本文档可帮助您确定有助于防范 OWASP Top 10 中列出的常见应用级攻击的 Google Cloud 产品和缓解策略。OWASP Top 10 是由 Open Web Application Security (OWASP) Foundation(开放式 Web 应用安全基金会)列出的十大安全风险,每个应用所有者都应知悉。虽然没有任何安全产品可以保证完全防范这些风险,但将合适的产品和服务应用于您的架构有助于构建强大的多层安全解决方案。
Google 基础架构旨在帮助您以安全的方式构建、部署和运营服务。物理和运营安全性、静态数据和传输中的数据加密以及安全基础架构的许多其他重要方面都由 Google 进行管理。将应用部署到 Google Cloud 可以天然获得上述优势,但您可能需要采取额外措施来保护应用免受特定攻击。
本文档中列出的缓解策略按应用安全风险和 Google Cloud 产品进行排序。在针对 Web 安全风险制定深度防御方面,许多产品都能发挥自己的作用。本文档介绍其他产品如何缓解 OWASP 十大风险,但详细介绍了 Google Cloud Armor 和 Google Cloud Apigee 如何缓解上述各种风险。充当 Web 应用防火墙 (WAF) 的 Google Cloud Armor 和充当 API 网关的 Google Cloud Apigee 对于阻止不同类型的攻击尤其有用。这些产品位于互联网的流量路径中,可以阻止外部流量到达 Google Cloud 中的应用。
产品概览
下表中列出的 Google Cloud 产品可以帮助防范十大安全风险:
| 产品 | 总结 | A01 | A02 | A03 | A04 | A05 | A06 | A07 | A08 | A09 | A10 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Access Transparency | 借助管理员访问权限日志和审批控制措施,让云服务商的访问活动更加透明,并加强对他们的控制。 | ✓ | ✓ | ||||||||
| Artifact Registry | 集中存储工件和构建依赖项 | ✓ | |||||||||
| Apigee | 设计、保护和扩缩应用编程接口 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Binary Authorization | 确保在 Google Kubernetes Engine 上仅部署可信的容器映像。 | ✓ | ✓ | ||||||||
| Google Security Operations | 使用 Google 的基础架构、检测技术和信号自动、实时且大规模地发现威胁 | ✓ | |||||||||
| Cloud Asset Inventory | 查看、监控和分析您在各个项目和服务中的所有 Google Cloud 和 Google Distributed Cloud Virtual 或多云资产 | ✓ | ✓ | ✓ | ✓ | ||||||
| Cloud Build | 在 Google Cloud 中构建、测试和部署 | ✓ | |||||||||
| 敏感数据保护 | 发现、分类和保护最敏感的数据 | ✓ | ✓ | ✓ | |||||||
| Cloud Load Balancing | 控制 SSL 代理或 HTTPS 负载均衡器协商的加密方式 | ✓ | ✓ | ✓ | ✓ | ||||||
| Cloud Logging | 大规模实时日志管理和分析 | ✓ | |||||||||
| Cloud Monitoring | 从 Google Cloud 服务以及各种应用和第三方服务中收集和分析指标、事件和元数据 | ✓ | |||||||||
| Cloud Source Repositories | 在一个地方为团队存储、管理和跟踪代码 | ✓ | |||||||||
| 容器威胁检测 | 持续监控容器映像的状态、评估所有更改并监控远程访问尝试,以近乎实时的方式检测运行时攻击。 | ✓ | ✓ | ||||||||
| Event Threat Detection | 监控组织的 Cloud Logging 数据流,并以近乎实时的方式检测威胁 | ✓ | ✓ | ✓ | |||||||
| Forseti Inventory | 收集和存储架构的快照 | ✓ | |||||||||
| Forseti Scanner | 根据自定义的政策扫描库存数据,在出现意外偏差时发出提醒 | ✓ | |||||||||
| Google Cloud Armor | 部署在 Google 网络边缘的 Web 应用防火墙 (WAF),可帮助防范常见攻击途径 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Google Cloud 安全公告 | 与 Google Cloud 产品相关的最新安全公告 | ✓ | |||||||||
| Identity-Aware Proxy (IAP) | 利用身份和情境信息保护对您的应用和虚拟机的访问 | ✓ | ✓ | ✓ | |||||||
| Identity Platform | 为应用添加身份和访问权限管理功能、保护用户账号并扩大身份管理规模 | ✓ | ✓ | ||||||||
| Cloud Key Management Service | 在 Google Cloud 上管理加密密钥 | ✓ | ✓ | ||||||||
| reCAPTCHA Enterprise | 保护您的网站免受欺诈活动、垃圾内容和滥用行为的侵扰 | ✓ | |||||||||
| Secret Manager | 存储 API 密钥、密码、证书和其他敏感数据 | ✓ | ✓ | ||||||||
| Security Command Center | 集中查看安全分析和威胁情报以显示应用中的漏洞 | ✓ | |||||||||
| Security Health Analytics (SHA) | 生成在 Security Command Center 中提供的漏洞发现结果 | ✓ | ✓ | ✓ | ✓ | ||||||
| Titan 安全密钥 | 利用防范网上诱骗的 2FA 设备(由 Google 设计的固件构建)来验证密钥的完整性,帮助防范高价值用户。 | ✓ | |||||||||
| Virtual Private Cloud 防火墙 | 允许或拒绝进出虚拟机实例的连接 | ✓ | |||||||||
| VPC Service Controls | 隔离多租户 Google Cloud 服务的资源以降低数据渗漏风险 | ✓ | ✓ | ||||||||
| VirusTotal | 分析可疑文件和网址以检测恶意软件的类型;自动与安全社区分享这些恶意软件 | ✓ | ✓ | ||||||||
| Web Security Scanner | 生成 Security Command Center 中提供的漏洞发现结果类型 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
