Dokumen ini membantu Anda mengidentifikasi produk Google Cloud dan strategi mitigasi yang dapat membantu melindungi Anda dari serangan tingkat aplikasi umum yang dijelaskan dalam 10 Teratas OWASP. 10 Teratas OWASP adalah daftar dari Open Web Application Security (OWASP) Foundation yang berisi 10 risiko keamanan teratas yang harus diperhatikan oleh setiap pemilik aplikasi. Meskipun tidak ada produk keamanan yang dapat menjamin perlindungan penuh terhadap risiko ini, penerapan produk dan layanan ini, jika relevan dalam arsitektur Anda, dapat menjadi solusi keamanan multi-lapisan yang kuat.
Infrastruktur Google dirancang untuk membantu Anda mem-build, men-deploy, dan mengoperasikan layanan dengan cara yang aman. Keamanan fisik dan operasional, enkripsi data saat nonaktif dan saat transit, serta banyak aspek penting lainnya dari infrastruktur aman yang dikelola oleh Google. Anda akan mewarisi manfaat ini dengan men-deploy aplikasi Anda ke Google Cloud, tetapi Anda mungkin perlu melakukan tindakan tambahan untuk melindungi aplikasi Anda dari serangan tertentu.
Strategi mitigasi yang tercantum dalam dokumen ini diurutkan berdasarkan risiko keamanan aplikasi dan produk Google Cloud. Banyak produk berperan dalam menciptakan strategi pertahanan mendalam (defense in depth) terhadap risiko keamanan web. Dokumen ini memberikan informasi tentang cara produk lain dapat memitigasi 10 risiko teratas versi OWASP, tetapi memberikan detail tambahan tentang cara Google Cloud Armor dan Apigee dapat memitigasi berbagai risiko tersebut. Google Cloud Armor, yang bertindak sebagai firewall aplikasi web (WAF), dan Apigee, yang bertindak sebagai gateway API, dapat sangat membantu dalam memblokir berbagai jenis serangan. Produk ini berada di jalur traffic internet dan dapat memblokir traffic eksternal sebelum sampai ke aplikasi Anda di Google Cloud.
Ringkasan Produk
Produk Google Cloud yang tercantum dalam tabel berikut dapat membantu melindungi dari top 10 risiko keamanan:
| Produk | Ringkasan | A01 | A02 | A03 | A04 | A05 | A06 | A07 | A08 | A09 | A10 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Transparansi Akses | Luaskan visibilitas dan kontrol atas penyedia cloud Anda dengan log akses administrator dan kontrol persetujuan | ✓ | ✓ | ||||||||
| Apigee | Merancang, mengamankan, dan menskalakan application programming interface (API) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Artifact Registry | Menyimpan artefak dan membangun dependensi secara terpusat | ✓ | |||||||||
| Otorisasi Biner | Pastikan hanya image container terpercaya yang di-deploy di Google Kubernetes Engine | ✓ | ✓ | ||||||||
| Inventaris Aset Cloud | Melihat, memantau, dan menganalisis semua aset Google Cloud dan Google Distributed Cloud atau multi-cloud Anda di seluruh project dan layanan | ✓ | ✓ | ✓ | ✓ | ||||||
| Cloud Build | Membangun, menguji, dan men-deploy di Google Cloud | ✓ | |||||||||
| Cloud Key Management Service | Mengelola kunci enkripsi di Google Cloud | ✓ | ✓ | ||||||||
| Cloud Load Balancing | Kontrol cipher mana yang dinegosiasikan proxy SSL atau load balancer HTTPS Anda | ✓ | ✓ | ✓ | ✓ | ||||||
| Cloud Logging | Pengelolaan dan analisis log secara real-time dalam skala besar | ✓ | |||||||||
| Cloud Monitoring | Kumpulkan dan analisis metrik, peristiwa, dan metadata dari layanan Google Cloud serta berbagai aplikasi dan layanan pihak ketiga | ✓ | |||||||||
| Cloud Source Repositories | Menyimpan, mengelola, dan melacak kode di satu tempat untuk tim Anda | ✓ | |||||||||
| Google Cloud Armor | Firewall aplikasi web (WAF) yang di-deploy di tepi jaringan Google untuk membantu melindungi dari vektor serangan umum | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Buletin keamanan Google Cloud | Buletin keamanan terbaru yang terkait dengan produk Google Cloud | ✓ | |||||||||
| Google Security Operations | Menemukan ancaman secara otomatis secara real time dan dalam skala besar menggunakan infrastruktur, teknik deteksi, serta sinyal Google | ✓ | |||||||||
| Identity Platform | Menambahkan kemampuan pengelolaan akses dan identitas ke aplikasi, melindungi akun pengguna, dan menskalakan pengelolaan identitas | ✓ | ✓ | ||||||||
| Identity-Aware Proxy (IAP) | Menggunakan identitas dan konteks untuk menjaga akses ke aplikasi dan VM Anda | ✓ | ✓ | ✓ | |||||||
| reCAPTCHA | Bantu lindungi situs Anda dari aktivitas penipuan, spam, dan penyalahgunaan | ✓ | |||||||||
| Secret Manager | Menyimpan kunci API, sandi, sertifikat, dan data sensitif lainnya | ✓ | ✓ | ||||||||
| Security Command Center | Visibilitas terpusat untuk analisis keamanan dan inteligensi ancaman guna membantu mengidentifikasi kerentanan di aplikasi Anda | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Sensitive Data Protection | Menemukan, mengklasifikasi, dan melindungi data sensitif Anda | ✓ | ✓ | ✓ | |||||||
| Kunci Keamanan Titan | Membantu melindungi pengguna berharga dengan perangkat 2FA yang tahan terhadap ancaman phishing dan dibuat dengan chip hardware (dengan firmware yang dikembangkan oleh Google) untuk memverifikasi integritas kunci | ✓ | |||||||||
| Firewall Virtual Private Cloud | Mengizinkan atau menolak koneksi ke atau dari instance mesin virtual (VM) Anda | ✓ | |||||||||
| VirusTotal | Menganalisis file dan URL yang mencurigakan untuk mendeteksi jenis malware; secara otomatis membagikannya ke komunitas keamanan | ✓ | ✓ | ||||||||
| Kontrol Layanan VPC | Mengisolasi resource layanan Google Cloud multi-tenant untuk mengurangi risiko pemindahan data yang tidak sah | ✓ | ✓ |
A01: Kontrol akses yang rusak
Kontrol akses rusak mengacu pada kontrol akses yang hanya diberlakukan sebagian di sisi klien, atau diterapkan dengan lemah. Memitigasi kontrol ini sering kali memerlukan penulisan ulang pada sisi aplikasi untuk menerapkan dengan benar bahwa resource hanya diakses oleh pengguna yang diberi otorisasi.
