Questo documento ti aiuta a identificare i prodotti Google Cloud e la relativa mitigazione strategie in grado di aiutarti a difenderti dagli attacchi più comuni a livello di applicazione descritti in OWASP Top 10. OWASP Top 10 è un elenco di Open Web Application Security (OWASP) Foundation dei primi 10 rischi per la sicurezza di cui ogni proprietario di applicazioni dovrebbe essere a conoscenza. Sebbene nessun prodotto per la sicurezza possa garantire una protezione completa contro questi rischi, e applicare questi prodotti e servizi quando hanno senso nella tua architettura può contribuire a una solida soluzione di sicurezza multilivello.
L'infrastruttura di Google è progettata per aiutarti a creare, eseguire il deployment e gestire i servizi in modo sicuro. Fisico e sicurezza operativa, crittografia dei dati at-rest e in uso il trasporto pubblico e molti altri aspetti importanti di un'infrastruttura sicura realizzati da Google. Questi vantaggi vengono ereditati eseguendo il deployment delle applicazioni ma potresti dover adottare misure aggiuntive per proteggere della tua applicazione contro attacchi specifici.
Le strategie di mitigazione elencate in questo documento sono ordinate per applicazione rischio per la sicurezza e il prodotto Google Cloud. Molti prodotti svolgono un ruolo creando una strategia di difesa in profondità contro i rischi per la sicurezza sul web. Questo documento fornisce informazioni su come altri prodotti possono mitigare i rischi OWASP Top 10, ma fornisce ulteriori dettagli su come Google Cloud Armor e Apigee possano a mitigare un'ampia gamma di questi rischi. Google Cloud Armor, che funge da server web un firewall per applicazioni (WAF) e Apigee, fungendo da gateway API, possono particolarmente utili per bloccare diversi tipi di attacchi. Questi prodotti sono in da internet e possono bloccare il traffico esterno prima che avvenga raggiunge le tue applicazioni in Google Cloud.
Panoramiche dei prodotti
I prodotti Google Cloud elencati nella seguente tabella possono aiutarti a proteggere rispetto ai 10 principali rischi per la sicurezza:
Prodotto | Riepilogo | A01 | A02 | A03 | A04 | A05 | A06 | A07 | A08 | A09 | A10 |
---|---|---|---|---|---|---|---|---|---|---|---|
Access Transparency | Estendi la visibilità e il controllo sul tuo cloud provider con l'accesso amministrativo log e controlli di approvazione | ✓ | ✓ | ||||||||
Artifact Registry | Archivia a livello centrale artefatti e dipendenze della build | ✓ | |||||||||
Apigee | Progetta, proteggi e scala le interfacce di programmazione delle applicazioni | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Autorizzazione binaria | Assicurati che il deployment in Google Kubernetes Engine avvenga solo per le immagini container attendibili | ✓ | ✓ | ||||||||
Google Security Operations | Trova automaticamente le minacce in tempo reale e su larga scala utilizzando infrastruttura, tecniche di rilevamento e indicatori | ✓ | |||||||||
Cloud Asset Inventory | Visualizzare, monitorare e analizzare tutti i dati di Google Cloud e Google Distributed Cloud o asset multi-cloud nei progetti e servizi | ✓ | ✓ | ✓ | ✓ | ||||||
Cloud Build | Crea, testa ed esegui il deployment in Google Cloud | ✓ | |||||||||
Sensitive Data Protection | Scopri, classifica e proteggi i tuoi dati più sensibili | ✓ | ✓ | ✓ | |||||||
Cloud Load Balancing | Controlla quali crittografie negozia il tuo proxy SSL o il bilanciatore del carico HTTPS | ✓ | ✓ | ✓ | ✓ | ||||||
Cloud Logging | Gestione e analisi dei log in tempo reale su larga scala | ✓ | |||||||||
Cloud Monitoring | Raccogli e analizza metriche, eventi e metadati da Google Cloud e una vasta gamma di applicazioni e servizi di terze parti | ✓ | |||||||||
Cloud Source Repositories | Archivia, gestisci e monitora il codice in un unico posto per il tuo team | ✓ | |||||||||
Rilevamento delle minacce di container | Monitora costantemente lo stato delle immagini container, valuta tutte le modifiche e monitorare i tentativi di accesso remoto per rilevare attacchi di runtime ora | ✓ | ✓ | ||||||||
Rilevamento delle minacce di eventi | Monitora il flusso di Cloud Logging della tua organizzazione e rileva le minacce nel quasi in tempo reale | ✓ | ✓ | ✓ | |||||||
Google Cloud Armor | Un web application firewall (WAF) di cui è stato eseguito il deployment sul perimetro della rete Google per difenderti dai comuni vettori d'attacco | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Google Cloud bollettini sulla sicurezza | Gli ultimi bollettini sulla sicurezza relativi ai prodotti Google Cloud | ✓ | |||||||||
Identity-Aware Proxy (IAP) | Protezione dell'accesso alle applicazioni e alle VM basata su identità e contesto | ✓ | ✓ | ✓ | |||||||
Identity Platform | Aggiungere funzionalità di gestione di identità e accessi alle applicazioni, proteggere account utente e scalare la gestione | ✓ | ✓ | ||||||||
Cloud Key Management Service | Gestire le chiavi di crittografia su Google Cloud | ✓ | ✓ | ||||||||
reCAPTCHA | Proteggi il tuo sito web da attività fraudolente, spam e comportamenti illeciti | ✓ | |||||||||
Secret Manager | Archiviazione di chiavi API, password, certificati e altri dati sensibili | ✓ | ✓ | ||||||||
Security Command Center | Visibilità centralizzata per analisi di sicurezza e threat intelligence per Rilevare le vulnerabilità nelle applicazioni | ✓ | |||||||||
Analisi dello stato della sicurezza (SHA) | Genera risultati di vulnerabilità disponibili in Security Command Center | ✓ | ✓ | ✓ | ✓ | ||||||
Token di sicurezza Titan | Contribuisci a proteggere gli utenti di alto valore con dispositivi 2FA resistenti al phishing che dotato di un chip hardware (con firmware progettato da Google) per l'integrità della chiave | ✓ | |||||||||
Firewall Virtual Private Cloud | Consenti o nega le connessioni da o verso le tue istanze di macchine virtuali (VM) | ✓ | |||||||||
Controlli di servizio VPC | Isola le risorse dei servizi Google Cloud multi-tenant per mitigare l'impatto rischi di esfiltrazione di dati | ✓ | ✓ | ||||||||
VirusTotal | analizzare file e URL sospetti per rilevare i tipi di malware; automaticamente condividile con la community della sicurezza | ✓ | ✓ | ||||||||
Web Security Scanner | Genera i tipi di risultati di vulnerabilità disponibili in Security Command Center | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
A01: Controllo dell'accesso non funzionante
Controllo dell'accesso non funzionante si riferisce ai controlli dell'accesso applicati solo parzialmente sul lato client, o poco implementato. La mitigazione di questi controlli spesso richiede una riscrittura del per assicurare in modo adeguato che le risorse siano accessibili solo di utenti autorizzati.
Apigee
Caso d'uso:
- Applicazione del controllo dell'accesso
- Limita la manipolazione dei dati
Apigee supporta un approccio a più livelli per implementare i controlli dell'accesso ai soggetti malintenzionati di apportare modifiche non autorizzate o di accedere al sistema.
Configurare controllo dell'accesso basato su ruoli (RBAC) solo per consentire agli utenti di accedere alle funzionalità e alla configurazione necessaria. Creare mappe chiave-valore criptate per archiviare coppie chiave-valore sensibili, che vengono mascherate nell'interfaccia utente di Edge di gestione delle chiamate API. Configurare il Single Sign-On con il provider di identità della tua azienda.
Configura i portali per gli sviluppatori per mostrare prodotti API specifici in base al ruolo utente. Configura il portale per mostrare o nascondere i contenuti in base al ruolo utente.
Cloud Asset Inventory
Caso d'uso:
- Monitoraggio di IT non autorizzati (noti anche come "shadow IT")
- Istanze di calcolo obsolete
Uno dei vettori più comuni per l'esposizione dei dati è l'IT orfani o non autorizzato dell'infrastruttura. Configurare le notifiche in tempo reale per avvisarti di risorse in esecuzione impreviste che potrebbero essere protette in modo improprio o l'utilizzo di software obsoleto.