A01:访问权限控制中断
访问权限控制中断是指仅在客户端部分执行或弱实施的访问权限控制。缓解这些控制措施通常需要在应用端进行重写,以便正确强制执行只能由已获授权的用户访问的资源。
Apigee
使用场景:
- 强制执行访问权限控制
- 限制数据操纵
Apigee 支持采用分层方法来实施访问权限控制,以防止作恶方进行未经授权的更改或访问系统。
配置基于角色的访问控制 (RBAC),仅允许用户访问所需的功能和配置。创建加密的键值对映射,以存储在 Edge 界面和 Management API 调用中遮盖的敏感键值对。通过您公司的身份提供方配置单点登录。
配置开发者门户,根据用户角色显示特定的 API 产品。配置门户,根据用户角色显示或隐藏内容。
Cloud Asset Inventory
使用场景:
- 监控未经授权的 IT(也称为“影子 IT”)
- 过期的计算实例
孤立或未经授权的 IT 基础架构是最常见的数据泄露途径之一。设置实时通知以提醒您意外运行了可能受到不当保护或使用了过期软件的资源。
Cloud Load Balancing
使用场景:
- 精细的 SSL 和 TLS 加密方式控制
通过分配可供 Cloud Load Balancing 使用的一组预定义加密方式或一系列自定义加密方式,以防止使用安全系数低的 SSL 或 TLS 加密方式。
Forseti Scanner
使用场景:
- 监控访问权限控制配置
系统地监控您的 Google Cloud 资源,以确保按照预期设置访问权限控制。创建基于规则的政策以编写您的安全规范。如果配置意外更改,则 Forseti Scanner 会通知您,以便您可以自动还原到已知状态。
Google Cloud Armor
使用场景:
- 过滤跨域请求
- 过滤本地或远程文件包含攻击
- 过滤 HTTP 参数污染攻击
多数访问权限控制中断情况都无法通过使用 Web 应用防火墙来缓解,因为应用不需要或没有正确检查每个请求的访问令牌,并且在客户端就可以操纵数据。多个与访问权限控制中断相关的 Juice Shop 挑战。例如,以其他用户的名字发布反馈会使用某些请求未通过服务器端身份验证这一事实。正如挑战解决方案中所示,完全是在客户端利用此漏洞,因此无法使用 Google Cloud Armor 来缓解攻击。
如果无法立即修补应用,则可在服务器端在一定程度上缓解某些挑战。
例如,如果因您的 Web 服务器无法正确实现跨域资源共享 (CORS) 而导致可能发生跨站请求伪造 (CSRF) 攻击(如 CSRF Juice Shop 挑战中所示),则您可以使用自定义规则完全阻止来自非预期域的请求,从而缓解此问题。以下规则匹配来源不是 example.com 和 google.com 的所有请求:
has(request.headers['origin']) &&
!((request.headers['origin'] == 'https://example.com')||
(request.headers['origin'] == 'https://google.com') )
如果与此类规则匹配的流量被拒绝,则针对 CSRF 挑战的解决方案会停止工作。
购物篮操作挑战使用 HTTP 参数污染 (HPP),以便您通过遵循挑战解决方案来查看商店是如何受到攻击的。系统会通过协议攻击规则集检测 HPP。为帮助防范此类攻击,请使用以下规则:evaluatePreconfiguredExpr('protocolattack-stable')。
Identity-Aware Proxy 和情境感知访问权限
使用场景:
- 集中控制访问权限
- 可配合云应用和本地应用使用
- 保护 HTTP 和 TCP 连接
- 情境感知访问权限
借助 IAP,您可以使用身份和情境围绕应用构建安全身份验证和授权边界。通过基于 Cloud Identity 和 IAM 构建的集中代管式身份验证和授权系统,防止中断对面向公共的应用进行的授权或访问权限控制。
您可以根据用户的身份和请求的情境对 Web 应用、虚拟机、Google Cloud API 和 Google Workspace 应用执行精细的访问权限控制,而无需传统 VPN。针对云应用和本地应用及基础架构资源使用同一平台。
Security Health Analytics
使用场景:
- MFA 或 2FA 强制执行
- 保护 API 密钥
- SSL 政策监控
通过监控多重身份验证合规性、SSL 政策以及 API 密钥的运行状况来防止访问权限控制中断。
Web Security Scanner
使用场景:
- 向公众公开的代码库
- 不安全的请求标头验证
Web Security Scanner 会扫描您的 Web 应用中的漏洞,例如公开可见的代码库和配置错误的请求标头验证。
A02:加密失败
由于缺少加密或传输加密安全系数低,或者意外泄露了敏感数据,可能会发生加密失败情况。针对这些漏洞的攻击通常特定于应用,因此需要采用深度防御方法来缓解。
Apigee
使用场景:
- 保护敏感数据
使用单向和双向 TLS 保护协议级敏感信息。
使用分配消息政策和 JavaScript 政策等政策来移除敏感数据以免返回给客户端。
使用标准的 OAuth 技术,并考虑添加 HMAC、哈希、状态、Nonce、PKCE 或其他技术,以提高每个请求的身份验证级别。
在 Edge Trace 工具中遮盖敏感数据。
对键值对映射中的静态敏感数据进行加密。
Cloud Asset Inventory
使用场景:
- 搜索服务
- 访问权限分析器
孤立或未经授权的 IT 基础架构是最常见的数据泄露途径之一。您可以通过分析云资产时序数据来识别无人维护的服务器以及使用过于宽泛的共享规则的存储桶。
设置实时通知以提醒您意外预配了可能受到不当保护或未经授权的资源。
Cloud Data Loss Prevention API(属于敏感数据保护)
使用场景:
- 敏感数据发现和分类
- 自动遮盖数据
借助 Cloud Data Loss Prevention API (DLP API),您可以扫描存储在存储桶或数据库中的任何潜在敏感数据,以防止意外泄露信息。如果发现禁止使用的数据,这些数据会自动标记或隐去。
Cloud Key Management Service
使用场景:
- 保护加密密钥管理
(Cloud KMS) 有助于防止潜在的加密密钥泄露。使用这项在云端托管的密钥管理服务,按照与本地部署时相同的方式,为云服务管理对称和非对称加密密钥。您可以生成、使用、轮替和销毁 AES256、RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 加密密钥。
Cloud Load Balancing
使用场景:
- 精细的 SSL 和 TLS 加密方式控制
SSL 政策可让您控制负载均衡器中允许的 SSL 和 TLS 功能及加密方式,从而帮助防止敏感数据泄露。根据需要阻止未获批准或不安全的加密方式。
Google Cloud Armor
使用场景:
- 过滤已知的攻击网址
- 限制对敏感端点进行访问
通常,应在源头遏制敏感数据泄露,但由于每一次攻击都是应用特有的,因此只能通过有限的方式使用 Web 应用防火墙来广泛遏制数据泄露。但是,如果无法立即修补您的应用,您可以使用 Google Cloud Armor 自定义规则来限制对易受攻击的端点或请求模式进行访问。