Apigee
Kasus penggunaan:
- Penerapan kontrol akses
- Pembatasan manipulasi data
Apigee mendukung pendekatan berlapis untuk menerapkan kontrol akses guna mencegah pihak yang tidak bertanggung jawab membuat perubahan yang tidak sah atau mengakses sistem.
Konfigurasikan kontrol akses berbasis peran (RBAC) agar hanya mengizinkan pengguna mengakses resource dan konfigurasi yang mereka butuhkan. Buat peta nilai kunci terenkripsi untuk menyimpan key-value pair sensitif yang ditampilkan dan disamarkan di UI Edge dan dalam panggilan API pengelolaan. Konfigurasikan single sign-on dengan penyedia identitas perusahaan Anda.
Konfigurasi portal developer untuk menampilkan produk API tertentu sesuai dengan peran pengguna. Konfigurasi portal untuk menampilkan atau menyembunyikan konten berdasarkan peran pengguna.
Inventaris Aset Cloud
Kasus penggunaan:
- Memantau IT tidak sah (juga dikenal sebagai IT bayangan)
- Instance komputasi usang
Salah satu vektor paling umum untuk eksposur data adalah infrastruktur IT usang atau tidak sah. Siapkan notifikasi real-time untuk memberi tahu Anda jika ada resource yang berjalan secara tidak terduga, yang mungkin tidak diamankan dengan benar atau menggunakan software usang.
Cloud Load Balancing
Kasus penggunaan:
- Kontrol cipher SSL dan TLS yang mendetail
Cegah penggunaan cipher SSL atau TLS yang lemah dengan menetapkan cipher grup bawaan atau daftar kustom yang dapat digunakan Cloud Load Balancing.
Google Cloud Armor
Kasus penggunaan:
- Memfilter permintaan lintas origin
- Memfilter serangan penyertaan file lokal atau jarak jauh
- Memfilter serangan polusi parameter HTTP
Banyak kasus kontrol akses yang rusak tidak dapat dimitigasi dengan menggunakan firewall aplikasi web, karena aplikasi tidak memerlukan atau tidak memeriksa token akses dengan benar untuk setiap permintaan, dan data dapat dimanipulasi di sisi klien. Beberapa tantangan Juice Shop terkait dengan kontrol akses yang rusak. Misalnya, memposting masukan dengan nama pengguna lain menggunakan fakta bahwa beberapa permintaan tidak diautentikasi oleh sisi server. Seperti yang dapat Anda lihat dalam solusi tantangan, eksploit untuk kerentanan ini sepenuhnya berada di sisi klien sehingga tidak dapat dimitigasi menggunakan Google Cloud Armor.
Beberapa tantangan dapat dimitigasi sebagian sisi server jika aplikasi tidak dapat segera di-patch.
Misalnya, jika serangan pemalsuan permintaan lintas situs (CSRF) mungkin terjadi karena server web Anda mengimplementasikan cross-origin resource sharing (CORS) dengan buruk, seperti yang ditunjukkan dalam tantangan CSRF Juice Shop, Anda dapat memitigasi masalah ini dengan memblokir permintaan dari origin yang tidak terduga sekaligus dengan aturan kustom. Aturan berikut cocok dengan semua permintaan dengan origin selain example.com dan google.com:
has(request.headers['origin']) &&
!((request.headers['origin'] == 'https://example.com')||
(request.headers['origin'] == 'https://google.com') )
Jika traffic yang cocok dengan aturan tersebut ditolak, solusi untuk tantangan CSRF akan berhenti berfungsi.
Tantangan manipulasi keranjang menggunakan
polusi parameter HTTP (HPP) sehingga Anda dapat melihat cara menyerang toko dengan mengikuti
solusi tantangan.
HPP terdeteksi sebagai bagian dari kumpulan aturan serangan protokol. Untuk membantu memblokir serangan jenis ini, gunakan aturan berikut:
evaluatePreconfiguredExpr('protocolattack-stable').
Identity-Aware Proxy dan Akses Kontekstual
Kasus penggunaan:
- Kontrol akses terpusat
- Kompatibel dengan cloud dan infrastruktur lokal
- Melindungi koneksi HTTP dan TCP
- Akses Kontekstual
Dengan IAP, Anda dapat menggunakan identitas dan konteks untuk membentuk autentikasi yang aman dan penghalang otorisasi di aplikasi Anda. Cegah otorisasi atau kontrol akses yang rusak pada aplikasi Anda yang berhubungan dengan publik dengan sistem otorisasi dan autentikasi yang dikelola secara terpusat yang di-build di Cloud Identity dan IAM.
Menerapkan kontrol akses terperinci ke aplikasi web, VM, Google Cloud API, dan aplikasi Google Workspace berdasarkan identitas dan konteks permintaan pengguna tanpa perlu VPN konvensional. Gunakan satu platform untuk cloud dan resource aplikasi dan infrastruktur lokal.
Security Command Center
Security Command Center mencakup dua layanan yang membantu Anda mengatasi kontrol akses yang rusak: Security Health Analytics dan Web Security Scanner.
Security Health Analytics mendukung kasus penggunaan berikut:
- Penerapan MFA atau 2FA
- Perlindungan kunci API
- Pemantauan kebijakan SSL
Security Health Analytics membantu mencegah kontrol akses yang rusak dengan memantau kepatuhan autentikasi multi-faktor, kebijakan SSL, dan kesehatan kunci API Anda.
Web Security Scanner mendukung kasus penggunaan berikut:
- Repositori yang diekspos ke publik
- Validasi header permintaan tidak aman
Web Security Scanner memindai kerentanan pada aplikasi web Anda, seperti repositori kode yang terlihat secara publik dan validasi header permintaan yang salah dikonfigurasi.
A02: Kegagalan kriptografi
Kegagalan kriptografi dapat terjadi karena kurangnya enkripsi atau enkripsi yang lemah saat dalam transit, atau data sensitif yang terekspos secara tidak sengaja. Serangan terhadap kerentanan tersebut biasanya spesifik untuk aplikasi, oleh karena itu, memerlukan pendekatan defense in depth untuk memitigasinya.
Apigee
Kasus penggunaan:
- Perlindungan untuk data sensitif
Gunakan TLS satu arah dan dua arah untuk melindungi informasi sensitif di tingkat protokol.
Gunakan kebijakan seperti Tetapkan Kebijakan Pesan dan kebijakan JavaScript untuk menghapus data sensitif sebelum ditampilkan ke klien.
Gunakan teknik OAuth standar dan pertimbangkan untuk menambahkan HMAC, hash, state, nonce, PKCE, atau teknik lainnya guna meningkatkan level autentikasi untuk setiap permintaan.
Samarkan data sensitif di alat Edge Trace.
Enkripsikan data sensitif dalam penyimpanan di peta nilai kunci.
