Pular para o conteúdo
Rondo SecurityRondo Security
Todos os serviços
Cloud Security

GCP Penetration Testing Services

Segurança ofensiva em ambientes Google Cloud Platform

O Google Cloud Platform oferece uma superfície de ataque sofisticada, especialmente em torno de Service Accounts e Workload Identity. Nossa equipe avalia o ambiente GCP com foco em privilege escalation via bindings de IAM, abuse de metadata service, ataques a clusters GKE e exfiltração de dados via Cloud Storage. Conduzimos testes em conformidade com as diretrizes de Cloud Penetration Testing do Google.

IAMGCSCompute EngineGKECloud FunctionsService Account
7–14
dias de engajamento
GCP + GKE
plataformas cobertas
MITRE Cloud
framework de cobertura
White/Grey Box
modalidades disponíveis

Áreas de avaliação

Identity & IAM

  • Service Account com permissões excessivas
  • IAM bindings mal configurados
  • Escalada via iam.serviceAccounts.actAs
  • Key exposure e credenciais em código

Storage e Dados

  • GCS buckets com acesso público
  • ACLs e IAM conditions incorretas
  • BigQuery datasets expostos
  • Cloud SQL sem restrição de rede

Compute e Containers

  • Metadata service abuse (SSRF → token theft)
  • GKE RBAC misconfiguration
  • Workload Identity Federation abuse
  • Cloud Functions com permissões elevadas

Rede e Logging

  • Firewall rules permissivas (0.0.0.0/0)
  • VPC Service Controls bypass
  • Cloud Audit Logs com gaps de cobertura
  • Cloud Armor e WAF misconfiguration

Metodologia

1
01
Reconhecimento GCP
Enumeração de projetos, APIs habilitadas, recursos expostos e superfície de ataque externa via GCP CLI e APIs.
2
02
Análise de IAM
Avaliação de bindings IAM, Service Accounts, roles customizadas e caminhos de escalada usando ferramentas como Cartography e ScoutSuite.
3
03
Enumeração de Serviços
GCS, BigQuery, Cloud SQL, Compute Engine, GKE, Cloud Functions e Secrets Manager analisados em detalhe.
4
04
Escalada de Privilégios
Tentativas de privilege escalation via IAM bindings, impersonation de Service Accounts e metadata service abuse.
5
05
Movimentação Lateral
Cross-project attacks, abuse de shared VPC e movimentação entre workloads via Workload Identity.
6
06
Relatório e Hardening
Relatório completo com Terraform fixes, Organization Policies recomendadas e guia de remediação prioritizado.

Entregáveis

Relatório executivo com cloud risk score
Relatório técnico com cadeia de ataque completa
Attack path diagrams por projeto GCP
Terraform / Deployment Manager fixes
Organization Policies recomendadas
Checklist de CIS GCP Benchmark
Reteste gratuito após correções (30 dias)

Serviços relacionados

AWS Pentest

Simulamos ataques reais em seus ambientes AWS: de IAM misconfiguration e S3 bucket exposure a escalada de privilégios em Lambda e movimentação lateral entre contas.

Azure Pentest

Avaliamos a postura de segurança do seu ambiente Azure: Azure AD, RBAC, Managed Identities, Storage Accounts, Entra ID e fluxos de autenticação Microsoft.

Pronto para começar?

Solicite uma proposta personalizada para o seu ambiente.

Solicitar proposta Falar com a equipe

Siga o caminho que
atacantes reais
percorrem.

Entre em contato para discutir o escopo do seu engajamento. Nossa equipe responde em até 24 horas úteis.

Solicitar proposta Falar com a equipe
2.000+ alunos formados 120+ clientes atendidos Resposta em 24h úteis