例如,由于存在不安全的目录遍历和 null 字节注入攻击,因此多个 Juice Shop 敏感数据暴露挑战可能会被利用。您可以通过使用以下自定义表达式来检查网址中的字符串,从而降低这些注入:
request.path.contains("%00") || request.path.contains("%2500")
您可以通过访问 Prometheus 使用的 /metrics 子目录来克服公开的指标挑战。如果您有一个敏感端点已公开,并且无法立即移除访问权限,则可以限制对它的访问权限(特定 IP 地址范围除外)。使用类似于以下自定义表达式的规则:
request.path.contains("/metrics") && !(inIpRange(origin.ip, '1.2.3.4/32')
将 1.2.3.4/32 替换为应该有权访问指标界面的 IP 地址范围。
意外泄露的日志文件用于解决某个 Juice Shop 挑战。为避免泄露日志,请设置一条规则来彻底禁止访问日志文件:request.path.endsWith(".log")。
Identity-Aware Proxy 和情境感知访问权限
使用场景:
- 安全地远程访问敏感服务
- 集中控制访问权限
- 情境感知访问权限
使用身份和情境围绕应用创建安全的身份验证和授权边界。部署工具(例如内部错误报告、企业知识库或使用 IAP 保护的电子邮件),以便仅向来自任何互联网位置的已获授权的人员授予情境感知访问权限。
借助上下文感知访问权限,您可以根据用户的身份和请求上下文对 Web 应用、虚拟机 (VM)、Google Cloud API 和 Google Workspace 应用实施精细的访问控制,而无需传统 VPN。基于零信任安全模型和 Google 的 BeyondCorp 实施,上下文感知访问允许您为用户提供访问权限、实施精细控制,并为您的云和本地应用和基础设施资源使用单一平台。
Secret Manager
使用场景:
- 加密密钥
- API 密钥
- 其他系统凭据
Secret Manager 是用于最有价值的数据(例如 API 密钥、服务账号密码和加密资源)的安全存储服务。通过集中存储这些 Secret,您可以依赖 Google Cloud 的身份验证和授权系统(包括 IAM)来确定任何给定的访问请求是否有效。
Secret Manager 不适用于大规模操作,例如信用卡令牌化或个人用户密码存储操作。此类应用应该依赖适用于 CIAM 的 Identity Platform、适用于组织成员的 Cloud Identity 或专用令牌化软件。
Security Health Analytics
使用场景:
- 强制执行 MFA/2FA
- 保护 API 密钥
- 强制执行 API 密钥轮替
- 计算映像隐私
- 强制执行 SSH 密钥规则
- 安全启动监控
- API 访问安全
- SSL 政策监控
- 已停用日志记录
- 公共存储分区 ACL 提醒
通过监控多重身份验证合规性和 API 密钥的健康状况来防止敏感数据暴露。针对容器映像存储、Cloud Storage、SSL 政策、SSH 密钥政策、日志记录、API 访问权限等不安全配置获取提醒。
VirusTotal
使用场景:
- 防止网上诱骗
VirusTotal 可让您先扫描网址中的恶意内容(无论网址位于用户输入、电子邮件、聊天、日志还是其他位置),然后再将网址呈现给用户或员工。
VPC Service Controls
使用场景:
- 代管式服务的防火墙
将重要的托管式服务封装在防火墙中,以便控制谁可以调用该服务以及该服务向谁进行响应。使用 Cloud Functions 等服务上的出站边界规则阻止未经授权的出站流量和数据渗漏。防止未经授权的用户和位置向代管式数据存储区和数据库发出请求。围绕功能强大或费用可能非常高昂的 API 创建安全边界。
Web 应用扫描器
使用场景:
- Web 应用安全风险扫描器
- 源代码库可用性扫描器
为防止您的 Web 应用泄露敏感数据,请确保不以明文形式发送密码。通过检查公开的 git 和 Apache Subversion 源代码库,避免泄露可能造成破坏的原始源代码。这些扫描旨在涵盖特定 OWASP 十大控制措施。
Web Security Scanner
使用场景:
- 通过网络传输的未加密密码
Web Security Scanner 会扫描您的 Web 应用并报告错误和漏洞的发现结果。如果您的应用以明文形式传输密码,Web Security Scanner 会生成 CLEAR_TEXT_PASSWORD 发现结果。
A03:注入
将不可信数据作为命令或查询的一部分发送到解释器时会发生注入缺陷,例如 SQL、NoSQL、操作系统和 LDAP 注入。攻击者的恶意数据可能会诱使解释器在没有适当授权的情况下运行非预期命令或访问数据。我们建议应用先清理或过滤用户数据,然后再将数据发送到解释器。
以下各部分介绍了有助于降低此风险的 Google Cloud 产品。
Apigee
使用场景:
- SQL 注入屏蔽
- NoSQL 注入屏蔽
- LDAP 注入屏蔽
- JavaScript 注入屏蔽
Apigee 提供多种输入验证政策,以便先验证客户端提供的值是否符合您配置的预期值,然后才允许进一步处理政策或规则。Apigee 充当传入 API 请求的网关,用于运行限制检查以确保载荷结构在可接受的范围内。您可以配置 API 代理,以便输入验证例程转换输入,从而移除有风险的字符序列,然后将它们替换为安全值。
借助 Apigee 平台,您可以通过下列几种方法来验证输入:
- 使用 JSONThreatProtection 可检查 JSON 载荷是否存在威胁。
- 使用 XMLThreatProtection 可检查 XML 载荷是否存在威胁。
- 使用 JavaScript 可验证参数和标头。
- 使用 RegularExpressionProtection 政策可处理 SQL 代码注入。
- 使用
OASValidation政策可根据 OpenAPI 规范(JSON 或 YAML)验证传入的请求或响应消息。 - 使用
SOAPMessageValidation政策可根据 XSD 架构验证任何 XML 消息,也可以根据 WSDL 定义验证 SOAP 消息。
容器威胁检测
使用场景:
- 恶意脚本检测
- 反向 shell 检测
- 恶意软件安装检测
Container Threat Detection 的 Malicious Script Executed 检测器会分析系统上执行的每个 Shell 脚本并报告恶意脚本。这提供了一个检测 shell 命令注入攻击的工具。一旦 shell 命令注入成功,攻击者就可以生成反向 shell,这会触发 Reverse Shell 检测器。或者,如果攻击者安装恶意软件,则会触发 Added Binary Executed 和 Added Library Loaded 检测器。
Google Cloud Armor
使用场景:
- SQL 注入过滤
- PHP 注入过滤
