Web Security Scanner verwenden

Auf dieser Seite wird beschrieben, wie Sie das Web Security Scanner-Feature für verwaltete Scans verwenden und die Ergebnisse in der Google Cloud Console ansehen. Beispiele für Web Security Scanner-Ergebnisse werden ebenfalls angezeigt.

Web Security Scanner ist ein integrierter Dienst für Security Command Center, der häufige Sicherheitslücken in Ihren App Engine-, Google Kubernetes Engine- (GKE) und Compute Engine-Webanwendungen identifiziert. Ergebnisse aus dem Web Security Scanner können nur im Security Command Center unter Dienste aktiviert werden.

Weitere Informationen zur Funktionsweise von Web Security Scanner .

Ergebnisse prüfen

Das Web Security Scanner-Feature für verwaltete Scans konfiguriert und plant automatisch Scans für jedes Ihrer bereichsspezifischen Projekte. Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Web Security Scanner gestartet wird. Nach dem ersten Scan wird er dann jede Woche ausgeführt. Die Ergebnisse werden in Security Command Center angezeigt.

Verwaltete Scans sind von benutzerdefinierten Web Security Scanner-Scans getrennt. Benutzerdefinierte Scans sind umfassender als verwaltete Standardscans und bieten detaillierte Ergebnisse in Bezug auf Sicherheitslücken bei Anwendungen. Informationen zu benutzerdefinierten Scans finden Sie im Web Security Scanner-Leitfaden zu benutzerdefinierten Scans.

Ergebnisse in der Console prüfen

Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene zugewiesen werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Führen Sie die folgenden Schritte aus, um die Ergebnisse von Web Security Scanner in Security Command Center zu prüfen:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Web Security Scanner aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Wenn Sie die Details eines bestimmten Ergebnisses aufrufen möchten, klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Prüfen Sie auf dem Tab Zusammenfassung die Details des Ergebnisses, einschließlich Informationen zu dem, was erkannt wurde, der betroffenen Ressource und – falls verfügbar – Schritten, die Sie zur Behebung des Ergebnisses ausführen können.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Alle Ergebnisse ansehen, die einer bestimmten URL zugeordnet sind

Ein Scan kann Ergebnisse aus mehreren Basis-URLs liefern. So rufen Sie alle Ergebnisse auf, die einer bestimmten URL in einem Scan zugeordnet sind:

  1. Öffnen Sie das Ergebnis und rufen Sie die JSON-Definition auf.
  2. Kopieren Sie die URL neben externalUri.
  3. Schließen Sie den Bereich mit den Ergebnisdetails.
  4. Geben Sie im Abfrageeditor die folgende Abfrage ein:

    externalUri:"AFFECTED_URI"
    

    Ersetzen Sie AFFECTED_URI durch die zuvor kopierte URL.

In Security Command Center werden alle Ergebnisse angezeigt, die der URL zugeordnet sind.

Beispielergebnisse

Beispiele für Ergebnisse, die von Web Security Scanner verwaltet werden:

Tabelle A. Von Web Security Scanner verwaltete Scan-Ergebnistypen
Sicherheitslücke Beschreibung
Gemischte Inhalte Eine Seite, die über HTTPS bereitgestellt wurde, stellt auch Ressourcen über HTTP bereit. Ein Man-in-the-Middle-Angreifer könnte die HTTP-Ressource manipulieren und so vollständigen Zugriff auf die Website erhalten, die die Ressource lädt oder die Aktionen der Nutzer im Blick behält.
Klartextpasswort Eine Anwendung gibt vertrauliche Inhalte mit einem ungültigen Inhaltstyp oder ohne einen X-Content-Type-Options: nosniff Header zurück.
Veraltete Bibliothek

Die Version einer enthaltenen Bibliothek weist eine bekannte Sicherheitslücke auf. Der Scanner prüft die Version der verwendeten Bibliothek und gleicht diese mit einer bekannten Liste von anfälligen Bibliotheken ab. Wenn die Versionserkennung fehlschlägt oder die Bibliothek manuell repariert wurde, können falsch positive Meldungen auftreten.

Web Security Scanner erkennt einige anfällige Versionen der folgenden beliebten Bibliotheken:

Diese Liste wird regelmäßig mit neuen Bibliotheken und aktualisierten Sicherheitslücken aktualisiert.

Weitere Informationen zur Verwendung von Security Command Center in der Console Google Cloud .

Ergebnisse in der Google Cloud Console filtern

Große Organisationen können über ihr System hinweg viele Sicherheitslücken prüfen, untersuchen und verfolgen müssen. Mit den Filtern, die auf den Seiten Sicherheitslücken und Ergebnisse von Security Command Center in der Google Cloud Console verfügbar sind, können Sie sich auf die Sicherheitslücken mit dem höchsten Schweregrad in Ihrem Unternehmen konzentrieren und Sicherheitslücken nach Asset-Typ, Projekt und mehr prüfen.

Weitere Informationen zum Filtern von Ergebnissen zu Sicherheitslücken finden Sie unter Ergebnisse zu Sicherheitslücken in Security Command Center filtern.