Cloud Load Balancing
Caso d'uso:
- Controllo granulare della crittografia SSL e TLS
Impedisci l'utilizzo di crittografie SSL o TLS inefficaci L'assegnazione di un gruppo predefinito o di un elenco personalizzato di crittografie utilizzabili da Cloud Load Balancing.
Google Cloud Armor
Caso d'uso:
- Filtra richieste multiorigine
- Filtra gli attacchi di inclusione di file locali o remoti
- Filtra attacchi con inquinamento parametro HTTP
Molti casi di interruzione controllo dell'accesso non possono essere mitigati utilizzando un un firewall per applicazioni, perché le applicazioni non richiedono o non controllano correttamente per ogni richiesta e i dati possono essere manipolati sul lato client. Più di uno Sfide di Juice Shop correlate a controlli degli accessi non funzionanti. Per un esempio, la pubblicazione di feedback nel nome di un altro utente usa il fatto che alcune richieste non sono autenticate lato server. Il più possibile vedi nel soluzione delle sfide, l'exploit per questa vulnerabilità è completamente lato client e può quindi non essere mitigati utilizzando Google Cloud Armor.
Alcune sfide possono essere parzialmente mitigate sul lato server se l'applicazione non può essere applicata immediatamente.
Ad esempio, se attacchi di tipo cross-site request forgery (CSRF) perché il tuo server web implementa la condivisione delle risorse tra origini (CORS) in modo non ottimale, come dimostrato Sfida CSRF Juice Shop, puoi mitigare questo problema bloccando del tutto le richieste provenienti da origini impreviste con una regola personalizzata. La seguente regola corrisponde a tutte le richieste con origini diverse da example.com e google.com:
has(request.headers['origin']) &&
!((request.headers['origin'] == 'https://example.com')||
(request.headers['origin'] == 'https://google.com') )
Quando il traffico che corrisponde a una regola di questo tipo negato, per la sfida CSRF smette di funzionare.
La
sfida sulla manipolazione del carrello
utilizza
Inquinamento parametro HTTP (HPP)
in modo che tu possa vedere come attaccare il negozio seguendo le
soluzione delle sfide.
L'HPP viene rilevato come parte della serie di regole di attacco del protocollo. Per bloccare questo tipo di attacco, utilizza la seguente regola:
evaluatePreconfiguredExpr('protocolattack-stable')
.
Identity-Aware Proxy e accesso sensibile al contesto
Caso d'uso:
- Controllo degli accessi centralizzato
- Compatibile con cloud e on-premise
- Protezione delle connessioni HTTP e TCP
- Accesso sensibile al contesto
IAP consente di usare identità e contesto formare una parete di autenticazione e autorizzazione sicura attorno all'applicazione. Impedisci l'interruzione dell'autorizzazione o del controllo dell'accesso alla tua applicazione visibile al pubblico con un sistema di autenticazione e autorizzazione gestito centralmente basate su Cloud Identity e IAM.
Applica controlli dell'accesso granulari ad applicazioni web, VM, API Google Cloud e Google Workspace in base a un l'identità dell'utente e il contesto della richiesta senza bisogno di una VPN. Usa un'unica piattaforma sia per il cloud delle applicazioni e delle risorse dell'infrastruttura on-premise.
Security Health Analytics
Caso d'uso:
- Applicazione MFA o 2FA
- Protezione delle chiavi API
- Monitoraggio dei criteri SSL
Previeni un controllo dell'accesso inaccessibile monitorando l'autenticazione a più fattori la conformità, i criteri SSL e l'integrità delle chiavi API.
Web Security Scanner
Caso d'uso:
- Repository esposti al pubblico
- Convalida dell'intestazione della richiesta non sicura
Web Security Scanner scansiona il tuo sito web applicazioni per le vulnerabilità, quali repository di codice visibili pubblicamente e convalida della richiesta configurata in modo errato intestazioni.
A02: Errori di crittografia
Errori di crittografia Può verificarsi a causa di una mancanza di crittografia o di una crittografia debole in transito. ha esposto accidentalmente dati sensibili. Gli attacchi contro queste vulnerabilità vengono di solito specifiche per l'applicazione e pertanto necessitano di una difesa approfondita per mitigare l'impatto dei cambiamenti.
Apigee
Caso d'uso:
- Proteggi i dati sensibili
Utilizza TLS unidirezionale e bidirezionale per proteggere le informazioni sensibili a livello di protocollo livello.
Utilizza criteri come Assegna criteri per i messaggi e Criterio JavaScript per rimuovere i dati sensibili prima che vengano restituiti al client.
Utilizza standard OAuth tecniche e valutare l'aggiunta di HMAC, hash, state, nonce, PKCE o altri tecniche per migliorare il livello di autenticazione per ogni richiesta.
Mascherare i dati sensibili nello strumento Traccia Edge.
Cripta i dati sensibili at-rest in mappe di coppie chiave-valore.
Cloud Asset Inventory
Caso d'uso:
- Servizio di ricerca
- Accedi allo strumento di analisi
Uno dei vettori più comuni per l'esposizione dei dati è l'IT orfani o non autorizzato dell'infrastruttura. Puoi identificare i server che nessuno gestisce e i bucket con regole di condivisione eccessiva analizzare i dati delle serie temporali degli asset cloud.
Configurare le notifiche in tempo reale per avvisarti del provisioning imprevisto di risorse che potrebbe non essere corretto protetti o non autorizzati.
API Cloud Data Loss Prevention (parte di Sensitive Data Protection)
Caso d'uso:
- Rilevamento e classificazione dei dati sensibili
- Mascheramento automatico dei dati
L'API Cloud Data Loss Prevention (API DLP) consente di analizzare di dati potenzialmente sensibili archiviati in bucket o database per evitare la fuga di informazioni. Se vengono identificati dati non consentiti, segnalati o oscurati automaticamente.
Cloud Key Management Service
Caso d'uso:
- Gestione sicura delle chiavi di crittografia
(Cloud KMS) aiuta a prevenire la potenziale esposizione delle chiavi di crittografia. Utilizza questo Key Management Service ospitato nel cloud per gestire chiavi di crittografia simmetriche e asimmetriche per i servizi cloud nello stesso modo che puoi svolgere on-premise. Puoi generare, utilizzare, ruotare ed eliminare Chiavi di crittografia AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 ed EC P384.
Cloud Load Balancing
Caso d'uso:
- Controllo granulare della crittografia SSL e TLS
I criteri SSL possono aiutare a prevenire l'esposizione a dati sensibili, consentendoti di avere il controllo sulle funzionalità e sulle crittografie SSL e TLS consentite in un bilanciatore del carico. Bloccare le crittografie non approvate o non sicure dell'oggetto o eliminare definitivamente una versione archiviata, in base alle necessità.
Google Cloud Armor
Caso d'uso:
- Filtra gli URL di attacco noti
- Limita accesso sensibile agli endpoint
In generale, l'esposizione dei dati sensibili dovrebbe essere interrotta alla fonte, ma poiché ogni attacco è specifico per un'applicazione, i web application firewall possono solo essere utilizzati in modo limitato per interrompere l'esposizione dei dati su larga scala. Tuttavia, se le tue l'applicazione non può ricevere subito la patch, puoi limitare l'accesso a o pattern di richiesta Regole personalizzate di Google Cloud Armor.
Ad esempio, diversi Sfide di Juice Shop sull'esposizione dei dati sensibili possono essere sfruttati a causa di un attraversamento della directory non sicuro attacchi di tipo null injection. Puoi mitigare queste iniezioni controllando le stringhe nell'URL con la seguente espressione personalizzata:
request.path.contains("%00") || request.path.contains("%2500")
Puoi
risolvi
il
metriche esposte
accedendo alla sottodirectory /metrics
utilizzata da Prometheus.
Se hai un endpoint sensibile che è esposto e non puoi rimuoverlo immediatamente
di accesso, puoi limitarne l'accesso, tranne che per determinati intervalli di indirizzi IP. Utilizza le funzionalità di
una regola simile alla seguente espressione personalizzata:
request.path.contains("/metrics") && !(inIpRange(origin.ip, '1.2.3.4/32')
Sostituisci 1.2.3.4/32
con l'indirizzo IP
che dovrebbe avere accesso all'interfaccia delle metriche.