Google Cloud Armor 可以阻止常见注入攻击,使其无法到达您的应用。对于 SQL 注入 (SQLi),Google Cloud Armor 的预定义规则集基于 OWASP Modsecurity 核心规则集。您可以使用 evaluatePreconfiguredExpr('sqli-stable') 规则本身或将该规则与其他自定义规则结合使用来构建安全政策,以阻止核心规则集中定义的常见的 SQLi 攻击。例如,您可以使用网址路径过滤条件来限制只有特定应用能够使用 SQLi 屏蔽功能。
对于 PHP 注入,还存在另一个预配置的规则集。您可以使用 evaluatePreconfiguredExpr('php-stable') 规则来阻止常见的 PHP 注入攻击。
激活预先配置好的表达式可能会导致误报情况,具体取决于您的应用,因为规则集中的部分规则非常敏感。如需了解详情,请参阅排查误报问题以及如何根据不同的敏感度级别调整规则集。
对于除针对 SQL 或 PHP 之外的注入攻击,您可以创建自定义规则,以便当请求路径或查询中使用了这些协议中的特定关键字或转义模式时阻止请求。请确保这些模式未出现在有效请求中。此外,您还可以对这些规则进行限制,使其只能用于可解读传递给它们的数据的特定端点或路径。
此外,通过使用针对远程代码执行和远程文件注入预先配置好的规则,可以缓解某些注入攻击。
Web Security Scanner
使用场景:
- 监控跨站脚本攻击
- 监控 SQL 注入
Web Security Scanner 会扫描 Web 应用中的漏洞,并提供监控跨站脚本攻击和 SQL 注入攻击的检测器。
A04:不安全的设计
如果组织未在开发生命周期中实施评估和解决威胁的方法,则会出现不安全的设计。威胁建模(在设计和优化阶段早期完成并在开发和测试阶段继续进行)有助于组织分析假设和故障缺陷。无责备的吸取经验教训文化是确保设计安全的关键。
Apigee
使用场景:
- 输入验证
- 访问权限控制
- 故障处理
- 内容保护政策
- 密码管理
Apigee 可让您使用 OASValidation 政策来验证针对您的应用的传入请求和应用。此外,为了保护访问权限,您可以配置单点登录 (SSO)、基于角色的访问控制 (RBAC)、限制对 API 的访问权限(例如,使用 Auth0),以及限制哪些 IP 地址有权访问您的环境。您可以使用故障处理规则自定义 API 代理如何响应错误。
为了防止 Apigee 全局用户出现不安全的密码,Apigee 提供了密码失效、锁定和重置功能。此外,您还可以启用双重身份验证 (2FA)。
Cloud Data Loss Prevention API(属于敏感数据保护)
使用场景:
- 识别和隐去机密数据
使用 Cloud Data Loss Prevention API,您可以识别机密数据并对其进行令牌化。DLP API 可以帮助您限制机密数据的泄露,因为在数据令牌化和存储后,您可以设置访问权限控制以限制谁可以查看数据。如需了解详情,请参阅对上传到 Cloud Storage 的数据进行自动分类以及使用 Sensitive Data Protection 对大规模数据集中的个人身份信息进行去标识化和重标识处理。
Secret Manager
使用场景:
- 保护凭据的存储
Secret Manager 可让应用和流水线根据使用 IAM 授予的权限访问指定 Secret 的值。它还提供对密文的程序化访问,以便自动化流程可以访问密文值。启用后,与 Secret Manager 的每次交互都会提供审核跟踪。使用这些审核跟踪记录来帮助取证和合规性需求。
Web Security Scanner
使用场景:
- 识别应用中的安全漏洞。
Web Security Scanner 可扫描您的 Web 应用是否存在漏洞。它会追踪链接并尝试执行尽可能多的用户输入和事件处理程序。如果在 Web 应用中输入的密码可以缓存在常规浏览器缓存中,而不是安全密码存储中,其 CACHEABLE_PASSWORD_INPUT 检测器会生成发现结果。
A05:安全配置错误
安全配置错误是指未修补的应用缺陷、打开的默认账号以及未受保护的文件和目录,这些通常可以通过应用安全加固来防止。安全配置错误可能以多种方式发生,例如信任默认配置、进行可能不安全的部分配置、让错误消息包含敏感细节、在没有适当安全控制的情况下将数据存储在云中或错误配置 HTTP 标头。
Apigee
使用场景:
- 管理安全配置
- 监控安全配置
借助共享流,API 开发者可以将政策和资源组合成一个可重复使用的组。通过将可重复使用的功能集中到一个地方,共享流有助于确保一致性、缩短开发时间以及更轻松地管理代码。您可以使用 FlowCallout 政策在各个 API 代理中添加共享流,您也可以将共享流放入流钩子,以便为部署在同一环境中的每个 API 代理自动运行共享流逻辑。
Cloud Asset Inventory
使用场景:
- 实时通知服务
实时通知可以提醒您意外预配了可能受到不当保护或未经授权的资源。
Cloud Load Balancing
使用场景:
- 精细的 SSL 和 TLS 加密方式控制
通过分配可供负载均衡器使用的一组预定义加密方式或一系列自定义加密方式,以防止使用已知易受攻击的 SSL 或 TLS 加密方式。
Google Cloud Armor
使用场景:
- 过滤不安全的端点
- 过滤本地或远程文件包含攻击
- 过滤协议攻击
由于应用级可能会发生安全配置错误,因此 OWASP 基金会建议您直接强化和修补应用,并移除所有不必要的功能。
虽然 Web 应用防火墙 (WAF)(例如 Google Cloud Armor)无法帮助您修复底层的错误配置,但您可以完全阻止访问应用的一部分,也可以阻止除特定 IP 地址或国家/地区以外的所有人访问。限制访问可以降低这些错误配置遭到利用的风险。
例如,如果您的应用使用常见网址(如 /admin)公开了管理界面,则即使对此界面进行了身份验证,您也可以限制其访问。您可以使用拒绝规则执行此操作,例如:
request.path.contains("/admin") && !(inIpRange(origin.ip,
'1.2.3.4/32')
将 1.2.3.4/32 替换为应该有权访问管理界面的 IP 地址范围。
通过使用预定义的本地文件包含 (LFI) 或远程文件包含 (RFI) 规则集,可以部分缓解一些配置错误。例如,在应用 LFI 规则集时,无法利用 Juice Shop 跨站映像挑战。使用 evaluatePreconfiguredExpr('lfi-stable') ||
evaluatePreconfiguredExpr('rfi-stable') 规则阻止使用 LFI 和 RFI 规则集的请求,并根据需要调整规则。您可以验证挑战解决方案是否不再成功。
某些 HTTP 攻击也可以使用预先配置好的规则集进行缓解:
- 为避免 HTTP 动词篡改,请使用方法强制执行规则集(预览版)。使用
evaluatePreconfiguredExpr('methodenforcement-stable')规则禁止除GET、HEAD、POST和OPTIONS方法之外的 HTTP 请求方法 - 如需阻止针对 HTTP 解析和代理的常见攻击,例如 HTTP 请求走私、HTTP 响应拆分和 HTTP 标头注入,请通过