Inventaris Aset Cloud
Kasus penggunaan:
- Layanan penelusuran
- Penganalisis akses
Salah satu vektor paling umum untuk eksposur data adalah infrastruktur IT usang atau tidak sah. Anda dapat mengidentifikasi server yang tidak dikelola siapa pun dan bucket dengan aturan berbagi yang terlalu luas dengan menganalisis data deret waktu aset cloud.
Siapkan notifikasi real-time untuk memberi tahu Anda tentang penyediaan resource tidak terduga yang mungkin tidak diamankan secara benar atau tidak sah.
Cloud Data Loss Prevention (bagian dari Sensitive Data Protection)
Kasus penggunaan:
- Penemuan dan klasifikasi data sensitif
- Penyamaran data otomatis
Dengan Cloud Data Loss Prevention API (DLP API), Anda dapat memindai semua data sensitif yang disimpan dalam bucket atau database untuk mencegah kebocoran informasi yang tidak diinginkan. Jika data yang tidak diizinkan teridentifikasi, data tersebut dapat dilaporkan atau disamarkan secara otomatis.
Cloud Key Management Service
Kasus penggunaan:
- Pengelolaan kunci kriptografis yang aman
(Cloud KMS) membantu untuk mencegah potensi eksposur kunci kriptografis Anda. Gunakan layanan key management service yang dihosting di cloud ini untuk mengelola kunci kriptografis simetris dan asimetris untuk layanan cloud Anda dengan cara yang sama seperti saat Anda mengelolanya di sistem lokal. Anda dapat membuat, menggunakan, merotasi, dan menghancurkan kunci kriptografis AES256, RSA 2048, RSA 3072, RSA 4096, EC P256, dan EC P384.
Cloud Load Balancing
Kasus penggunaan:
- Kontrol cipher SSL dan TLS yang mendetail
Kebijakan SSL dapat membantu mencegah eksposur data sensitif dengan memberi Anda kontrol atas fitur dan cipher SSL dan TLS yang diizinkan di load balancer. Blokir cipher yang tidak disetujui atau tidak aman sesuai kebutuhan.
Google Cloud Armor
Kasus penggunaan:
- Memfilter URL serangan yang diketahui
- Membatasi akses endpoint sensitif
Secara umum, eksposur data sensitif harus dihentikan di sumbernya, tetapi karena setiap serangan bersifat khusus untuk aplikasi, firewall aplikasi web hanya dapat digunakan secara terbatas untuk menghentikan eksposur data secara luas. Namun, jika aplikasi tidak dapat segera diberi patch, Anda dapat membatasi akses ke endpoint atau pola permintaan yang rentan menggunakan aturan kustom Google Cloud Armor.
Misalnya, beberapa tantangan Juice Shop terkait eksposur data sensitif dapat dieksploitasi karena traversal direktori yang tidak aman dan serangan injeksi byte null. Anda dapat mengurangi injeksi ini dengan memeriksa string di URL dengan ekspresi kustom berikut:
request.path.contains("%00") || request.path.contains("%2500")
Anda dapat
menyelesaikan
tantangan
metrik yang terekspos
dengan mengakses subdirektori /metrics yang digunakan oleh Prometheus.
Jika memiliki endpoint sensitif yang terekspos dan tidak dapat segera menghapus
akses, Anda dapat membatasi akses ke endpoint tersebut kecuali untuk rentang alamat IP tertentu. Gunakan
aturan yang mirip dengan ekspresi kustom berikut:
request.path.contains("/metrics") && !(inIpRange(origin.ip, '1.2.3.4/32')
Ganti 1.2.3.4/32 dengan rentang alamat IP
yang seharusnya memiliki akses ke antarmuka metrik.
File log yang terekspos secara tidak sengaja
digunakan untuk menyelesaikan salah satu tantangan Juice Shop. Untuk menghindari eksposur log, tetapkan
aturan yang melarang akses ke file log sepenuhnya:
request.path.endsWith(".log").
Identity-Aware Proxy dan Akses Kontekstual
Kasus penggunaan:
- Akses jarak jauh yang aman ke layanan sensitif
- Kontrol akses terpusat
- Akses Kontekstual
Gunakan identitas dan konteks untuk membentuk perimeter otorisasi dan otentikasi yang aman di sekitar aplikasi Anda. Deploy alat, seperti pelaporan bug internal, pusat informasi perusahaan, atau email di balik IAP, untuk mengizinkan Akses Kontekstual hanya kepada individu yang diotorisasi dari mana pun di internet.
Dengan Akses Kontekstual, Anda dapat menerapkan kontrol akses terperinci ke aplikasi web, virtual machine (VM), Google Cloud API, dan aplikasi Google Workspace berbasis identitas pengguna dan konteks permintaan tanpa VPN konvensional. Berdasarkan model keamanan zero-trust dan implementasi BeyondCorp Google, Akses Kontekstual memungkinkan Anda memberikan akses kepada pengguna, menerapkan kontrol terperinci, dan menggunakan satu platform untuk layanan cloud dan aplikasi serta resource infrastruktur lokal.
Secret Manager
Kasus penggunaan:
- Kunci kripto
- Kunci API
- Kredensial sistem lainnya
Secret Manager adalah layanan penyimpanan yang aman untuk data Anda yang paling berharga seperti kunci API, sandi akun layanan, dan aset kriptografi. Menyimpan secret ini secara terpusat memungkinkan Anda mengandalkan sistem autentikasi dan otorisasi Google Cloud, termasuk IAM, untuk menentukan apakah permintaan akses yang diberikan valid.
Secret Manager tidak dirancang untuk operasi skala besar seperti tokenisasi kartu kredit atau penyimpanan sandi pengguna individu. Aplikasi tersebut sebaiknya mengandalkan Identity Platform untuk pengelolaan akses dan identitas pelanggan (CIAM), Cloud Identity untuk anggota organisasi Anda, atau software tokenisasi khusus.
Security Command Center
Security Command Center mencakup dua layanan yang membantu Anda mengatasi kegagalan kriptografis: Security Health Analytics dan Web Security Scanner.
Security Health Analytics mendukung kasus penggunaan berikut:
- Penerapan MFA/2FA
- Perlindungan kunci API
- Penerapan rotasi kunci API
- Privasi gambar Compute
- Penerapan aturan kunci SSH
- Pemantauan booting aman
- Keamanan akses API
- Pemantauan kebijakan SSL
- Logging dinonaktifkan
- Pemberitahuan ACL bucket publik
Security Health Analytics membantu mencegah eksposur data sensitif dengan memantau kepatuhan autentikasi multi-faktor dan kondisi kunci API Anda. Dapatkan pemberitahuan untuk konfigurasi yang tidak aman dalam penyimpanan image container, Cloud Storage, kebijakan SSL, kebijakan kunci SSH, logging, akses API, dan lainnya.