File di log esposti accidentalmente
vengono utilizzati per risolvere una delle sfide di Juice Shop. Per evitare di esporre i log, imposta
una regola che non consente del tutto l'accesso ai file di log:
request.path.endsWith(".log")
.
Identity-Aware Proxy e accesso sensibile al contesto
Caso d'uso:
- Proteggere l'accesso remoto ai servizi sensibili
- Controllo degli accessi centralizzato
- Accesso sensibile al contesto
Utilizza l'identità e il contesto per formare un'autenticazione e un'autorizzazione sicure attorno alla tua applicazione. Implementare strumenti, come la segnalazione di bug interni, nella knowledge base aziendale, o email dietro IAP, per consentire Accesso sensibile al contesto solo a utenti autorizzati da qualsiasi luogo sul internet.
L'accesso sensibile al contesto ti consente di Applicare controlli di accesso granulari alle applicazioni web, macchine virtuali (VM), API Google Cloud e Google Workspace basate sulle applicazioni sull'identità dell'utente e sul contesto della richiesta senza una VPN tradizionale. Sede del modello di sicurezza Zero Trust e dell'implementazione di BeyondCorp di Google, L'accesso sensibile al contesto ti consente di fornire accesso ai tuoi utenti, e utilizzare un'unica piattaforma sia per il cloud che per l'ambiente on-premise applicazioni e risorse dell'infrastruttura.
Secret Manager
Caso d'uso:
- Chiavi di crittografia
- Chiavi API
- Altre credenziali di sistema
Secret Manager è un servizio di archiviazione come chiavi API, password degli account di servizio e dati asset. Archiviazione centrale di questi secret consente di fare affidamento sui sistemi di autenticazione e autorizzazione di Google Cloud, incluso IAM, per determinare se una determinata richiesta di accesso è valido.
Secret Manager non è progettato per operazioni su larga scala come come tokenizzazione delle carte di credito o archiviazione di password di singoli utenti. Tale le applicazioni devono fare affidamento su Identity Platform per GIAC, Cloud Identity per i membri della tua organizzazione o un software di tokenizzazione dedicato.
Security Health Analytics
Caso d'uso:
- Applicazione MFA/2FA
- Protezione delle chiavi API
- Applicazione rotazione della chiave API
- Privacy delle immagini Compute
- Applicazione delle regole della chiave SSH
- Avvio protetto del monitoraggio
- Sicurezza dell'accesso alle API
- Monitoraggio dei criteri SSL
- Logging disabilitato
- Avvisi ACL dei bucket pubblici
Previeni l'esposizione dei dati sensibili monitorando Conformità dell'autenticazione a più fattori e ai integrità delle chiavi API. Ricevi avvisi Per configurazioni non sicure per lo spazio di archiviazione di immagini container, Cloud Storage, SSL criteri, criteri per le chiavi SSH, logging, accesso API e altro ancora.
VirusTotal
Caso d'uso:
- Prevenzione del phishing
VirusTotal consente di eseguire la scansione degli URL per rilevare contenuti dannosi prima di presentarle agli utenti o ai dipendenti, input, email, chat, log o in altre posizioni.
Controlli di servizio VPC
Caso d'uso:
- Firewall per i servizi gestiti
Aggregare servizi gestiti in modo critico in un firewall per stabilire chi può chiamare il servizio e a chi può rispondere. Blocca il traffico in uscita non autorizzato e l'esfiltrazione di dati con regole perimetri in uscita su servizi come Cloud Functions. Impedisci le richieste da parte di utenti e località non autorizzati a archivi e database gestiti. Crea perimetri sicuri attorno ad API potenti o potenzialmente costose.
Scanner di applicazioni web
Caso d'uso:
- Scanner dei rischi per la sicurezza delle applicazioni web
- Scanner della disponibilità del repository di codice sorgente
Per evitare che la tua applicazione web espone dati sensibili, assicurati che: le password non vengono inviate in chiaro. Evita la perdita di codice sorgente non elaborato potenzialmente devastante verifica la presenza di repository di codice sorgente git e Apache Subversion esposti. Queste scansioni vengono progettata per coprire specifiche OWASP Top 10 controlli.
Web Security Scanner
Caso d'uso:
- Password non criptate trasmesse sulla rete
Web Security Scanner scansiona il tuo sito web
applicazioni e segnala errori e vulnerabilità. Se le tue
un'applicazione trasmette le password in testo in chiaro, Web Security Scanner genera una
CLEAR_TEXT_PASSWORD
risultato.
A03: Iniezione
Difetti di iniezione come SQL, NoSQL, OS e LDAP injection, si verificano quando dati non attendibili vengono inviati un interprete come parte di un comando o di una query. I dati ostili dell'aggressore possono indurre l'interprete a eseguire comandi indesiderati o ad accedere ai dati senza un'autorizzazione appropriata. Consigliamo di sanificare o filtrare i dati utente in base a l'applicazione prima che venga inviata a un interprete.
Le sezioni seguenti descrivono i prodotti Google Cloud che possono aiutarti a mitigare questo rischio.
Apigee
Caso d'uso:
- Blocco di SQL injection
- Blocco dell'iniezione NoSQL
- Blocco dell'inserimento di LDAP
- Blocco dell'iniezione di JavaScript
Apigee fornisce diversi criteri di convalida degli input per verificare che i valori forniti da un client soddisfino le aspettative configurate prima di consentire l'ulteriore elaborazione dei criteri o delle regole. Apigee, fungendo da gateway per richieste API in entrata, esegue un controllo dei limiti per garantire che la struttura del payload rientra in un intervallo accettabile. Puoi configurare un proxy API in modo che la routine di convalida dell'input trasformi l'input per rimuovere sequenze di caratteri rischiose e poi sostituiscile con valori sicuri.
Esistono diversi approcci per convalidare l'input con la piattaforma Apigee:
- JSONThreatProtection verifica la presenza di minacce nel payload JSON.
- XMLThreatProtection verifica la presenza di minacce nel payload XML.
- JavaScript consente di convalidare parametri e intestazioni.
- La Criterio RegularExpressionProtection per gestire le iniezioni di codice SQL.
- La
Norme relative a
OASValidation
convalida una richiesta o un messaggio di risposta in entrata rispetto a una soluzione OpenAPI specifica (JSON o YAML). - La
Norme relative a
SOAPMessageValidation
convalida qualsiasi messaggio XML in base agli schemi XSD e può anche Messaggi SOAP a fronte di una definizione WSDL.
Container Threat Detection
Caso d'uso:
- Rilevamento di script dannosi
- Rilevamento inverso della shell
- Rilevamento dell'installazione di malware
La
Malicious Script Executed
rilevatore di
Container Threat Detection analizza ogni shell
eseguito sul sistema e segnala quelli che sembrano dannosi. Questo
mette a disposizione un veicolo per rilevare gli attacchi di iniezione di comando shell. Dopo un successo
un'iniezione di comando shell, un aggressore può generare una shell inversa,
il rilevatore Reverse Shell
.
In alternativa, possono installare malware, che attiva il
Added Binary Executed
e
rilevatori di Added Library Loaded
.
Google Cloud Armor
Caso d'uso:
- Filtro di SQL injection
- Filtro di iniezione PHP
Google Cloud Armor può bloccare gli attacchi di iniezione comuni prima che raggiungano la tua
un'applicazione. Per SQL injection (SQLi), Google Cloud Armor ha un
insieme di regole predefinito che
si basa su
Set di regole di base OWASP Modsecurity. Puoi
creare criteri di sicurezza
che
bloccare attacchi SQLi comuni
definita nella serie di regole principali utilizzando
evaluatePreconfiguredExpr('sqli-stable')
da solo o in
in combinazione con altre regole personalizzate. Ad esempio, puoi limitare il blocco SQLi
applicazioni specifiche
un filtro del percorso degli URL.
Per l'iniezione PHP, un'altra
insieme di regole preconfigurate
esiste già. Puoi usare evaluatePreconfiguredExpr('php-stable')
per bloccare gli attacchi più comuni
con PHP injection.
A seconda dell'applicazione, l'attivazione delle espressioni preconfigurate può generare alcuni falsi positivi perché alcune delle regole della serie sono piuttosto sensibili. Per ulteriori informazioni, vedi risoluzione dei problemi relativi ai falsi positivi e come ottimizzare la serie di regole su diversi livelli di sensibilità.