evaluatePreconfiguredExpr('protocolattack-stable')规则使用协议攻击规则集。
Security Health Analytics
使用场景:
- 安全控制监控和提醒
通过单个界面监控数十个信号,确保您的应用遵循安全最佳实践。
Web Security Scanner
使用场景:
- 为 OWASP 十大风险量身定制的 Web 应用扫描器
- HTTP 服务器配置错误
- 混合 HTTP/HTTPS 内容
- XML 外部实体 (XXE)
Web Security Scanner 监控常见的安全错误,例如内容类型不匹配、安全标头无效和混合内容传送。Web Security Scanner 还会监控漏洞,例如 XXE 漏洞。这些扫描旨在涵盖 OWASP 十大风险控制措施。以下检测器会扫描安全错误配置:
INVALID_CONTENT_TYPEINVALID_HEADERMISMATCHING_SECURITY_HEADER_VALUESMISSPELLED_SECURITY_HEADER_NAMEMIXED_CONTENTXXE_REFLECTED_FILE_LEAKAGE
如需详细了解这些检测器和其他检测器,请参阅 Web Security Scanner 概览。
A06:易受攻击的过时组件
存在已知漏洞的组件是一般攻击途径的类别,最好通过监控和快速升级所有应用组件来缓解这类漏洞。
Binary Authorization
使用场景:
- 限制 GKE 集群只能部署可信容器
Binary Authorization 是一项部署时安全控制措施,有助于确保仅在 Google Kubernetes Engine (GKE) 上部署可信的容器映像。借助 Binary Authorization,您可以要求在开发过程中由可信授权方对映像进行签名,然后在部署时强制执行签名验证。通过强制执行验证,您可以确保您的构建和发布流程仅使用经过验证的映像。
Cloud Load Balancing
使用场景:
- 精细的 SSL 和 TLS 加密方式控制
通过分配可供 Cloud Load Balancing 使用的一组预定义加密方式或一系列自定义加密方式,以防止使用已知易受攻击的 SSL 或 TLS 加密方式。
Container Threat Detection
使用场景:
- 恶意脚本检测
- 反向 shell 检测
- 恶意软件安装检测
如果攻击者利用易受攻击的组件并运行恶意脚本,Container Threat Detection 的 Malicious Script Executed 检测器会生成发现结果。如果攻击者生成反向 shell,Reverse Shell 检测器会生成发现结果。如果攻击者安装恶意软件,Added Binary Executed 和 Added Library Loaded 检测器会生成发现结果。
Event Threat Detection
使用场景:
- 挖矿检测
- 恶意软件检测
- 数据渗漏
- 传出 DoS
Event Threat Detection 会监控 Cloud Logging 数据流,并精细地应用检测逻辑和威胁情报。当 Event Threat Detection 检测到威胁时,它会将发现结果写入 Security Command Center 和 Cloud Logging 项目。以下检测规则对检测使用具有已知漏洞的组件产生的影响非常有用:
- 挖矿。根据 DNS 请求或与已知挖掘地址的连接来检测挖矿。
- 恶意软件。根据 DNS 请求或与已知恶意地址的连接来检测恶意软件。
- 渗漏到外部表。检测保存在组织外部的资源,包括复制或转移操作。
- 传出 DoS。检测被利用尝试拒绝服务攻击的漏洞。
Google Cloud Armor
使用场景:
- 阻止访问未使用的应用端点
- 阻止常见攻击途径
诸如 Google Cloud Armor 之类的 Web 应用防火墙 (WAF) 不能用作阻止此类攻击的单一缓解策略,因为攻击通常针对特定的库,并且无法通过预先配置好的规则集进行阻止,也无法在服务器端进行修补。定期监控和升级应用的所有组件是缓解此类漏洞的唯一方法。
但是,Google Cloud Armor 可通过其对远程代码执行、本地文件包含或远程文件包含预先配置的规则,帮助缓解一些针对易受攻击的应用的常见攻击。
如果您知道应用中有易受攻击的组件,但无法立即修补应用,则可以阻止访问应用的这些部分,以暂时降低利用这些组件所带来的风险。构建一个自定义规则,它要与访问这些易受攻击的组件并拒绝访问的网址路径或查询相匹配。如果您需要从特定用户或位置访问这些组件,您仍然可以允许某些受信任的源 IP 地址访问这些组件。使用网址路径的规则如下所示:
`request.path.contains("/component") && !(inIpRange(origin.ip,
'1.2.3.4/32')
请替换以下内容:
/component:具有已知漏洞的组件的路径1.2.3.4/32:应继续访问接口的 IP 地址范围。
如果应用的某些部分(例如,最终用户永远不需要访问的某些目录或文件类型)还可以使用自定义规则阻止或限制对这些资源的访问,从而在这些组件易受攻击时主动降低风险 将来。
Google Cloud 安全公告
使用场景:
- 安全公告监控
- 适用于 Google Cloud 产品的 CVE
Google Cloud 安全公告是影响 Google Cloud 的安全公告的权威来源。信息帖包括背景信息、CVE 链接以及关于进一步措施的建议。
Web Security Scanner
使用场景:
- 过时的库
- 漏洞和发现结果信息中心
监控您的 Web 应用中是否包含过时的库。在 Security Command Center 信息中心内监控这些发现结果。
A07:识别和身份验证失败
识别和身份验证失败是常见的风险,因为应用身份验证和会话管理通常未正确实现。攻击者可能会利用实施缺陷(例如,密码泄露、密钥泄露和会话令牌已遭破解),从而暂时或永久采用其他用户的身份。
Access Transparency
使用场景:
- 服务提供商监控
- 访问理由
通常,如果您需要外部供应商提供实践支持,您必须授予和共享临时凭据,这可能会导致凭据泄露或成为孤立凭据。Access Approval 是一项集成式服务,您可以通过它来批准或拒绝为您的账号提供支持服务的 Google 员工的访问请求。每个访问请求都包含一个访问理由,方便您查看每次访问的原因,包括对支持服务工单的引用。
Apigee
使用场景:
- 验证密钥
- 令牌验证
- OAuth 政策
Apigee 提供 VerifyApiKey、OAuth 和 JSON Web 令牌 (JWT) 政策,帮助防范此风险。
API 密钥验证是一种最简单的基于应用的安全形式,您可以为 API 配置密钥验证。客户端应用通过其请求提供 API 密钥。Apigee Edge 通过附加到 API 代理的政策来检查该 API 密钥对于所请求的资源而言是否处于已批准状态。
