trzy role:
- CSPM — wykrywanie misconfigów (Security Health Analytics),
- wykrywanie zagrożeń — Event Threat Detection, Container Threat Detection,
- zarządzanie podatnościami i wrażliwymi danymi.
SCC generuje findings w jednym formacie, z mapowaniem na standardy (CIS, PCI DSS, NIST). Dostępne w wariantach Standard i Premium/Enterprise.
# Lista findings organizacji
gcloud scc findings list <org-id> \
--filter="state=\"ACTIVE\" AND severity=\"HIGH\""
# Źródła findings (Security Health Analytics, ETD, itd.)
gcloud scc sources list --organization=<org-id>
| Komponent SCC | Co wykrywa |
|---|---|
| Security Health Analytics | misconfigi (publiczny bucket, otwarty firewall) |
| Event Threat Detection | podejrzane logowania, eksfiltracja |
| Container Threat Detection | zagrożenia runtime w GKE |
| Web Security Scanner | podatności aplikacji web |
Workload Identity — dostęp bez kluczy
Klucze JSON kont usług to największe ryzyko w GCP (patrz lekcja 02). Workload Identity Federation eliminuje je: zewnętrzna tożsamość (np. z AWS, Azure, GitHub Actions czy własnego IdP) wymienia swój token na krótkotrwałe credentiale GCP, bez przechowywania jakiegokolwiek sekretu.
# Pool i provider dla federacji tożsamości
gcloud iam workload-identity-pools create zeus-pool \
--location=global --display-name="ZEUS WIF pool"
gcloud iam workload-identity-pools providers create-oidc zeus-provider \
--location=global --workload-identity-pool=zeus-pool \
--issuer-uri="https://token.zeus.professnet.pl" \
--attribute-mapping="google.subject=assertion.sub"
Wskazówka: Workload Identity to złoty standard dostępu third-party do GCP. Brak klucza = brak sekretu do wycieku. Jeśli widzisz konto usługi z kluczem JSON używanym przez integrację zewnętrzną — to kandydat do migracji na WIF.
Jak to widzi ZEUS
ZEUS integruje się z Security Command Center przez API: zaciąga findings (misconfigi i zagrożenia), żeby nie dublować skanów, które Google już wykonał, i wlewa je do wspólnej kolejki SecOps obok alertów z Azure Defender i AWS GuardDuty. Do samego uwierzytelnienia ZEUS używa Workload Identity Federation — czyli łączy się z GCP bez żadnego klucza JSON, dając klientowi przykład wzorcowej, bezsekretnej integracji.
W ostatniej lekcji tej ścieżki zobaczymy pełną anatomię konektora ZEUS do GCP.