Per gli attacchi injection diversi da quelli mirati a SQL o PHP, puoi creare regole personalizzate per bloccare le richieste quando parole chiave specifiche o pattern di escape in tali protocolli nel percorso di richiesta o nella query. Assicurati che questi pattern non appaiono in richieste valide. Puoi anche limitare l'utilizzo di queste regole endpoint o percorsi specifici che potrebbero interpretare i dati trasmessi a questi ultimi.
Inoltre, alcuni attacchi di iniezione possono essere mitigati utilizzando regole preconfigurate per l'esecuzione remota di codice e l'inserimento remoto dei file.
Web Security Scanner
Caso d'uso:
- Monitoraggio del cross-site scripting
- Monitoraggio per SQL injection
Web Security Scanner scansiona il tuo sito web le applicazioni per individuare le vulnerabilità e fornisce rilevatori che monitorano cross-site scripting e Iniezione SQL attacchi informatici.
A04: Design non sicuro
Design non sicuro si verifica quando le organizzazioni non implementano i mezzi per valutare e affrontare più minacce durante il ciclo di vita dello sviluppo. Modellazione delle minacce, se eseguita nelle fasi iniziali le fasi di progettazione e perfezionamento ed è proseguita per tutta la durata dello sviluppo fasi di test, aiuta le organizzazioni ad analizzare le ipotesi e i difetti di errore. R una cultura basata sull'assenza di colpe nell'apprendimento dagli errori è la chiave per garantire la progettazione.
Apigee
Casi d'uso:
- Convalida degli input
- Controlli di accesso
- Gestione dei guasti
- Norme sulla protezione dei contenuti
- Gestione delle password
Apigee ti consente di convalidare le richieste e le risposte in arrivo utilizzando OASValidation . Inoltre, per proteggere l'accesso, puoi configurare Single Sign-On (SSO) il controllo controllo dell'accesso basato sui ruoli (RBAC), limitare l'accesso alle API (utilizzando Auth0 ad esempio) e limita gli indirizzi IP per accedere al tuo ambiente. Utilizzo regole di gestione dei guasti, puoi personalizzare la reazione del proxy API agli errori.
Per proteggere da password non sicure per gli utenti globali di Apigee, Apigee fornisce funzionalità di scadenza, blocco e reimpostazione della password. Inoltre, puoi attivare l'autenticazione a due fattori (2FA).
API Cloud Data Loss Prevention (parte di Sensitive Data Protection)
Caso d'uso:
- Identifica e oscura i dati riservati
Con l'API Cloud Data Loss Prevention puoi: identificare i dati riservati e tokenizzarli. L'API DLP può aiutarti a limitare l'esposizione dei dati riservati, perché dopo che i dati sono tokenizzati e archiviati, puoi configurare i controlli dell'accesso per limitare chi può visualizzare i dati. Per ulteriori informazioni, vedi Automatizzare la classificazione dei dati caricati su Cloud Storage e Anonimizzazione e reidentificazione delle PII in set di dati su larga scala utilizzando Sensitive Data Protection.
Secret Manager
Caso d'uso:
- Proteggere l'archiviazione delle credenziali
Secret Manager consente ad applicazioni e pipeline di accedere ai valori dei secret denominati in base a autorizzazioni concesse con IAM. Fornisce inoltre accesso programmatico ai secret processi automatizzati possono accedere ai valori dei secret. Quando questa impostazione è attiva, ogni interazione con Secret Manager fornisce un audit trail. Utilizza questi audit trail con esigenze forensi e di conformità.
Web Security Scanner
Caso d'uso:
- Identifica le vulnerabilità della sicurezza nelle tue applicazioni.
Web Security Scanner
analizza le tue applicazioni web per rilevare eventuali vulnerabilità. Segue i link e i tentativi
di esercitare il maggior numero possibile di input dell'utente e gestori di eventi. È
Il rilevatore CACHEABLE_PASSWORD_INPUT
genera un
per scoprire se le password inserite nell'applicazione web possono essere memorizzate nella cache in un
della cache del browser anziché di archiviazione sicura delle password.
A05: Configurazione errata della sicurezza
Configurazione errata della sicurezza si riferisce a difetti delle applicazioni senza patch, account predefiniti aperti e account non protetti file e directory che in genere possono essere impediti con l'applicazione dell'intensificazione. Gli errori di configurazione della sicurezza possono verificarsi in molti modi, ad esempio configurazioni predefinite, creazione di configurazioni parziali che potrebbero non essere sicure, Lasciare che i messaggi di errore contengano dettagli sensibili, l'archiviazione dei dati nel cloud senza adeguati controlli di sicurezza o con una configurazione errata delle intestazioni HTTP.
Apigee
Caso d'uso:
- Gestisci le configurazioni di sicurezza
- Monitora le configurazioni di sicurezza
R flusso condiviso consente agli sviluppatori di API di combinare criteri e risorse in un gruppo riutilizzabile. Di l'acquisizione di funzionalità riutilizzabili in un unico posto, un flusso condiviso ti aiuta a coerenza, ridurre i tempi di sviluppo e gestire più facilmente il codice. Puoi includi un flusso condiviso all'interno di singoli proxy API utilizzando un Norme relative ai callout di flusso oppure puoi inserire flussi condivisi hook di flusso eseguire automaticamente una logica di flusso condivisa per ogni proxy API di cui è stato eseguito il deployment nello stesso completamente gestito di Google Cloud.
Cloud Asset Inventory
Caso d'uso:
- Servizio di notifica in tempo reale
Notifiche in tempo reale può avvisarti del provisioning imprevisto di risorse che potrebbe non essere corretto protetti o non autorizzati.
Cloud Load Balancing
Caso d'uso:
- Controllo granulare della crittografia SSL e TLS
Impedisci l'utilizzo di crittografie SSL o TLS vulnerabili L'assegnazione di un gruppo predefinito o di un elenco personalizzato di crittografie utilizzabili da un bilanciatore del carico.
Google Cloud Armor
Caso d'uso:
- Filtra endpoint non sicuri
- Filtra gli attacchi di inclusione di file locali o remoti
- Filtra attacchi al protocollo
Poiché le configurazioni errate della sicurezza possono verificarsi a livello di applicazione, OWASP Foundation consiglia il miglioramento della protezione e l'applicazione di patch alla tua applicazione direttamente rimuovendo tutte le funzionalità non necessarie.
Sebbene un web application firewall (WAF), come Google Cloud Armor, non possa a correggere l'errata configurazione sottostante, puoi bloccare l'accesso a parti completamente o per tutti, tranne indirizzi IP specifici paesi. La limitazione dell'accesso può ridurre il rischio di configurazioni errate sfruttata.
Ad esempio, se la tua applicazione espone un'interfaccia di amministrazione utilizzando un
URL comune come /admin
, puoi limitare l'accesso a questa interfaccia anche se
viene autenticato. Puoi farlo con una regola di negazione, ad esempio:
request.path.contains("/admin") && !(inIpRange(origin.ip, '1.2.3.4/32')
Sostituisci 1.2.3.4/32
con l'indirizzo IP
che dovrebbe avere accesso all'interfaccia di amministrazione.
Alcuni errori di configurazione possono essere parzialmente mitigati utilizzando
set di regole di inclusione di file (LFI) o di inclusione remota di file (RFI). Ad esempio:
sfruttamento di Juice Shop
imaging cross-site
la verifica non ha esito positivo quando viene applicato il set di regole LFI. Utilizza la
Regola evaluatePreconfiguredExpr('lfi-stable') ||
evaluatePreconfiguredExpr('rfi-stable')
per bloccare le richieste tramite LFI
e RFI,
ottimizzare le regole
in base alle necessità. Puoi verificare che
soluzione delle sfide
non riesce più.
Alcuni attacchi HTTP possono anche essere mitigati utilizzando set di regole preconfigurati:
- Da evitare
Manomissione verbo HTTP
utilizza l'insieme di regole per l'applicazione
del metodo (in anteprima). Utilizza la
evaluatePreconfiguredExpr('methodenforcement-stable')
regola da non consentire Metodi di richiesta HTTP diversi daGET
,HEAD
,POST
eOPTIONS
- Per bloccare attacchi comuni contro l'analisi e i proxy HTTP, quali
Smuggling delle richieste HTTP
Suddivisione delle risposte HTTP
e
iniezione di intestazioni HTTP,
la serie di regole di attacco del protocollo
evaluatePreconfiguredExpr('protocolattack-stable')
.