Web Security Scanner mendukung kasus penggunaan berikut:
- Sandi tidak terenkripsi yang ditransmisikan melalui jaringan
Web Security Scanner memindai aplikasi
web Anda dan melaporkan temuan error dan kerentanan. Jika aplikasi
Anda mengirimkan sandi dalam teks
yang jelas,
Web Security Scanner akan menghasilkan temuan CLEAR_TEXT_PASSWORD.
VirusTotal
Kasus penggunaan:
- Pencegahan phishing
Dengan VirusTotal, Anda dapat memindai URL untuk menemukan konten berbahaya sebelum menampilkannya kepada pengguna atau karyawan, baik konten tersebut ditemukan di input pengguna, email, chat, log, atau lokasi lainnya.
Kontrol Layanan VPC
Kasus penggunaan:
- Firewall untuk layanan terkelola
Gabungkan layanan yang terkelola secara kritis ke dalam firewall untuk mengontrol siapa yang dapat memanggil layanan dan siapa yang dapat direspons oleh layanan tersebut. Blokir traffic keluar dan pemindahan data yang tidak sah dengan aturan perimeter keluar pada layanan seperti fungsi Cloud Run. Cegah permintaan dari pengguna dan lokasi yang tidak sah ke penyimpanan data dan database terkelola. Buat perimeter aman di sekitar API yang canggih atau berpotensi mahal.
Pemindai Aplikasi Web
Kasus penggunaan:
- Pemindai risiko keamanan aplikasi web
- Pemindai ketersediaan repositori sumber
Untuk mencegah aplikasi web Anda mengekspos data sensitif, pastikan sandi tidak dikirim dalam format teks yang jelas. Hindari kebocoran kode sumber mentah yang berpotensi merusak dengan memeriksa repositori kode sumber git dan Apache Subversion yang terekspos. Pemindaian ini dirancang untuk mencakup 10 kontrol teratas OWASP tertentu.
A03: Injeksi
Kekurangan injeksi, seperti injeksi SQL, NoSQL, OS, dan LDAP, terjadi saat data yang tidak dapat dipercaya dikirim ke penafsir sebagai bagian dari perintah atau kueri. Data berbahaya penyerang dapat memperdaya penafsir agar menjalankan perintah yang tidak diinginkan atau mengakses data tanpa otorisasi yang tepat. Sebaiknya data pengguna dibersihkan atau difilter oleh aplikasi sebelum dikirim ke penafsir.
Bagian berikut membahas tentang produk Google Cloud yang dapat membantu mengurangi risiko ini.
Apigee
Kasus penggunaan:
- Pemblokiran injeksi SQL
- Pemblokiran injeksi NoSQL
- Pemblokiran injeksi LDAP
- Pemblokiran injeksi JavaScript
Apigee menyediakan beberapa kebijakan validasi input untuk memverifikasi bahwa nilai yang diberikan oleh klien sesuai dengan ekspektasi yang telah dikonfigurasi sebelum mengizinkan pemrosesan kebijakan atau aturan lebih lanjut. Apigee, yang berperan sebagai gateway untuk permintaan API masuk, menjalankan pemeriksaan batas untuk memastikan struktur payload berada dalam rentang yang dapat diterima. Anda dapat mengonfigurasi proxy API agar rutinitas validasi input mengubah input untuk menghilangkan urutan karakter berisiko, lalu menggantinya dengan nilai yang aman.
Ada beberapa pendekatan untuk memvalidasi input dengan platform Apigee:
- JSONThreatProtection memeriksa ancaman pada payload JSON.
- XMLThreatProtection memeriksa payload XML untuk mendeteksi ancaman.
- JavaScript memvalidasi parameter dan header.
- Kebijakan RegularExpressionProtection menangani injeksi kode SQL.
OASValidationKebijakan memvalidasi permintaan masuk atau pesan respons terhadap Spesifikasi OpenAPI (JSON atau YAML).SOAPMessageValidationKebijakan memvalidasi semua pesan XML terhadap skema XSD-nya dan juga dapat memvalidasi pesan SOAP terhadap definisi WSDL.
Google Cloud Armor
Kasus penggunaan:
- Pemfilteran injeksi SQL
- Pemfilteran injeksi PHP
Google Cloud Armor dapat memblokir serangan injeksi umum sebelum mencapai
aplikasi Anda. Untuk injeksi SQL (SQLi), Google Cloud Armor memiliki
kumpulan aturan standar yang
didasarkan pada
kumpulan aturan inti OWASP Modsecurity. Anda dapat
membuat kebijakan keamanan
yang
memblokir serangan SQLi umum
yang ditentukan dalam aturan inti yang ditetapkan menggunakan
evaluatePreconfiguredExpr('sqli-stable') baik dengan sendirinya atau bersama
aturan khusus lainnya. Misalnya, Anda dapat membatasi pemblokiran SQLi untuk
aplikasi tertentu menggunakan
filter jalur URL.
Untuk injeksi PHP, kumpulan aturan yang telah dikonfigurasi
lainnya tersedia. Anda dapat menggunakan aturan evaluatePreconfiguredExpr('php-stable')
untuk memblokir serangan injeksi PHP yang umum.
Bergantung pada aplikasi Anda, mengaktifkan ekspresi yang telah dikonfigurasi sebelumnya dapat menyebabkan positif palsu (PP) karena beberapa aturan dalam kumpulan aturan cukup sensitif. Untuk mengetahui informasi selengkapnya, lihat memecahkan masalah positif palsu dan cara menyesuaikan aturan yang ditetapkan ke berbagai tingkat sensitivitas.
Untuk serangan injeksi selain yang menargetkan SQL atau PHP, Anda dapat membuat aturan kustom untuk memblokir permintaan saat kata kunci tertentu atau pola escape dalam protokol tersebut digunakan di jalur permintaan atau kueri. Pastikan pola ini tidak muncul dalam permintaan yang valid. Anda juga dapat membatasi penggunaan aturan ini hanya untuk endpoint atau jalur tertentu yang mungkin menafsirkan data yang diteruskan ke aturan tersebut.
Selain itu, beberapa serangan injeksi dapat dimitigasi dengan menggunakan aturan yang telah dikonfigurasi sebelumnya untuk eksekusi kode jarak jauh dan injeksi file jarak jauh.
Security Command Center
Security Command Center menyertakan dua layanan yang membantu Anda mengatasi kekurangan injeksi: Deteksi Ancaman Container dan Web Security Scanner.
Container Threat Detection mendukung kasus penggunaan berikut:
- Deteksi skrip berbahaya
- Deteksi shell terbalik
- Deteksi penginstalan malware
Pendeteksi Malicious Script
Executed
dari
Container Threat Detection
menganalisis setiap skrip shell yang dijalankan pada sistem dan melaporkan skrip yang terlihat
berbahaya. Dengan detektor ini, Anda dapat menemukan serangan injection perintah shell.
