Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een GCP pentest

Google Cloud Platform (GCP) is een van de grootste cloudplatformen ter wereld. Achter veel diensten die u dagelijks gebruikt staat GCP: Google Workspace voor e-mail en samenwerking, Cloud Identity voor identity management, Compute Engine en GKE voor rekenkracht, Cloud Storage voor opslag, BigQuery voor data-analyse, Cloud Run voor serverless workloads, Cloud SQL voor databases en Looker voor business intelligence. Die centrale rol maakt GCP een interessant doelwit voor kwaadwillende hackers. Een overgenomen account kan toegang geven tot e-mail, bedrijfsdocumenten en gegevens, en via Single Sign-On (SSO) zelfs tot externe applicaties.

De kracht van GCP zit in het model met Organizations, Folders en Projects en in het flexibele IAM-systeem met primitive, predefined en custom roles. Die flexibiliteit brengt ook risico’s mee. Eén verkeerde instelling kan een service account te veel rechten geven. Een Cloud Storage-bucket die publiek toegankelijk staat lekt gegevens, en een zwak ingerichte GKE-cluster geeft een aanvaller toegang tot uw cloudomgeving.

Een GCP pentest (kort voor penetratietest) onderzoekt de beveiliging van uw volledige Google Cloud Platform-omgeving. Onze ethische hackers analyseren Cloud Identity, Google Workspace, de IAM-configuratie, Compute Engine, Cloud Storage, BigQuery, Cloud Run, GKE, Looker, Cloud SQL en de overige GCP-resources. Zo brengen we verkeerde instellingen en kwetsbaarheden in kaart voordat kwaadwillenden er misbruik van maken.

Waarom en wanneer is een GCP pentest belangrijk?

GCP is vaak het fundament onder data-intensieve en cloud-native applicaties. BigQuery geeft toegang tot petabytes aan bedrijfsdata, GKE-clusters draaien belangrijke applicaties en Cloud Storage-buckets bevatten gevoelige gegevens. Een incident kan daardoor verstrekkende gevolgen hebben. Een overgenomen service account met Owner-rechten geeft een aanvaller volledige controle over uw GCP-project.

Een GCP pentest is verstandig in de volgende situaties:

  • Bij een migratie naar GCP, om de beveiliging te controleren voordat uw workloads naar Google Cloud verhuizen.
  • Om te voldoen aan een norm zoals ISO 27001, SOC 2, HIPAA of de AVG.
  • Bij GKE-deployments, om de beveiliging van uw Kubernetes-clusters en containers te testen.
  • Als terugkerende controle, waarbij u jaarlijks de beveiliging van uw GCP-omgeving laat testen.
  • Na een beveiligingsincident, om te achterhalen hoe een aanvaller toegang kreeg tot uw GCP-resources.

Test uw GCP-omgeving met regelmaat, en zeker als u die uitbreidt met nieuwe projects of diensten.

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • GCP expertise - Diepgaande kennis van Cloud IAM, service-account-rechten, GKE-cluster-configuratie, Cloud Storage-permissies en cross-resource privilege-escalatiepaden
  • Direct contact - Geen accountmanagers, u spreekt rechtstreeks met de pentesters die uw test uitvoeren
  • Flexibiliteit - Een GCP pentest is vaak binnen 2 tot 3 weken in te plannen

Meer over onze aanpak en expertise leest u op onze over ons-pagina.

Klaar om uw GCP-omgeving te laten testen?

Wij toetsen IAM, service-accounts, GCS-buckets en de configuratie van uw Google Cloud-projecten op aanvalspaden. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over GCP penetratietests

Welke tools worden er gebruikt bij een GCP pentest?

Een GCP pentest draait om kennis van Cloud IAM, service accounts, organisatie-policies en privilege-escalatiepaden tussen resources, niet om geautomatiseerde scanners. Wij werken voornamelijk met de gcloud CLI en handmatige verificatie van de configuratie. Open-source IAM-enumeratie-frameworks gebruiken wij alleen als aanvulling waar dat tijd bespaart.

Wat kost een GCP pentest?

De prijs hangt af van de scope: het aantal GCP-organizations, folders, projects en de services die in scope vallen. Een cloud pentest begint rond €3.600 voor een afgebakende omgeving en loopt op naarmate de architectuur complexer is. Na een vrijblijvend intakegesprek stellen wij een voorstel op maat op.

Moet ik Google toestemming vragen voor een pentest?

Nee, Google vereist geen aparte toestemming voor pentests op uw eigen GCP-resources. Wel verwacht Google dat u zich houdt aan de GCP Acceptable Use Policy — onder andere geen denial-of-service tegen Google’s eigen infrastructuur, geen tests op resources die u niet bezit, en geen aanvallen op tenants buiten uw eigen organisatie. Wij stemmen de scope met u af voor de test begint.

Welke GCP-services dekken jullie in een pentest?

In scope zitten meestal Cloud Identity (gebruikers, groups, SSO), IAM (rollen, custom roles, service accounts), Cloud Storage (bucket-permissies, publieke blootstelling), Compute Engine (firewall rules, instance metadata, OS Login), Google Kubernetes Engine (RBAC, workload identity, pod security), Cloud SQL (autorisatie, netwerktoegang), BigQuery (dataset access, IAM bindings) en Cloud Functions / Cloud Run (deployment, runtime, secrets). Specifieke services zoals Pub/Sub, Looker of Vertex AI nemen wij mee als ze in uw architectuur voorkomen.

Verstoort een GCP pentest mijn productie-omgeving?

Nee. Een GCP pentest is overwegend read-only: wij brengen configuratie en permissies in kaart via gcloud en de Google Cloud API’s zonder actief services aan te vallen. Acties die productie zouden kunnen raken (zoals het uitvoeren van een Cloud Function met andere parameters of het tijdelijk wijzigen van een IAM-binding) doen wij alleen na expliciete afstemming met uw beheerders, en bij voorkeur in een staging- of test-project.