Ergebnisse ausblenden

Wenn Sie die Ergebnismenge im Security Command Center steuern möchten, können Sie einzelne Ergebnisse manuell oder programmatisch ausblenden oder Ausblendungsregeln erstellen, mit denen aktuelle Ergebnisse automatisch ausgeblendet wird und zukünftige Ergebnisse basierend auf von Ihnen definierten Filtern.

Stummgeschaltete Ergebnisse werden zwar nicht angezeigt, aber weiterhin zu Audit- und Compliance-Zwecken in Logs erfasst. Sie können ausgeblendete Ergebnisse aufrufen und ihre Ausblendung jederzeit aufheben. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.

Scankonfigurationen

Wenn Web Security Scanner Zugriffsanmeldedaten erhält, führt es alle Aktionen mit dieser Zugriffsebene aus. Es empfiehlt sich, Scans in Entwicklungs-, Test-, Staging- oder Qualitätssicherungsumgebungen durchzuführen, um das Risiko von Produktionsressourcen zu verringern und Sicherheitslücken zu erkennen, bevor sie die Produktion erreichen.

Das Scannen von Produktionsressourcen ist nützlich, da auch kleine Änderungen an Ressourcen zwischen Tests und Produktion zu Sicherheitslücken führen können. Sie können den Zugriff während der Produktionsscans jedoch einschränken. Weitere Informationen finden Sie in den Best Practices.

Verwenden Sie die Google Cloud Console, um verwaltete Scankonfigurationen zu überprüfen und Scans manuell zu starten.

So rufen Sie die Konfiguration verwalteter Scans für ein Projekt auf:

  1. Rufen Sie in der Google Cloud Console die Seite „Web Security Scanner“ auf.
    Zur Seite „Web Security Scanner“
  2. Wählen Sie ein Projekt aus. Es wird eine Seite mit einer Liste Ihrer verwalteten und benutzerdefinierten Scans angezeigt.
  3. Klicken Sie unter Scankonfigurationen auf managed_scan. Auf der angezeigten Seite werden die Ergebnisse des letzten verwalteten Scans angezeigt, einschließlich Scanstatus, gecrawlte URLs und gefundene Sicherheitslücken. Verwenden Sie die Drop-down-Liste, um die Ergebnisse vorheriger Scans anzuzeigen.

Verwaltete Scans werden von Web Security Scanner verwaltet, sodass Scankonfigurationen nicht geändert werden können. Verwaltete Scans können in Security Command Center nur bearbeitet oder gelöscht werden, wie unter Verwaltete Scans deaktivieren beschrieben.

Statische IP-Adressbereiche für verwaltete Scans

Wenn Web Security Scanner in Security Command Center aktiviert ist, werden verwaltete Scans automatisch mit statischen IP-Adressen in den folgenden Bereichen gestartet:

  • 8.34.210.32/27
  • 34.66.18.0/26
  • 34.66.114.64/26
  • 34.68.34.64/27

On-Demand-Scans

Verwaltete Scans werden automatisch nach einem festgelegten Zeitplan ausgeführt. Sie können jedoch die Seite „Web Security Scanner“ verwenden, um verwaltete On-Demand-Scans auszuführen:

  1. Rufen Sie in der Google Cloud Console die Seite „Web Security Scanner“ auf.
    Zur Seite „Web Security Scanner“
  2. Wählen Sie ein Projekt aus. Es wird eine Seite mit einer Liste Ihrer verwalteten und benutzerdefinierten Scans angezeigt.
  3. Klicken Sie unter Scankonfigurationen auf managed_scan.
  4. Klicken Sie oben auf der Seite auf Ausführen oder
  5. Klicken Sie auf dem Tab Ergebnisse auf Scan neu ausführen.

Der Scan beginnt und die Ergebnisse werden in Security Command Center aktualisiert, wenn der Vorgang abgeschlossen ist. On-Demand-verwaltete Scans sind nützlich, wenn Sie zwischen geplanten Scans Ergebnisse für neue oder aktualisierte Projekte erfassen möchten. On-Demand-Scans wirken sich nicht auf das Zeitplanen geplanter wöchentlicher Scans aus.

Weitere Informationen zum Scan finden Sie auf der Seite „Logs“ des Projekts.

Verwaltete Scans deaktivieren

Wenn Sie verwaltete Scans für eine Organisation, einen Ordner oder ein Projekt deaktivieren möchten, deaktivieren Sie den Web Security Scanner-Dienst in Security Command Center. Eine Anleitung finden Sie unter Integrierten Dienst aktivieren oder deaktivieren.

Sie können Web Security Scanner weiterhin als eigenständiges Produkt verwenden, um benutzerdefinierte Scansdurchzuführen. Beachten Sie dabei Folgendes:

Wenn Sie Web Security Scanner in Security Command Center wieder aktivieren, werden die Konfigurationen und Ergebnisse des verwalteten Scans wieder auf der Seite „Web Security Scanner“ angezeigt. Im Allgemeinen werden vorhandene Ergebnisse aktualisiert, wenn bei neuen Scans dieselben Sicherheitslücken gefunden werden. Wenn sich Ihre Anwendung oder Website seit dem letzten Scan erheblich geändert hat, können neue Ergebnisse erstellt werden.

Nächste Schritte