Setelah injeksi perintah shell berhasil, penyerang dapat memunculkan shell
terbalik, yang memicu detector
Reverse
Shell. Atau, mereka dapat menginstal malware, yang memicu detektor Added
Binary
Executed
dan Added Library
Loaded.
Web Security Scanner mendukung kasus penggunaan berikut:
- Pemantauan untuk pembuatan skrip lintas situs
- Pemantauan untuk injeksi SQL
Web Security Scanner memindai kerentanan di aplikasi web Anda dan menyediakan detektor yang memantau serangan pembuatan skrip lintas situs dan injeksi SQL.
A04: Desain yang Tidak Aman
Desain yang tidak aman terjadi saat organisasi tidak menerapkan cara untuk mengevaluasi dan mengatasi ancaman selama siklus proses pengembangan. Pemodelan ancaman, jika dilakukan di awal fase desain dan peningkatan (kualitas), serta dilanjutkan selama fase pengembangan dan pengujian, membantu organisasi menganalisis asumsi dan kelemahan kegagalan. Budaya belajar dari kesalahan tanpa menyalahkan adalah kunci untuk mengamankan desain.
Apigee
Kasus penggunaan:
- Input validasi
- Kontrol akses
- Penanganan fault
- Kebijakan perlindungan konten
- Pengelolaan sandi
Dengan Apigee, Anda dapat memvalidasi permintaan dan respons masuk ke aplikasi Anda menggunakan kebijakan OASValidation. Selain itu, untuk melindungi akses, Anda dapat mengonfigurasi single sign-on (SSO), kontrol akses berbasis peran (RBAC), membatasi akses ke API (misalnya, menggunakan Auth0) dan membatasi alamat IP yang memiliki akses ke lingkungan Anda. Menggunakan aturan penanganan fault, Anda dapat menyesuaikan reaksi proxy API terhadap error.
Untuk melindungi dari sandi tidak aman bagi pengguna global Apigee, Apigee menyediakan opsi akhir masa berlaku sandi, penguncian, dan reset sandi. Selain itu, Anda dapat mengaktifkan autentikasi 2 langkah (2FA).
Cloud Data Loss Prevention API (bagian dari Perlindungan Data Sensitif)
Kasus penggunaan:
- Identifikasi dan samarkan data rahasia
Dengan Cloud Data Loss Prevention API, Anda dapat mengidentifikasi data rahasia dan membuat tokennya. DLP API dapat membantu Anda membatasi eksposur data rahasia, karena setelah data dicatat dan disimpan, Anda dapat menyiapkan kontrol akses untuk membatasi siapa yang dapat melihat data tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengotomatiskan klasifikasi data yang diupload ke Cloud Storage dan De-identifikasi dan identifikasi ulang PII dalam set data berskala besar menggunakan Perlindungan Data Sensitif.
Secret Manager
Kasus penggunaan:
- Melindungi penyimpanan kredensial
Secret Manager memungkinkan aplikasi dan pipeline mengakses nilai secret yang diberi nama berdasarkan izin yang diberikan dengan IAM. Solusi ini juga memberikan akses terprogram ke secret, sehingga proses otomatis dapat mengakses nilai secret. Jika diaktifkan, setiap interaksi dengan Secret Manager akan menyediakan jejak audit. Gunakan jejak audit ini untuk membantu kebutuhan forensik dan kepatuhan.
Security Command Center
Layanan Web Security Scanner yang merupakan bagian dari Security Command Center mendukung kasus penggunaan berikut:
- Mengidentifikasi kerentanan keamanan di aplikasi Anda.
Web Security Scanner
memindai aplikasi web Anda untuk mencari kerentanan. Atribut ini mengikuti link dan mencoba
menjalankan input pengguna dan pengendali peristiwa sebanyak mungkin. Detektor
CACHEABLE_PASSWORD_INPUT menghasilkan
temuan apakah sandi yang dimasukkan di aplikasi web dapat di-cache dalam cache browser reguler,
bukan penyimpanan sandi yang aman.
A05: Kesalahan konfigurasi keamanan
Kesalahan konfigurasi keamanan mengacu pada kekurangan aplikasi yang tidak diperbaiki, akun default yang terbuka, serta file dan direktori yang tidak dilindungi yang biasanya dapat dicegah dengan hardening aplikasi. Kesalahan konfigurasi keamanan dapat terjadi dalam banyak cara, seperti memercayai konfigurasi default, membuat konfigurasi parsial yang mungkin tidak aman, mengizinkan pesan error berisi detail sensitif, menyimpan data di cloud tanpa kontrol keamanan yang tepat, atau salah mengonfigurasi Header HTTP.
Apigee
Kasus penggunaan:
- Mengelola konfigurasi keamanan
- Memantau konfigurasi keamanan
Alur bersama memungkinkan developer API menggabungkan kebijakan dan resource ke dalam grup yang dapat digunakan kembali. Dengan menangkap kebijakan dan resource yang dapat digunakan kembali di satu tempat, alur bersama membantu Anda memastikan konsistensi, mempersingkat waktu pengembangan, dan mengelola kode. Anda dapat menyertakan alur bersama di dalam proxy API individual menggunakan kebijakan FlowCallout atau Anda dapat menempatkan alur bersama di hook alur agar secara otomatis menjalankan logika alur bersama bagi setiap proxy API yang di-deploy di lingkungan yang sama.
Inventaris Aset Cloud
Kasus penggunaan:
- Layanan notifikasi real-time
Notifikasi real-time dapat memperingatkan Anda tentang penyediaan resource tidak terduga yang mungkin tidak diamankan secara benar atau tidak sah.
Cloud Load Balancing
Kasus penggunaan:
- Kontrol cipher SSL dan TLS yang mendetail
Cegah penggunaan cipher SSL atau TLS yang diketahui rentan dengan cara menetapkan cipher grup atau daftar kustom yang telah ditentukan yang dapat digunakan oleh load balancer.
Google Cloud Armor
Kasus penggunaan:
- Filter endpoint tidak aman
- Memfilter serangan penyertaan file lokal atau jarak jauh
- Memfilter serangan protokol
Karena kesalahan konfigurasi keamanan dapat terjadi pada tingkat aplikasi, OWASP Foundation merekomendasikan untuk melakukan hardening dan patching aplikasi secara langsung, serta menghapus semua fungsi yang tidak diperlukan.
Meskipun firewall aplikasi web (WAF), seperti Google Cloud Armor, tidak dapat membantu memperbaiki kesalahan konfigurasi yang mendasarinya, Anda dapat memblokir akses ke bagian aplikasi sepenuhnya atau untuk semua orang kecuali alamat IP atau negara tertentu. Membatasi akses dapat mengurangi risiko eksploitasi kesalahan konfigurasi tersebut.