OAuth 2.0 授权框架使第三方应用能够通过编排资源所有者和 HTTP 服务之间的批准交互来代表资源所有者获得对 HTTP 服务的有限访问权限,或者通过允许第三方代表其自己获得访问权限。
JSON Web 令牌 (JWT) 通常用于在连接的应用之间共享声明或断言。Apigee 使用三个政策来提供 JWT 支持。
Event Threat Detection
使用场景:
- 暴力破解检测
- IAM 滥用行为检测
Event Threat Detection 会监控 Cloud Logging 数据流,并精细地应用检测逻辑和专有威胁情报。当 Event Threat Detection 检测到威胁时,它会将发现结果写入所选项目中的 Security Command Center 和 Cloud Logging。以下事件类型有助于识别中断的身份验证:
- SSH 暴力破解。检测主机上的 SSH 暴力破解能力。
- 异常授权。检测授予 Google Cloud 组织外部的 Identity and Access Management (IAM) 用户的权限。
Google Cloud Armor
使用场景:
- 限制对身份验证端点的访问
- 限制未经授权令牌的使用
针对属于无效身份验证 (broken authentication) 类别的漏洞进行的攻击最适合在应用级或者通过其他控制措施进行缓解。不过,Google Cloud Armor 可以帮助限制攻击面或屏蔽已知攻击途径。
例如,如果您的应用的用户群有限,并且这些用户来自一组已知 IP 地址或国家/地区,则您可以创建一项安全政策,让您的应用仅供来自这些 IP 地址块或国家/地区的用户访问。此政策有助于降低来自这些区域以外的端点进行自动扫描产生的影响。
如果其他安全机制检测到密码泄露、密钥泄露或会话令牌已遭破解,则对于在查询字符串中包含这些参数的请求,您可以使用自定义规则阻止其访问。您可以使用 securityPolicy.patchRule 方法更新您之前定义的规则。您可以针对 HTTP 负载均衡日志使用异常检测机制来识别可能被盗的令牌。您也可以通过扫描这些日志以查看是否存在共同密码来检测潜在的攻击者。
您可以使用为会话修复设置的预配置 ModSecurity 规则来阻止常见的会话修复攻击。您可以通过在安全政策中添加预定义的 evaluatePreconfiguredExpr('sessionfixation-stable') 规则来使用规则集。
如果您的应用在查询字符串中包含密码更改,您还可以使用与 request.query 属性匹配的自定义规则来阻止使用共同密码。但是,如有可能,在应用端实施此类检查会好得多。
Identity-Aware Proxy (IAP)
使用场景:
- 集中控制访问权限
- 可配合云应用和本地应用使用
- 保护 HTTP 和 TCP 连接
- 情境感知访问权限
IAP 与 HTTP(S) 负载平衡相集成,因此您可以使用身份和情境围绕应用创建安全的身份验证和授权边界。通过在 Identity Platform 中预配外部用户,防止中断面向公众的应用进行的身份验证(详情请参阅下一部分)。
您还可以通过 Identity-Aware Proxy 保护管理界面并验证预配了 Identity and Access Management 或 Cloud Identity 的用户身份,防止中断管理界面进行的身份验证。任何尝试访问该工具的行为都会导致记录身份验证尝试,然后进行授权检查,以确保经过身份验证的用户可以访问请求的资源。
Identity Platform
使用场景:
- 身份验证即服务
- 多重身份验证
- 企业级服务等级协议 (SLA)
- 广泛的协议支持
- Google 账号保护情报
Identity Platform 是 Google Cloud 客户的身份和访问权限管理 (CIAM) 平台。Identity Platform 通过使用 SDK 和 API 为安全身份验证即服务提供多协议支持。它提供多重身份验证、与第三方身份验证服务的集成以及可审核的活动跟踪功能。
reCAPTCHA Enterprise
使用场景:
- 自动登录尝试
- 内容抓取
- 凭据填充
- 欺诈性交易
- 账号盗用
- 虚假账号
- 洗钱
reCAPTCHA Enterprise 通过对访问尝试的风险等级进行评分,从而针对聊天机器人和其他形式的自动化和批量流量提供高效过滤。您可以使用自动反馈调整您网站专属的模型。reCAPTCHA 会调整未来的分数,以适应您网站的情况。
Security Health Analytics
使用场景:
- 强制执行 MFA/2FA
- 保护 API 密钥
- 强制执行 API 密钥轮替
Security Command Center 可通过监控多重身份验证合规性以及 API 密钥的运行状况,帮助防止身份验证中断。您可以识别可疑请求并屏蔽它们或标记它们以进行特殊处理。
Titan 安全密钥
使用场景:
- 防范网上诱骗的 2FA
- 移动设备和 PC 身份验证
Titan 安全密钥使用公钥加密来验证用户的身份和登录页面的网址,以帮助确保即使您被诱骗提供了用户名和密码,攻击者也无法访问您的账号。
Web Security Scanner
使用场景:
- 会话标识符泄露
Web Security Scanner 会扫描 Web 应用中的漏洞,例如会话 ID 泄露,这会允许其他方冒充或唯一标识一个用户。
A08:软件和数据完整性失败
如果软件更新、处理机密数据或 CI/CD 流水线中的任何流程期间没有进行完整性检查,则可能会发生软件和数据完整性失败。
Artifact Registry
使用场景:
- 将工件集中到一个受信任的位置
- 使用版本管理、漏洞扫描、审批工作流
Artifact Registry 让组织可以在一个位置管理容器映像及语言软件包(如 Maven 和 npm)。它可以与现有开发工具集成,并使用 Artifact Analysis 为容器提供漏洞扫描。
Binary Authorization
使用场景:
- 确保仅部署受信任的容器
Binary Authorization 会验证容器的完整性,以便仅部署受信任的容器映像。您可以创建政策以根据是否存在证明来允许或拒绝部署。Binary Authorization 在集群级层应用政策,因此您可以为不同的环境配置不同的政策。这种差异允许随着环境更接近生产环境而逐步进行证明要求。
Cloud Asset Inventory
使用场景:
搜索服务
访问权限分析器
孤立或未经授权的 IT 基础架构是最常见的数据泄露途径之一。您可以通过分析云资产时序数据来识别无人维护的服务器以及使用过于宽泛的共享规则的存储桶。
设置实时通知以提醒您意外预配了可能受到不当保护或未经授权的资源。
Cloud Build
使用场景:
查看代码更改
运行测试
实现构建部署标准化
借助 Cloud Build,您可以创建 build 配置以提供有关构建部署的说明,包括运行静态分析、集成测试等。
Google Cloud Armor
使用场景:
- 阻止远程代码执行攻击
由于大多数针对软件和数据完整性的攻击都是特定于应用的,因此只有少数方法可以帮助缓解这些攻击,例如,使用 Google Cloud Armor 等 Web 应用防火墙 (WAF)。OWASP 建议您不要接受来自不可信来源的序列化对象。如果可能,您可以使用如下所示的拒绝规则,将接受这些对象的端点限制为一组可信 IP 地址:
request.path.contains("/endpoint") && !(inIpRange(origin.ip,
'1.2.3.4/32')
请替换以下内容:
/endpoint:接受序列化对象的端点的路径1.2.3.4/32:应继续访问接口的 IP 地址范围。
如需缓解对使用远程代码执行 (RCE) 的软件和数据完整性的典型攻击,请使用针对 RCE 攻击的预定义规则集。您可以使用 evaluatePreconfiguredExpr('rce-stable') 规则阻止针对 UNIX 和 Windows Shell 进行的常见 RCE 攻击。
Juice Shop 针对不安全反序列化的挑战中所述的 RCE 攻击会在服务器上运行以 Node.js 编写的函数和正则表达式。这类攻击未被预定义的 RCE 规则集和相应的 OWASP Modsecurity 规则阻止,因此必须通过使用服务器端的补丁程序或自定义规则来进行缓解。
VirusTotal
使用场景:
- 扫描不受信任的数据
通过 VirusTotal API,您可以上传文件以及扫描文件来查看是否包含恶意软件。您可以在处理映像、文档、二进制文件和其他不可信数据之前对其进行扫描,以消除某些类型的恶意输入。
Web Security Scanner
使用场景:
- 不安全的反序列化
Web Security Scanner 可扫描您的 Web 应用是否存在漏洞。例如,如果您使用的 Apache Struts 版本使您的应用容易受到远程命令注入攻击,Web Security Scanner 会生成STRUTS_INSECURE_DESERIALIZATION 发现结果。
A09:安全日志记录和监控失败
如果您在系统中未妥善记录、监控或管理突发事件,则攻击者可能会对数据和软件执行更深入和更长时间的攻击。
Access Transparency
使用场景:
- 服务提供商访问监控和审核
- 访问理由
- 资源和方法识别
无法审核云服务商的访问行为可能会成为从本地迁移到云端的一项阻碍。Access Transparency 可实现云服务商访问权限验证,让您的审核控制力更接近本地控制机制的水平。您可以记录每次访问的原因,包括对相关支持服务工单的引用。资源和方法识别指定访问了哪些资源以及哪些管理员运行了哪些方法。借助 Access Approval,您可以批准或拒绝为您提供支持服务的 Google 员工的访问请求。
Apigee
使用场景:
- 将 Apigee 日志导出到 SIEM
- 使用 Apigee 监控界面
- 遵循监控最佳做法
Apigee 提供了多种方法可供您执行日志记录、监控、错误处理和审核日志记录:
- 日志记录
- 您可以使用 MessageLogging 政策将日志消息发送到 Splunk 或其他 syslog 端点。
- API 分析数据可通过 Analytics API 拉取,并导入或导出到其他系统中。
- 在 Edge for Private Cloud 中,您可以使用 MessageLogging 政策写入本地日志文件。还提供每个正在运行的组件的日志文件。
- JavaScript 政策可用于以同步或异步方式将日志消息发送到 REST 日志记录端点。
- 监控
- 使用 API Monitoring 界面或 API 定期监控 API 和后端并触发提醒。
- 使用健康状况监控功能定期监控目标服务器后端。
- Apigee 提供了用于监控 Edge for Private Cloud 的建议。
- Apigee 还提供了最佳实践,供团队用来监控您的 API 项目。
- 错误处理
- Apigee 为 API 代理提供了功能强大的通用故障处理机制。与 Java 程序捕获异常的方式类似,API 代理可以捕获故障并确定如何向客户端返回适当的响应。
- 借助 Apigee 的自定义故障处理,您可以在发生错误时添加消息日志记录等功能。
- 审核日志
- Apigee 平台会保留审核日志,用于跟踪 API 代理、产品和组织历史记录的变化。
- 可通过界面或 Management API 获取此日志。
Google Security Operations
使用场景:
- 威胁检测
- 预警
安全团队可以将其安全遥测数据发送到 Google Security Operations,以便您对统一的数据集应用功能强大的检测规则。
Sensitive Data Protection
使用场景:
- 自动遮盖敏感数据
识别日志流中的合规性敏感信息并适当地遮盖或转换这些信息,然后将其归档到日志中。例如,错误消息或核心转储文件可能包含敏感信息(例如需要遮盖的信用卡号或个人身份信息)。
Cloud Key Management Service
使用场景:
- 加密密钥请求事件日志记录
- 访问理由
Key Access Justifications 通过记录所述理由以及对加密密钥的请求的批准或拒绝记录,让您了解每个请求的历史记录。
Cloud Logging
使用场景:
- 日志汇总
- 日志存储
- 日志搜索
- 日志分析
Cloud Logging 可让您存储、搜索、分析、监控来自 Google Cloud 和 Amazon Web Services 的日志记录数据和事件,并相应地发出提醒。它包括对 BindPlane 服务的访问,您可以使用该服务从 150 多种常见应用组件、本地系统和混合云系统中收集日志记录数据。
Cloud Monitoring
使用场景:
- 日志监控
- 事件提醒
Cloud Monitoring 可帮助您了解云应用的性能、正常运行时间以及总体运行状况。它提供了监控信息中心、事件监控器和多渠道提醒功能。
Cloud Source Repositories
使用场景:
- 代码更改归因
- 访问审核日志记录
通过由 Cloud Source Repositories 生成的 Cloud Audit Logs,深入了解何时在代码库中的什么位置执行了哪些操作。
Error Reporting
使用场景:
- 在 Cloud Logging 中捕获内部应用错误
- 在崩溃的计算实例之外收集崩溃报告
内部应用错误可能表示存在安全问题、功能异常或试图规避安全措施。Error Reporting 会统计、分析和汇总您正在运行的云服务的崩溃情况。集中式错误管理界面会显示结果并提供排序和过滤功能。错误详细信息会在一个专门视图中显示:例如,时间图表、出现次数、受影响的用户数、首次和最后一次出现的日期,以及经过整理的异常堆栈轨迹。选择启用这项功能后,在出现新错误时,您马上就能收到电子邮件和移动设备提醒。
事件威胁检测
使用场景:
- 暴力破解
- 挖矿
- IAM 滥用行为
- 恶意软件
- 网上诱骗
Event Threat Detection 会监控 Cloud Logging 数据流,并精细地应用检测逻辑和专有威胁情报。Event Threat Detection 会识别日志中的重要条目并提升这些条目以供审核。当 Event Threat Detection 检测到威胁时,它会将发现结果写入 Security Command Center 和 Cloud Logging 项目。