Security Health Analytics
Caso d'uso:
- Monitoraggio e avvisi nel controllo di sicurezza
Monitoraggio decine di indicatori attraverso un'unica interfaccia per far sì che la tua applicazione mantenga la sicurezza best practice.
Web Security Scanner
Caso d'uso:
- Scanner di applicazioni web su misura per OWASP Top 10
- Errori di configurazione del server HTTP
- Contenuti HTTP/HTTPS misti
- Entità esterna XML (XXE)
Web Security Scanner monitora gli errori di sicurezza più comuni, ad esempio incoerenze nei tipi di contenuto, intestazioni di sicurezza non valide e contenuti misti. in fase di pubblicazione. Web Security Scanner monitora anche le vulnerabilità, come XXE vulnerabilità. Queste scansioni vengono progettato per coprire i 10 controlli principali di OWASP. I seguenti rilevatori analizzano la sicurezza configurazioni errate:
INVALID_CONTENT_TYPE
INVALID_HEADER
MISMATCHING_SECURITY_HEADER_VALUES
MISSPELLED_SECURITY_HEADER_NAME
MIXED_CONTENT
XXE_REFLECTED_FILE_LEAKAGE
Per ulteriori informazioni su questi e altri rilevatori, vedi Panoramica di Web Security Scanner.
R06: Componenti vulnerabili e obsoleti
Componenti con vulnerabilità note è una categoria di vettori d'attacco generici e queste vulnerabilità sono le migliori mitigato mediante il monitoraggio e l'upgrade rapido di tutta l'applicazione componenti.
Autorizzazione binaria
Caso d'uso:
- Limita i cluster GKE a container attendibili
Autorizzazione binaria è un controllo di sicurezza in fase di deployment che aiuta a garantire viene eseguito il deployment in Google Kubernetes Engine (GKE) solo delle immagini container attendibili. Con Autorizzazione binaria, puoi richiedere che le immagini siano firmate le autorità competenti durante il processo di sviluppo e poi applicare la convalida della firma durante il deployment. Se applichi la convalida, puoi avere la certezza che il tuo il processo di build e rilascio utilizza solo immagini verificate.
Cloud Load Balancing
Caso d'uso:
- Controllo granulare della crittografia SSL e TLS
Impedisci l'uso di crittografie SSL o TLS vulnerabili assegnando un valore predefinito un gruppo o un elenco personalizzato di crittografie che Cloud Load Balancing può utilizzare.
Container Threat Detection
Caso d'uso:
- Rilevamento di script dannosi
- Rilevamento inverso della shell
- Rilevamento dell'installazione di malware
Se un aggressore sfrutta un componente vulnerabile ed esegue uno script dannoso,
Malicious Script Executed
rilevatore di
Container Threat Detection genera un risultato.
Se un aggressore genera un shell inversa,
Il rilevatore Reverse Shell
genera un risultato.
Se un utente malintenzionato installa malware,
Added Binary Executed
e
I rilevatori Added Library Loaded
generano risultati.
Event Threat Detection
Caso d'uso:
- Rilevamento del cryptomining
- Rilevamento di malware
- Esfiltrazione di dati
- DoS in uscita
Event Threat Detection monitora il flusso di Cloud Logging e applica la logica di rilevamento e intelligence sulle minacce a un livello granulare. Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center e in un progetto Cloud Logging. La le seguenti regole di rilevamento sono utili rilevamento degli effetti dell'utilizzo di componenti con vulnerabilità note:
- Cryptomining. Rileva il cryptomining in base alle richieste DNS o alla connessione a di data mining noti.
- Malware. Rileva le richieste DNS basate su malware o la connessione a malware noti indirizzi IP esterni.
- esfiltrazione in una tabella esterna. Rileva le risorse salvate all'esterno dell'organizzazione, incluse le operazioni di copia o trasferimento.
- DoS in uscita Rileva le vulnerabilità sfruttate che tentano di rifiutare di attacchi ai servizi.
Google Cloud Armor
Caso d'uso:
- Blocca l'accesso agli endpoint dell'applicazione inutilizzati
- Blocca i vettori d'attacco comuni
Non è consigliabile utilizzare un web application firewall (WAF) come Google Cloud Armor un'unica strategia di mitigazione per bloccare gli attacchi contro questa categoria, gli attacchi sono spesso specifici delle librerie e non possono essere bloccati da una regola preconfigurata o non è possibile applicare patch sul lato server. Monitoraggio e upgrade regolari di tutti componenti della tua applicazione è l'unica opzione per mitigare questo tipo di le vulnerabilità.
Tuttavia, Google Cloud Armor può aiutare a mitigare alcuni attacchi comuni più vulnerabili tramite le sue regole preconfigurate per l'esecuzione remota di codice, l'inclusione locale o remota di file.
Se sei a conoscenza di componenti vulnerabili della tua applicazione ma non riesci a modificare puoi bloccare l'accesso a queste parti dell'applicazione per ridurre temporaneamente il rischio di exploit di questi componenti. Crea un modello personalizzato che corrisponde al percorso dell'URL o alle query che accedono a queste componenti e negare l'accesso. Se hai bisogno di accedere a questi componenti per località o utenti specifici, puoi comunque consentire per accedere a questi componenti. Una regola che utilizza il percorso dell'URL è simile a: le seguenti:
`request.path.contains("/component") && !(inIpRange(origin.ip, '1.2.3.4/32')
Sostituisci quanto segue:
/component
: il percorso del componente con le chiavi note vulnerabilità1.2.3.4/32
: l'intervallo di indirizzi IP che deve mantenere e l'accesso all'interfaccia.
Se ci sono parti della tua applicazione, ad esempio directory o file ai quali gli utenti finali non devono mai accedere. Puoi anche bloccare o limitare l'accesso a queste risorse con una regola personalizzata, mitigare in modo proattivo il rischio se questi componenti diventano vulnerabili nel per il futuro.
Bollettini sulla sicurezza di Google Cloud
Caso d'uso:
- Monitoraggio del bollettino sulla sicurezza
- CVE per i prodotti Google Cloud
Bollettini sulla sicurezza di Google Cloud rappresentano una fonte autorevole per i bollettini sulla sicurezza che in Google Cloud. I post includono informazioni di base, link CVE e per ulteriori azioni.
Web Security Scanner
Caso d'uso:
- Librerie obsolete
- Dashboard dei risultati e delle vulnerabilità
Monitora le librerie obsolete incluse nella tua applicazione web. Monitora questi risultati nella dashboard di Security Command Center.
A07: Errori di identificazione e autenticazione
Errori di identificazione e autenticazione sono rischi comuni perché l'autenticazione dell'applicazione spesso non sono implementati correttamente. Gli aggressori possono sfruttare difetti di implementazione, ad esempio password, chiavi e token di sessione compromessi, per assumere temporaneamente o in modo permanente l'identità degli altri utenti le identità di altro tipo.
Access Transparency
Caso d'uso:
- Monitoraggio del fornitore di servizi
- Motivazioni dell'accesso
Di solito, per ricevere assistenza pratica da fornitori esterni dovevi concedere e condividere credenziali temporanee, il che crea il potenziale per credenziali trapelate. Access Approval è un servizio integrato che consente di approvare o rifiutare le richieste di accesso da parte dei dipendenti Google per fornire assistenza per il tuo account. Ogni richiesta di accesso include una giustificazione dell'accesso, puoi visualizzare il motivo di ciascun accesso, inclusi i riferimenti all'assistenza ticket di assistenza.
Apigee
Caso d'uso:
- Convalida delle chiavi
- Convalida dei token
- Criteri OAuth
Apigee fornisce criteri VerifyApiKey, OAuth e JSON Web Token (JWT), che per proteggerti da questo rischio.
Convalida delle chiavi API è la forma di sicurezza basata su app più semplice che può essere configurata per un'API. R un'applicazione client presenta una chiave API con la sua richiesta. Apigee Edge, tramite un criterio collegata a un proxy API, verifica che la chiave API sia in stato approvato per la risorsa richiesta.