Misalnya, jika aplikasi Anda mengekspos antarmuka administratif menggunakan
URL umum seperti /admin, Anda dapat membatasi akses antarmuka ini meskipun
telah diautentikasi. Anda dapat melakukan hal ini dengan aturan penolakan—misalnya:
request.path.contains("/admin") && !(inIpRange(origin.ip,
'1.2.3.4/32')Ganti 1.2.3.4/32 dengan rentang alamat IP
yang seharusnya memiliki akses ke antarmuka administrator.
Beberapa kesalahan konfigurasi dapat dimitigasi sebagian dengan menggunakan kumpulan aturan
penyertaan file lokal (LFI) atau penyertaan file jarak jauh (RFI) yang telah ditentukan. Misalnya,
eksploitasi tantangan
imaging lintas situs
Juice Shop tidak berhasil saat kumpulan aturan LFI diterapkan. Gunakan aturan
evaluatePreconfiguredExpr('lfi-stable') ||
evaluatePreconfiguredExpr('rfi-stable') untuk memblokir permintaan menggunakan kumpulan aturan
LFI dan RFI, lalu
sesuaikan aturan
sesuai kebutuhan. Anda dapat memverifikasi bahwa
solusi tantangan
tidak lagi berhasil.
Beberapa serangan HTTP juga dapat dimitigasi menggunakan kumpulan aturan yang telah dikonfigurasi:
- Untuk menghindari
pemalsuan verba HTTP,
gunakan kumpulan aturan penerapan metode. Gunakan aturan
evaluatePreconfiguredExpr('methodenforcement-stable')untuk melarang metode permintaan HTTP selain metodeGET,HEAD,POST, danOPTIONS - Untuk memblokir serangan umum terhadap penguraian dan proxy HTTP, seperti
penyelubungan permintaan HTTP,
pemisahan respons HTTP,
dan
injeksi header HTTP,
gunakan aturan serangan protokol yang ditetapkan dengan menggunakan
aturan
evaluatePreconfiguredExpr('protocolattack-stable').
Security Command Center
Security Command Center mencakup dua layanan yang membantu Anda mengatasi kesalahan konfigurasi keamanan: Security Health Analytics dan Web Security Scanner.
Security Health Analytics mendukung kasus penggunaan berikut:
- Pemantauan dan pemberitahuan kontrol keamanan
Security Health Analytics memantau banyak sinyal melalui satu antarmuka untuk memastikan aplikasi Anda mempertahankan praktik keamanan terbaik.
Web Security Scanner mendukung kasus penggunaan berikut:
- Pemindai aplikasi web yang disesuaikan untuk 10 Teratas OWASP
- Error konfigurasi server HTTP
- Konten HTTP/HTTPS campuran
- Entity eksternal XML (XXE)
Web Security Scanner memantau error keamanan umum, seperti ketidakcocokan jenis konten, header keamanan tidak valid, dan penayangan konten campuran. Web Security Scanner juga memantau kerentanan, seperti kerentanan XXE. Pemindaian ini dirancang untuk mencakup 10 kontrol teratas OWASP. Pendeteksi berikut memindai kesalahan konfigurasi keamanan:
INVALID_CONTENT_TYPEINVALID_HEADERMISMATCHING_SECURITY_HEADER_VALUESMISSPELLED_SECURITY_HEADER_NAMEMIXED_CONTENTXXE_REFLECTED_FILE_LEAKAGE
Untuk mengetahui informasi selengkapnya tentang detektor ini dan detektor lainnya, lihat Ringkasan Web Security Scanner.
A06: Komponen yang rentan dan usang
Komponen dengan kerentanan yang diketahui merupakan kategori untuk vektor serangan umum. Kerentanan tersebut dapat diatasi dengan cara memantau dan mengupgrade semua komponen aplikasi Anda dengan cepat.
Otorisasi Biner
Kasus penggunaan:
- Membatasi cluster GKE ke container terpercaya
Otorisasi Biner adalah kontrol keamanan berdasarkan waktu deployment yang membantu memastikan bahwa hanya image container terpercaya yang di-deploy di Google Kubernetes Engine (GKE). Dengan Otorisasi Biner, Anda dapat mewajibkan image ditandatangani oleh otoritas terpercaya selama proses deploy, lalu menerapkan validasi tanda tangan saat di-deploy. Dengan menerapkan validasi, Anda dapat merasa yakin bahwa proses build dan rilis hanya menggunakan image terverifikasi.
Cloud Load Balancing
Kasus penggunaan:
- Kontrol cipher SSL dan TLS yang mendetail
Cegah penggunaan cipher SSL atau TLS yang diketahui rentan dengan menetapkan cipher grup atau daftar kustom yang telah ditetapkan sebelumnya yang dapat digunakan Cloud Load Balancing.
Google Cloud Armor
Kasus penggunaan:
- Memblokir akses ke endpoint aplikasi yang tidak digunakan
- Memblokir vektor serangan umum
Firewall aplikasi web (WAF) seperti Google Cloud Armor tidak boleh digunakan sebagai satu strategi mitigasi untuk memblokir serangan terhadap kategori ini, karena serangan sering kali bersifat spesifik terhadap library dan tidak dapat diblokir menggunakan aturan yang telah dikonfigurasi sebelumnya atau tidak dapat di-patch di sisi server. Memantau dan mengupgrade semua komponen aplikasi secara teratur adalah satu-satunya opsi untuk mengurangi kerentanan semacam ini.
Namun, Google Cloud Armor dapat membantu memitigasi beberapa serangan umum terhadap aplikasi yang rentan melalui aturan yang telah dikonfigurasi sebelumnya untuk eksekusi kode jarak jauh, penyertaan file lokal, atau penyertaan file jarak jauh.
Jika Anda sudah mengetahui komponen yang rentan dalam aplikasi, tetapi tidak dapat segera mem-patch aplikasi, Anda dapat memblokir akses ke bagian aplikasi tersebut agar sementara waktu mengurangi risiko eksploitasi komponen ini. Buat aturan khusus yang cocok dengan jalur URL atau kueri yang mengakses komponen yang rentan ini dan menolak akses. Jika memerlukan akses ke komponen ini dari pengguna atau lokasi tertentu, Anda masih dapat mengizinkan alamat IP sumber terpercaya tertentu untuk mengakses komponen ini. Aturan yang menggunakan jalur URL terlihat mirip dengan berikut ini:
`request.path.contains("/component") && !(inIpRange(origin.ip,
'1.2.3.4/32')
Ganti kode berikut:
/component: jalur komponen yang memiliki kerentanan yang diketahui1.2.3.4/32: rentang alamat IP yang harus memiliki akses ke antarmuka.
Jika ada bagian dari aplikasi Anda—misalnya, direktori atau jenis file tertentu yang tidak perlu diakses oleh pengguna akhir—Anda juga dapat memblokir atau membatasi akses ke resource ini dengan aturan khusus , secara proaktif memitigasi risiko jika komponen ini menjadi rentan di masa mendatang.