Forseti Inventory
使用场景:
- 库存变化监控和提醒
Forseti Inventory 会将 Google Cloud 资源的库存快照保存到数据库中,这样您便拥有资源的历史记录。借助这些信息,您可以了解您在 Google Cloud 中拥有的所有资源,并采取措施节省资源、降低费用以及最大程度地减少安全漏洞。库存可以配置为按需运行,并在更新资源快照时向您发送电子邮件通知。
Google Cloud Armor
使用场景:
- 安全政策日志记录
- 监控信息中心
- 流量异常提醒
Google Cloud Armor 请求日志是用于应用负载均衡器的 Cloud Logging 的一部分。如需访问日志记录信息(例如哪些安全政策规则与流量匹配),请对所有附加了安全政策的后端服务启用日志记录功能。您可以在预览模式下使用规则进行测试并记录结果,而无需实施效果。
Google Cloud Armor 还为安全政策提供监控信息中心,以让您简要了解根据任何安全政策通过或拒绝的流量。Google Cloud Armor 会在 Security Command Center 中发布有关流量异常的发现结果,例如允许的流量达到高峰或拒绝的流量增加。
Google Cloud Armor 会自动写入管理员活动审核日志,该日志中记录了修改资源配置或元数据的操作。此服务还可以配置为写入数据访问审核日志,其中包含读取资源配置或元数据的 API 调用,以及创建、修改或读取用户提供的资源数据的用户驱动的 API 调用。
Identity Platform
使用场景:
- 管理员活动审核日志
- 数据访问审核日志
- 系统事件审核日志
- 政策拒绝审核日志
- 身份验证活动日志
Identity Platform 是 Google Cloud 面向用户的身份和访问权限管理平台,默认情况下会记录身份验证活动。
启用几种强大的审核日志,包括管理员活动、数据访问、系统事件和拒绝的身份验证尝试。
Security Command Center
使用场景:
- 监控警报
- 威胁管理
- 漏洞扫描报告
- 合规性监控
- 资产监控
- 安全扫描发现结果
在概览面板中按严重性等级查看您的组织中的发现结果总数。使用威胁信息中心查看组织的 Google Cloud 资源中潜在的有害事件。在漏洞标签页中查看 Security Health Analytics 发现结果和建议。
借助合规性信息中心,您可以持续监控是否遵从 PCI-DSS、CIS Google Cloud Computing Foundations Benchmark 等制订的控制措施。资源视图详细显示您的组织中的所有 Google Cloud 资源(称为资源)。通过资源标签页,您可以查看整个组织的资源,也可以按资源类型或更改类型过滤特定项目中的资源。最后,发现结果标签页显示您的组织中所有资源的详细发现结果目录,以便您查看潜在的安全风险。
A10:服务器端请求伪造 (SSRF)
当攻击者强制易受攻击的服务器触发对第三方服务器或内部资源的不必要恶意请求时,就会发生 SSRF 攻击。当 Web 应用提取远程资源而不验证用户提供的网址时,可能会出现 SSRF 缺陷。
Apigee
使用场景:
- 使用 LFI 或 RFI 阻止 SSRF 攻击
Apigee 内置了使用 XPath 或 JSONPath 来提取数据的 XML 和 JSON 解析器。它具有用于防范恶意 XML 载荷的 XMLThreatProtection 政策以及帮助防范恶意 JSON 载荷的 JSONThreatProtection 政策。
通过 Apigee 的 ExtractVariables 政策,您可以从请求或响应中提取内容,然后将该内容分配给变量。您可以提取消息的任何部分,包括标头、URI 路径、JSON 和 XML 载荷、表单参数和查询参数。政策的工作原理是对消息内容应用文本模式,当它找到匹配项时,使用指定的消息内容设置变量。
Google Cloud Armor
使用场景:
- 使用 LFI 或 RFI 过滤 SSRF 攻击
由于 SSRF 攻击非常复杂并且形式各异,因此利用 Web 应用防火墙缓解攻击的可能性有限。通过修补 XML 或 JSON 解析器,禁止外部实体,并将公共网络服务器上的 XML 或 JSON 数据传输限制在最低程度,可以更好地缓解攻击。但是,根据应用和攻击类型,Google Cloud Armor 仍然可以帮助防范数据渗漏和其他影响。
虽然 OWASP ModeSecurity 核心规则集中没有专门防范 SSRF 攻击的规则,但本地文件包含 (LFI) 和远程文件包含 (RFI) 规则有助于防范其中一部分攻击。如需阻止攻击者在服务器上检索本地文件,请在 Google Cloud Armor 安全政策中使用 evaluatePreconfiguredExpr('lfi-stable') 规则。
SSRF Juice Shop 挑战使用预配置的远程文件包含 (RFI) 或本地文件包含 (LFI) 规则集来帮助减少其中一些攻击,因为它们会阻止包含网址或路径遍历。例如,以下规则启用了这两个规则集:
evaluatePreconfiguredExpr('lfi-stable') ||
evaluatePreconfiguredExpr('rfi-stable')
实现此类规则时,针对 SSRF 挑战的解决方案也会停止工作。
VPC Service Controls
使用场景:
- 用于划分服务器的网络边界
为了减少 SSRF 攻击的影响,您可以使用 VPC Service Controls 创建边界,以将服务器与组织中的其他资源分开。这些边界可防范数据渗漏。在实施模式下运行时,除非满足边界的必要入站和出站规则的条件,否则对受限服务的 API 请求不会跨边界。
Virtual Private Cloud (VPC) 防火墙
使用场景:
- 实施“默认拒绝”防火墙政策或网络访问权限控制规则,以阻止所有必要的内网流量。
VPC 防火墙适用于项目和 VPC 网络的入站和出站流量。您可以创建防火墙规则,阻止除您要允许的流量以外的所有流量。如需了解详情,请参阅 VPC 防火墙规则概览。
Web Security Scanner
使用场景:
- Web 应用监控
Web Security Scanner 可扫描您的 Web 应用是否存在漏洞。例如,如果您的应用容易受到服务器端请求伪造攻击,Web Security Scanner 会生成 SERVER_SIDE_REQUEST_FORGERY 发现结果。
后续步骤
- Google Cloud 上的 Web 应用和 API 保护
- OWASP 十大
- Google Cloud 安全公告
- Google Cloud 安全措施最佳做法中心
- 符合的法规和标准
- Google Cloud 的 CIS 基准
- Security Command Center
- Apigee
- Google Cloud Armor
- 所有 Google Cloud 安全产品
- 探索有关 Google Cloud 的参考架构、图表和最佳做法。查看我们的 Cloud Architecture Center。