OAuth 2.0 di autorizzazione consente a un'applicazione di terze parti di ottenere a un servizio HTTP, per conto di un proprietario di risorse mediante l'orchestrazione un'interazione di approvazione tra il proprietario della risorsa e il servizio HTTP oppure consentendo all'applicazione di terze parti di ottenere l'accesso.
Token web JSON o JWT, vengono comunemente utilizzati per condividere rivendicazioni o affermazioni tra diverse applicazioni. Apigee fornisce il supporto JWT utilizzando tre criteri.
Event Threat Detection
Caso d'uso:
- Rilevamento di forza bruta
- Rilevamento di abusi IAM
Event Threat Detection monitora il flusso di Cloud Logging e applica la logica di rilevamento e l'intelligence sulle minacce di proprietà a un livello granulare. Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center e Cloud Logging il progetto che preferisci. Le seguenti tipi di evento sono utili per identificare l'autenticazione non funzionante:
- Forza bruta SSH. Rileva la forza bruta di SSH su un host.
- Concessione anomala. Rileva i privilegi concessi a identità e accesso Utenti di gestione (IAM) esterni all'organizzazione Google Cloud.
Google Cloud Armor
Caso d'uso:
- Limita l'accesso agli endpoint di autenticazione
- Limita l'uso non autorizzato dei token
Attacchi contro le vulnerabilità classificate come "inaccessibili" i rischi di autenticazione sono meglio mitigati a livello di applicazione o da altri i controlli di sicurezza. Tuttavia, Google Cloud Armor può contribuire a limitare la superficie di attacco bloccare i vettori di attacco noti.
Ad esempio, se la tua applicazione ha una base utenti limitata e questi utenti vengono da un insieme noto di indirizzi IP o paesi, puoi creare criteri di sicurezza che limita l'accesso alla tua applicazione da parte degli utenti da quei blocchi di indirizzi IP paesi. Questo criterio può contribuire a ridurre i rischi della scansione automatica da endpoint al di fuori di queste aree.
Se altri meccanismi di sicurezza rilevano che password, chiavi o token di sessione
sono state compromesse, puoi bloccare l'accesso per le richieste che le contengono
in una stringa di query utilizzando
regola personalizzata.
Puoi aggiornare le regole che hai definito in precedenza utilizzando
securityPolicy.patchRule
. Potresti riuscire a identificare i potenziali token rubati utilizzando un'anomalia
i meccanismi di rilevamento
Log del bilanciamento del carico HTTP.
Puoi anche rilevare potenziali utenti malintenzionati scansionando le password più comuni nel
i log.
Puoi bloccare gli attacchi comuni di fissazione delle sessioni utilizzando il metodo
set di regole ModSecurity preconfigurate per la correzione della sessione.
Puoi utilizzare la serie di regole aggiungendo il campo
evaluatePreconfiguredExpr('sessionfixation-stable')
regola per la tua sicurezza
.
Se la tua applicazione include modifiche della password nella stringa di query, puoi anche
bloccare l'uso di password comuni tramite un
regola personalizzata
che corrisponde all'attributo request.query
. Tuttavia, questi controlli sono molto migliori
implementato sul lato applicazione, se possibile.
Identity-Aware Proxy (IAP)
Caso d'uso:
- Controllo degli accessi centralizzato
- Compatibile con cloud e on-premise
- Protezione delle connessioni HTTP e TCP
- Accesso sensibile al contesto
IAP si integra con il bilanciamento del carico HTTP(S) per consentirti di utilizzare identità e contesto per formare una barriera di autenticazione e autorizzazione sicura intorno alla tua applicazione. Impedisci l'interruzione dell'autenticazione sul tuo pubblico eseguendo il provisioning degli utenti esterni Identity Platform (per ulteriori informazioni, consulta la sezione seguente).
È inoltre possibile impedire l'interruzione dell'autenticazione alle interfacce amministrative per proteggerli con Identity-Aware Proxy e con l'autenticazione degli utenti di cui è stato eseguito il provisioning con Identity and Access Management o Cloud Identity. Qualsiasi tentativo di accesso allo strumento comporta un tentativo di autenticazione registrato seguito da un controllo dell'autorizzazione per verificare che all'utente autenticato sia consentito. per accedere alla risorsa richiesta.
Identity Platform
Caso d'uso:
- Autenticazione come servizio
- Autenticazione a più fattori
- SLA Enterprise
- Ampio supporto per protocollo
- Intelligence sulla protezione dell'Account Google
Identity Platform rappresenta l'identità e l'accesso di gestione dei dati (GIAC) per i clienti di Google Cloud. Identity Platform consente di fornire l'autenticazione sicura come servizio con il supporto multiprotocollo tramite SDK e API. Offre un approccio multi-fattore l'autenticazione, l'integrazione con servizi di autenticazione di terze parti e il monitoraggio delle attività verificabili.
reCAPTCHA
Caso d'uso:
- Tentativi di accesso automatici
- Appropriazione di contenuti
- Credential stuffing
- Transazioni fraudolente
- Manomissione dell'account
- Account falsi
- Riciclaggio di denaro
reCAPTCHA fornisce un filtro altamente efficace contro bot e altre forme di automazione e il traffico in blocco assegnando un punteggio al livello di rischio dei tentativi di accesso. Puoi ottimizzare il modello specifico per il tuo sito con un feedback automatico. reCAPTCHA adatta i punteggi futuri in base al sito.
Security Health Analytics
Caso d'uso:
- Applicazione MFA/2FA
- Protezione delle chiavi API
- Applicazione rotazione della chiave API
Security Command Center aiuta a prevenire l'interruzione dell'autenticazione monitorando l'autenticazione multi-fattore la conformità dell'autenticazione e l'integrità delle tue chiavi API. Puoi identificare richieste sospette e bloccarli o segnalarli per una gestione speciale.
Token di sicurezza Titan
Caso d'uso:
- Autenticazione a due fattori (2FA) anti-phishing
- Autenticazione tramite PC e dispositivi mobili
I token di sicurezza Titan utilizzano la crittografia a chiave pubblica per verificare l'identità di un utente e l'URL della pagina di accesso per assicurarti che i malintenzionati non possano accedere al tuo anche se ti è stato indotto con l'inganno fornendo il tuo nome utente e la tua password.
Web Security Scanner
Caso d'uso:
- Perdita di identificatori di sessione
Web Security Scanner analizza le tue applicazioni web per rilevare vulnerabilità come fuga di ID sessione, che consentono ad altre parti di impersonare o identificare in modo univoco un utente.
A08: Errori relativi all'integrità dei dati e del software
Gli errori relativi all'integrità dei dati e del software possono verificarsi quando i controlli di integrità non vengono effettuati durante gli aggiornamenti del software, l'elaborazione di dati riservati o qualsiasi altro processo nella pipeline CI/CD.
Artifact Registry
Caso d'uso:
- Centralizza gli artefatti in un unico luogo attendibile
- Utilizza la gestione delle versioni, l'analisi delle vulnerabilità e i flussi di lavoro di approvazione
Artifact Registry è una singola posizione per il tuo per gestire le immagini container e i pacchetti di linguaggio (come Maven e npm). Si può integrare con gli strumenti di sviluppo esistenti e fornisce analisi delle vulnerabilità dei container utilizzando Artifact Analysis.
Autorizzazione binaria
Caso d'uso:
- Assicurati che venga eseguito il deployment solo di container attendibili
Autorizzazione binaria verifica l'integrità dei container in modo che viene eseguito il deployment delle immagini container. Puoi creare criteri per consentire o negare di deployment in base alla presenza o all'assenza di attestazioni. Autorizzazione binaria applica i criteri a livello di cluster, quindi puoi configurare a criteri diversi per ambienti diversi. Questa distinzione consente progressivi di attestazione man mano che gli ambienti si avvicinano alla produzione.
Cloud Asset Inventory
Caso d'uso:
Servizio di ricerca
Accedi allo strumento di analisi
Uno dei vettori più comuni per l'esposizione dei dati è l'IT orfani o non autorizzato dell'infrastruttura. Puoi identificare i server che nessuno gestisce e i bucket con regole di condivisione eccessiva basata sull'analisi dei dati delle serie temporali degli asset cloud.
Configura notifiche in tempo reale per avvisarti in caso di provisioning imprevisto delle risorse. che potrebbero essere protetti in modo inadeguato o non autorizzati.