Buletin Keamanan Google Cloud
Kasus penggunaan:
- Pemantauan buletin keamanan
- CVE untuk produk Google Cloud
Buletin Keamanan Google Cloud adalah sumber otoritatif untuk buletin keamanan yang memengaruhi Google Cloud. Postingan menyertakan informasi latar belakang, link CVE, dan rekomendasi untuk tindakan lebih lanjut.
Security Command Center
Security Command Center mencakup tiga layanan yang membantu Anda mengatasi komponen yang rentan dan sudah tidak digunakan lagi: Container Threat Detection, Event Threat Detection, dan Web Security Scanner.
Container Threat Detection mendukung kasus penggunaan berikut:
- Deteksi skrip berbahaya
- Deteksi shell terbalik
- Deteksi penginstalan malware
Jika penyerang mengeksploitasi komponen yang rentan dan menjalankan skrip berbahaya, pendeteksi
Malicious Script
Executed dari
Container Threat Detection
akan menghasilkan temuan. Jika penyerang memunculkan shell terbalik, detektor Reverse
Shell
akan menghasilkan temuan. Jika penyerang menginstal malware, detektor Added
Binary
Executed,
dan Added Library
Loaded
akan menghasilkan temuan.
Event Threat Detection mendukung kasus penggunaan berikut:
- Deteksi penambangan kripto
- Deteksi malware
- Pemindahan data yang tidak sah
- DoS keluar
Event Threat Detection memantau aliran Cloud Logging Anda dan menerapkan logika deteksi serta inteligensi ancaman eksklusif pada level yang terperinci. Ketika Event Threat Detection mendeteksi ancaman, dia akan menulis temuan ke Security Command Center dan ke project Cloud Logging. Aturan deteksi berikut berguna untuk mendeteksi efek penggunaan komponen yang kerentanannya diketahui:
- Penambangan kripto. Mendeteksi penambangan kripto berdasarkan permintaan DNS atau koneksi ke alamat penambangan yang diketahui.
- Malware. Mendeteksi permintaan DNS berbasis malware atau koneksi ke alamat buruk yang diketahui.
- Pemindahan yang tidak sah ke tabel eksternal. Mendeteksi resource yang disimpan di luar organisasi, termasuk operasi penyalinan atau transfer.
- DoS keluar. Mendeteksi kerentanan yang dieksploitasi yang mencoba serangan denial of service.
Web Security Scanner mendukung kasus penggunaan berikut:
- Library yang sudah tidak berlaku
- Dasbor temuan dan kerentanan
Web Security Scanner memantau library usang yang disertakan dalam aplikasi web Anda. Anda dapat memantau temuan ini di dasbor Security Command Center.
A07: Kegagalan identifikasi dan autentikasi
Kegagalan identifikasi dan autentikasi merupakan risiko umum karena autentikasi aplikasi dan pengelolaan sesi sering kali tidak diterapkan dengan benar. Penyerang dapat mengeksploitasi kelemahan implementasi, seperti sandi, kunci, dan token sesi yang telah dibobol, untuk sementara atau secara permanen. mengasumsikan identitas pengguna lain.
Transparansi Akses
Kasus penggunaan:
- Pemantauan penyedia layanan
- Justifikasi akses
Biasanya, jika Anda menginginkan dukungan khusus dari vendor eksternal, Anda harus memberikan dan membagikan kredensial sementara, yang menciptakan potensi kredensial yang terlantar atau kebocoran. Persetujuan Akses adalah layanan terintegrasi yang memungkinkan Anda menyetujui atau menolak permintaan akses oleh karyawan Google yang bekerja untuk mendukung akun Anda. Setiap permintaan akses menyertakan justifikasi akses, sehingga Anda dapat melihat alasan untuk setiap akses, termasuk referensi ke tiket dukungan.
Apigee
Kasus penggunaan:
- Validasi kunci
- Validasi token
- Kebijakan OAuth
Apigee menyediakan kebijakan VerifyApiKey, OAuth, dan JSON Web Token (JWT), yang membantu melindungi dari risiko ini.
Validasi kunci API adalah bentuk keamanan berbasis aplikasi paling sederhana yang dapat dikonfigurasi untuk API. Aplikasi klien menyajikan kunci API bersama permintaannya. Apigee Edge, melalui kebijakan yang terpasang ke proxy API, memeriksa untuk melihat apakah kunci API berada dalam status yang disetujui untuk resource yang diminta.
Framework otorisasi OAuth 2.0 memungkinkan aplikasi pihak ketiga mendapatkan akses terbatas ke layanan HTTP, baik atas nama pemilik resource dengan mengatur interaksi persetujuan antara pemilik resource dan layanan HTTP, atau atas namanya sendiri dengan mengizinkan aplikasi pihak ketiga untuk mendapatkan akses.
Token Web JSON atau JWT biasanya digunakan untuk membagikan klaim atau pernyataan antara aplikasi yang terhubung. Apigee menyediakan dukungan JWT menggunakan tiga kebijakan.
Google Cloud Armor
Kasus penggunaan:
- Membatasi akses endpoint autentikasi
- Membatasi penggunaan token yang tidak sah
Serangan terhadap kerentanan yang masuk dalam klasifikasi risiko autentikasi yang rusak paling baik dimitigasi pada tingkat aplikasi atau dengan kontrol lain. Namun, Google Cloud Armor dapat membantu membatasi permukaan serangan atau memblokir vektor serangan yang diketahui.
Misalnya, jika aplikasi Anda memiliki basis pengguna terbatas dan pengguna tersebut berasal dari sekumpulan alamat IP atau negara yang diketahui, Anda dapat membuat kebijakan keamanan yang membatasi akses ke aplikasi Anda kepada pengguna dari blok alamat IP atau negara tersebut. Kebijakan ini dapat membantu mengurangi pemindaian otomatis dari endpoint di luar area ini.
Jika mekanisme keamanan lain mendeteksi bahwa sandi, kunci, atau token sesi
telah disusupi, Anda dapat memblokir akses untuk permintaan yang berisi
parameter tersebut dalam string kueri dengan menggunakan
aturan khusus.
Anda dapat memperbarui aturan yang sebelumnya ditentukan menggunakan
metode
securityPolicy.patchRule. Anda mungkin dapat mengidentifikasi potensi token curian menggunakan mekanisme
deteksi anomali melalui
log load balancing HTTP.
Anda juga dapat mendeteksi potensi penyerang dengan memindai sandi umum dalam
log tersebut.
Anda dapat memblokir serangan session fixation umum menggunakan
set aturan ModSecurity yang telah dikonfigurasi sebelumnya untuk session fixation.
Anda dapat menggunakan set aturan ini dengan menambahkan aturan
evaluatePreconfiguredExpr('sessionfixation-stable') yang telah ditetapkan ke kebijakan
keamanan.