Cloud Build
Caso d'uso:
Rivedi le modifiche al codice
Esegui test
Standardizza i deployment delle build
Cloud Build consente di creare una configurazione di compilazione per fornire istruzioni sul deployment della build, tra cui l'esecuzione di analisi statiche, test di integrazione e così via.
Google Cloud Armor
Caso d'uso:
- Blocca l'esecuzione di codice remoto
Poiché la maggior parte degli attacchi contro software e integrità dei dati sono specifici delle applicazioni, esistono solo pochi modi per mitigare questi attacchi, ad esempio utilizzando una web application firewall (WAF) come Google Cloud Armor. OWASP consiglia non si accettano oggetti serializzati da fonti non attendibili. Se possibile, puoi limita gli endpoint che accettano questi oggetti a un insieme di indirizzi IP attendibili una regola di negazione simile alla seguente:
request.path.contains("/endpoint") && !(inIpRange(origin.ip, '1.2.3.4/32')
Sostituisci quanto segue:
/endpoint
: il percorso dell'endpoint che accetta oggetti serializzati1.2.3.4/32
: l'intervallo di indirizzi IP che deve mantenere e l'accesso all'interfaccia.
Per mitigare gli attacchi tipici all’integrità di software e dati che utilizzano
esecuzione di codice (RCE), utilizza la serie di regole predefinita contro gli attacchi RCE. Puoi
usa la regola evaluatePreconfiguredExpr('rce-stable')
per bloccare RCE comuni
attacchi contro UNIX e i shell di Windows.
Gli attacchi RCE descritti Sfide di Juice Shop per le deserializzazioni non sicure eseguire funzioni ed espressioni regolari in Node.js sul server. Questi tipi di gli attacchi non sono bloccati dalla serie di regole RCE predefinita e regola OWASP Modsecurity e deve essere mitigata dall'uso di patch sul server o regole personalizzate.
VirusTotal
Caso d'uso:
- Scansione dei dati non attendibile
L'API VirusTotal consente di caricare e analizzare i file alla ricerca di malware. Puoi scansionare immagini, documenti, file binari e altri dati non attendibili prima di essere elaborati per eliminare determinate categorie di input dannosi.
Web Security Scanner
Caso d'uso:
- deserializzazione non sicura
Web Security Scanner
analizza le tue applicazioni web per rilevare eventuali vulnerabilità. Per
Ad esempio, se utilizzi un server Apache Struts
che rende l'applicazione vulnerabile agli attacchi di tipo Remote Command injection,
Web Security Scanner genera
STRUTS_INSECURE_DESERIALIZATION
risultato.
A09: Errori di logging e monitoraggio di sicurezza
Se non registrare, monitorare o gestire gli incidenti in modo adeguato sistemi, i malintenzionati possono eseguire attacchi più profondi e prolungati ai dati e il software.
Access Transparency
Caso d'uso:
- Monitoraggio e controllo degli accessi del fornitore di servizi
- Motivazioni dell'accesso
- Identificazione di metodi e risorse
L'impossibilità di controllare l'accesso del cloud provider può rappresentare un ostacolo alla migrazione da on-premise al cloud. Access Transparency consente la verifica del cloud provider l'accesso diretto, avvicinando i controlli di audit alle condizioni on-premise. Puoi registrare il motivo di ciascun accesso, inclusi i riferimenti all'assistenza pertinente ticket di assistenza. Nomi di identificazione di risorse e metodi a cui si accede e i metodi eseguiti da ciascun amministratore. Access Approval ti consente di approvare o rifiutare le richieste di accesso da dipendenti Google che lavorano per fornire assistenza ai tuoi servizi.
Apigee
Caso d'uso:
- Esporta i log Apigee in SIEM
- Usa la UI di monitoraggio di Apigee
- Segui le best practice di monitoraggio
Apigee offre diversi modi per eseguire il logging, il monitoraggio, la gestione degli errori e Log di controllo:
- Logging
- I messaggi di log possono essere inviati a Splunk o ad altri endpoint syslog utilizzando Criterio MessageLogging.
- I dati di analisi delle API possono essere estratti API analytics e importati o esportato in altri sistemi.
- In Edge per il cloud privato, puoi utilizzare il criterio MessageLogging scrivere nei file di log locali. I file di log di ogni pod in esecuzione sono disponibili anche componenti.
- La Criterio JavaScript può essere utilizzato per inviare messaggi di log a un endpoint di logging REST in modo sincrono o asincrono.
- Monitoraggio
- Utilizza la Monitoraggio delle API UI o API per monitorare regolarmente API e backend e attivare avvisi.
- Utilizza le funzionalità di monitoraggio stato di salute per monitorare regolarmente i backend dei server di destinazione.
- Apigee offre consigli per il monitoraggio di Edge per il cloud privato.
- Apigee offre inoltre best practice che il tuo team può sfruttare per monitorare il programma API.
- Gestione degli errori
- Apigee offre una piattaforma potente e versatile meccanismo di gestione dei guasti per i proxy API. In modo simile a come un programma Java rileva le eccezioni, I proxy API possono rilevare errori e determinare come restituire gli errori risposte personalizzate ai clienti.
- La gestione personalizzata degli errori di Apigee ti consente di aggiungere funzionalità come come logging dei messaggi ogni volta che si verifica un errore.
- Log di controllo
- La piattaforma Apigee mantiene un audit log che tiene traccia delle modifiche Proxy API, prodotti e cronologia dell'organizzazione.
- Questo log è disponibile tramite l'UI o tramite API di gestione.
Google Security Operations
Caso d'uso:
- Rilevamento delle minacce
- Preavviso
I team di sicurezza possono inviare i dati di telemetria sulla sicurezza a Google Security Operations per consentirti applica regole di rilevamento efficaci in un set di dati unificato.
Protezione dei dati sensibili
Caso d'uso:
- Mascheramento automatico dei dati sensibili
Identifica le informazioni sensibili alla conformità nei flussi di log e mascherare o trasformare in modo appropriato prima di archiviarli nei log. Ad esempio, un messaggio di errore o il core dump potrebbe contenere informazioni sensibili, quali numeri di carte di credito o informazioni che consentono l'identificazione personale che devono essere mascherate.
Cloud Key Management Service
Caso d'uso:
- Logging degli eventi di richiesta della chiave di crittografia
- Motivazioni dell'accesso
Motivazioni per l'accesso alle chiavi ti offrono visibilità storica di ogni richiesta di una chiave di crittografia registrando la giustificazione dichiarata e una documentazione di approvazione o rifiuto richiesta.
Cloud Logging
Caso d'uso:
- Aggregazione dei log
- Archiviazione dei log
- Ricerca nei log
- Analisi dei log
Cloud Logging ti consente di Archiviare, cercare, analizzare, monitorare e creare avvisi su dati ed eventi di logging di Google Cloud e Amazon Web Services. Include l'accesso ai Servizio BindPlane, che puoi utilizzare per raccogliere dati di logging da oltre 150 componenti delle applicazioni comuni, sistemi on-premise e sistemi cloud ibrido.
Cloud Monitoring
Caso d'uso:
- Monitoraggio dei log
- Avvisi di eventi
Cloud Monitoring offre visibilità su prestazioni, uptime e l'integrità complessiva delle applicazioni basate su cloud. Offre un monitoraggio dashboard, monitor di eventi e avvisi su più canali.
Cloud Source Repositories
Caso d'uso:
- Attribuzione della modifica del codice
- Accedi a log di controllo
Ottieni insight su quali azioni sono state eseguite nel repository, ad esempio dove e quando, con Cloud Audit Logs generati da Cloud Source Repositories.
Error Reporting
Caso d'uso:
- Acquisisci errori interni dell'applicazione in Cloud Logging
- Raccogli report sugli arresti anomali al di fuori dell'istanza di calcolo che si è arrestata in modo anomalo
Gli errori interni dell'applicazione possono essere indicativi di un problema di sicurezza, guasto funzionalità o tentativi di aggirare la sicurezza. Error Reporting conteggia, analizza e aggrega gli arresti anomali dei servizi cloud in esecuzione. R un'interfaccia centralizzata di gestione degli errori che visualizza i risultati funzionalità di filtro. Una visualizzazione dedicata mostra i dettagli dell'errore, ad esempio grafico temporale, occorrenze, utente interessato conteggio, data della prima e dell'ultima occorrenza e analisi pulita dello stack di eccezioni. Attiva per ricevere avvisi via email e su dispositivi mobili sui nuovi errori.
Event Threat Detection
Caso d'uso:
- Forza bruta
- Cryptomining
- Illeciti IAM
- Malware
- Phishing
Event Threat Detection monitora il flusso di Cloud Logging e applica la logica di rilevamento e l'intelligence sulle minacce di proprietà a un livello granulare. Event Threat Detection identifica le voci più significative nei log e le alza per la revisione. Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center e in Cloud Logging progetto.
Google Cloud Armor
Caso d'uso:
- Logging dei criteri di sicurezza
- Dashboard di Monitoring
- Avvisi sulle anomalie di traffico
I log delle richieste di Google Cloud Armor fanno parte Cloud Logging per bilanciatori del carico delle applicazioni esterni Per avere accesso alle informazioni di logging, ad esempio la regola del criterio di sicurezza corrispondente traffico: abilita il logging su tutti i servizi di backend a cui è collegata la sicurezza criteri. Utilizza le regole in modalità anteprima per testarli e registrare i risultati senza applicarne gli effetti.
Google Cloud Armor offre anche il monitoraggio delle dashboard per i criteri di sicurezza che ti consentono di ottenere una panoramica della quantità di traffico è stata approvata o rifiutata da uno dei tuoi criteri di sicurezza. Google Cloud Armor pubblica risultati di anomalie di traffico, come i picchi di traffico consentito o l'aumento del traffico negato in Security Command Center.
Google Cloud Armor scrive automaticamente Audit log delle attività di amministrazione che registrano le operazioni che modificano la configurazione o i metadati di una risorsa. Questo servizio può essere configurato anche scrivere audit log di accesso ai dati che contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché chiamate API basate sull'utente che creano, modificano o leggono i contenuti forniti dall'utente e i dati delle risorse.
Identity Platform
Caso d'uso:
- Registri di controllo dell'attività di amministrazione
- Registri di controllo degli accessi ai dati
- Audit log degli eventi di sistema
- Audit log dei criteri negati
- Log delle attività di autenticazione
Identity Platform è la piattaforma di identità e accesso rivolta agli utenti di Google Cloud piattaforma di gestione che registra le attività di autenticazione per impostazione predefinita.
Abilita diversi audit log efficaci tra cui attività di amministrazione, accesso ai dati, eventi di sistema e autenticazione negata tentativi.
Security Command Center
Caso d'uso:
- Monitoraggio degli avvisi
- Gestione delle minacce
- Reporting sull'analisi delle vulnerabilità
- Monitoraggio della conformità
- Monitoraggio degli asset
- Risultati della scansione della sicurezza
Visualizza il numero totale di risultati nella tua organizzazione per livello di gravità nella nel riquadro Panoramica. Usa la dashboard delle minacce per esaminare gli eventi potenzialmente dannosi nelle risorse Google Cloud della tua organizzazione. Visualizza Security Health Analytics risultati e raccomandazioni nella scheda Vulnerabilità.
Grazie alla dashboard Conformità, puoi monitorare continuamente la conformità controlli di sicurezza da PCI-DSS, CIS Google Cloud Computing Foundations Benchmark, e altro ancora. La visualizzazione Asset fornisce una visualizzazione dettagliata di tutti i servizi Google Cloud di risorse, chiamate asset, della tua organizzazione. La scheda Asset ti consente di visualizzare asset per l'intera organizzazione oppure filtrarli all'interno di uno specifico progetto, per tipo di asset o per tipo di modifica. Infine, la scheda Risultati mostra un inventario dettagliato dei risultati per tutti gli asset dell'organizzazione, potenziali rischi per la sicurezza.
A10: Falsificazione delle richieste lato server (SSRF)
Un attacco SSRF si verifica quando un utente malintenzionato costringe un server vulnerabile ad attivare richieste dannose e indesiderate verso server di terze parti o risorse interne. Gli errori SSRF possono verificarsi quando un'applicazione web recupera una risorsa remota senza convalidare l'URL fornito dall'utente.
Apigee
Caso d'uso:
- Blocca gli attacchi SSRF utilizzando LFI o RFI
Apigee dispone di parser XML e JSON integrati che utilizzano XPath o JSONPath per estrarre i dati. Ha un criterio XMLThreatProtection per proteggere da payload XML dannosi e un criterio JSONThreatProtection per proteggere da payload JSON dannosi.
Apigee Criterio ETL (ExtractVariables) ti consente di estrarre i contenuti da una richiesta o di una risposta e assegnarli in una variabile. Puoi estrarre qualsiasi parte del messaggio, tra cui intestazioni, URI percorsi, payload JSON e XML, parametri del modulo e parametri di ricerca. Le norme applica un pattern di testo ai contenuti del messaggio e quando trova , imposta una variabile con il contenuto del messaggio specificato.
Google Cloud Armor
Caso d'uso:
- Filtra gli attacchi SSRF utilizzando LFI o RFI
Poiché gli attacchi SSRF possono essere complessi e avere forme diverse, la mitigazione dei le possibilità dei web application firewall sono limitate. Gli attacchi sono migliori mitigato mediante l'applicazione di patch ai parser XML o JSON, il divieto di entità esterne e la limitazione Trasferimenti di dati XML o JSON su server web pubblici almeno. Tuttavia, a seconda all'applicazione e al tipo di attacco, Google Cloud Armor può ancora contro l'esfiltrazione di dati e altri impatti.
Anche se non esistono regole
Set di regole di base OWASP ModeSecurity
per difenderti specificamente dagli attacchi SSRF,
regole di inclusione locale di file (LFI) e di inclusione remota di file (RFI)
possono aiutare contro alcuni di questi attacchi. Per impedire a un utente malintenzionato di recuperare file locali sul server, utilizza la regola evaluatePreconfiguredExpr('lfi-stable')
in un criterio di sicurezza di Google Cloud Armor.
La Sfida SSRF Juice Shop utilizza la tecnologia di inclusione file remota preconfigurata (RFI) o l'inclusione locale dei file (LFI) per contribuire a mitigare alcuni di questi attacchi perché bloccano inclusione di URL o di path traversal. Ad esempio, la seguente regola abilita entrambe le serie di regole:
evaluatePreconfiguredExpr('lfi-stable') ||
evaluatePreconfiguredExpr('rfi-stable')
Quando viene implementata una regola di questo tipo, per la sfida SSRF smette di funzionare.
Controlli di servizio VPC
Caso d'uso:
- Perimetri di rete per segmentare i server
Per ridurre l'impatto degli attacchi SSRF, puoi utilizzare Controlli di servizio VPC per creare perimetri che segmentano i server da altre risorse dell'organizzazione. Questi perimetri offrono protezione contro l'esfiltrazione di dati. Quando vengono eseguite in modalità di applicazione forzata, le richieste API ai servizi limitati non attraversano il confine del perimetro, a meno che non vengano soddisfatte le condizioni delle regole in entrata e in uscita necessarie del perimetro.
Firewall Virtual Private Cloud (VPC)
Caso d'uso:
- Applicare criteri firewall "nega per impostazione predefinita" o regole di controllo dell'accesso alla rete per bloccare tutto il traffico intranet tranne quello essenziale.
I firewall VPC si applicano al traffico in entrata e in uscita per i progetti e la rete VPC. Puoi creare regole firewall che bloccano tutto il traffico tranne quello che vuoi consentire. Per ulteriori informazioni, consulta la panoramica delle regole firewall VPC.
Web Security Scanner
Caso d'uso:
- Monitoraggio di applicazioni web
Web Security Scanner
analizza le tue applicazioni web per rilevare eventuali vulnerabilità. Per
Ad esempio, se la tua applicazione è vulnerabile alla falsificazione delle richieste lato server,
Web Security Scanner genera
SERVER_SIDE_REQUEST_FORGERY
risultato.
Passaggi successivi
- Protezione di applicazioni web e API su Google Cloud
- Top 10 di OWASP
- Bollettini sulla sicurezza di Google Cloud
- Centro best practice per la sicurezza di Google Cloud
- Offerte relative alla conformità
- Benchmark CIS per Google Cloud
- Security Command Center
- Apigee
- Google Cloud Armor
- Tutti i prodotti per la sicurezza di Google Cloud
- Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Dai un'occhiata al nostro Centro architetture cloud.