Jika aplikasi Anda menyertakan perubahan sandi dalam string kueri, Anda juga dapat
memblokir penggunaan sandi umum menggunakan
aturan khusus
yang cocok dengan atribut request.query. Namun, pemeriksaan seperti ini akan jauh lebih baik
diterapkan pada sisi aplikasi jika memungkinkan.
Identity-Aware Proxy (IAP)
Kasus penggunaan:
- Kontrol akses terpusat
- Kompatibel dengan cloud dan infrastruktur lokal
- Melindungi koneksi HTTP dan TCP
- Akses Kontekstual
IAP terintegrasi dengan load balancing HTTP(S) sehingga Anda dapat menggunakan identitas dan konteks untuk membentuk autentikasi yang aman dan penghalang otorisasi di sekitar aplikasi Anda. Cegah autentikasi rusak pada aplikasi Anda yang ditampilkan untuk publik dengan menyediakan pengguna eksternal di Identity Platform (informasi selengkapnya di bagian berikut).
Anda juga dapat mencegah autentikasi yang rusak pada antarmuka administratif dengan melindunginya menggunakan Identity-Aware Proxy dan mengautentikasi pengguna yang disediakan dengan Identity and Access Management atau Cloud Identity. Setiap upaya untuk mengakses alat ini akan menghasilkan upaya autentikasi yang dicatat ke dalam log, dan diikuti dengan pemeriksaan otorisasi untuk memastikan pengguna terautentikasi diizinkan untuk mengakses resource yang diminta.
Identity Platform
Kasus penggunaan:
- Autentikasi sebagai layanan
- Autentikasi multi-faktor
- SLA Perusahaan
- Dukungan protokol yang luas
- Kecerdasan perlindungan Akun Google
Identity Platform adalah platform CIAM untuk pelanggan Google Cloud. Identity Platform membantu memberikan autentikasi yang aman sebagai layanan dengan dukungan multi-protokol menggunakan SDK dan API. Layanan ini menawarkan autentikasi multi-faktor, integrasi dengan layanan autentikasi pihak ketiga, dan pelacakan aktivitas yang dapat diaudit.
reCAPTCHA
Kasus penggunaan:
- Upaya login otomatis
- Scraping konten
- Penjejalan kredensial
- Transaksi menipu
- Pengambilalihan akun
- Akun palsu
- Pencucian uang
reCAPTCHA menyediakan pemfilteran yang sangat efektif terhadap bot dan bentuk otomatisasi lainnya serta traffic massal dengan menilai tingkat risiko upaya akses. Anda dapat menyesuaikan model khusus situs dengan masukan otomatis. reCAPTCHA akan menyesuaikan skor mendatang agar sesuai dengan situs Anda.
Security Command Center
Security Command Center mencakup tiga layanan yang membantu Anda mengatasi kegagalan identifikasi dan autentikasi: Deteksi Ancaman Peristiwa, Security Health Analytics, dan Web Security Scanner.
Event Threat Detection mendukung kasus penggunaan berikut:
- Deteksi serangan brute force
- Deteksi penyalahgunaan IAM
Event Threat Detection memantau aliran Cloud Logging Anda dan menerapkan logika deteksi serta inteligensi ancaman eksklusif pada level yang terperinci. Saat mendeteksi ancaman, Event Threat Detection akan menulis temuan ke Security Command Center dan ke Cloud Logging dalam project yang Anda pilih. Jenis peristiwa berikut berguna untuk mengidentifikasi autentikasi yang rusak:
- SSH Brute Force. Mendeteksi brute force SSH yang berhasil pada host.
- Pemberian tidak wajar. Mendeteksi hak istimewa yang diberikan kepada pengguna Identity and Access Management (IAM) di luar organisasi Google Cloud Anda.
Security Health Analytics mendukung kasus penggunaan berikut:
- Penerapan MFA/2FA
- Perlindungan kunci API
- Penerapan rotasi kunci API
Security Command Center membantu mencegah autentikasi rusak dengan memantau kepatuhan autentikasi multi-faktor dan kesehatan kunci API Anda. Anda dapat mengidentifikasi permintaan mencurigakan dan memblokirnya atau menandainya untuk penanganan khusus.
Web Security Scanner mendukung kasus penggunaan berikut:
- Kebocoran ID sesi
Web Security Scanner memindai aplikasi web Anda untuk mencari kerentanan seperti kebocoran ID sesi, yang memungkinkan pihak lain meniru identitas atau mengidentifikasi pengguna secara unik.
Kunci Keamanan Titan
Kasus penggunaan:
- 2FA yang tahan terhadap ancaman phishing
- Autentikasi seluler dan PC
Kunci Keamanan Titan menggunakan kriptografi kunci publik untuk memverifikasi identitas pengguna dan URL halaman login untuk membantu memastikan bahwa penyerang tidak dapat mengakses akun Anda meskipun Anda diperdaya untuk memberikan nama pengguna dan sandi.
A08: Kegagalan software dan integritas data
Kegagalan software dan integritas data dapat terjadi saat pemeriksaan integritas tidak terjadi selama update software, pemrosesan data rahasia, atau proses apa pun dalam pipeline CI/CD.
Artifact Registry
Kasus penggunaan:
- Memusatkan artefak dalam satu lokasi yang terpercaya
- Gunakan pengelolaan versi, pemindaian kerentanan, alur kerja persetujuan
Artifact Registry adalah satu tempat bagi organisasi Anda untuk mengelola image container dan paket bahasa (seperti Maven dan npm). Layanan ini dapat diintegrasikan dengan alat pengembangan yang ada dan menyediakan pemindaian kerentanan untuk container Anda menggunakan Artifact Analysis.
Otorisasi Biner
Kasus penggunaan:
- Memastikan hanya container tepercaya yang di-deploy
Otorisasi Biner memverifikasi integritas container sehingga hanya image container tepercaya yang di-deploy. Anda dapat membuat kebijakan untuk mengizinkan atau menolak deployment berdasarkan ada atau tidaknya pengesahan. Otorisasi Biner menerapkan kebijakan di level cluster, sehingga Anda dapat mengonfigurasi kebijakan yang berbeda untuk lingkungan yang berbeda. Perbedaan ini memungkinkan persyaratan pengesahan progresif karena lingkungan semakin dekat ke lingkungan production.
Inventaris Aset Cloud
Kasus penggunaan:
Layanan penelusuran
Penganalisis akses
Salah satu vektor paling umum untuk eksposur data adalah infrastruktur IT usang atau tidak sah. Anda dapat mengidentifikasi server yang tidak dikelola oleh siapa pun dan bucket dengan aturan berbagi yang terlalu luas dengan menganalisis data deret waktu aset cloud.
Siapkan notifikasi real-time untuk memberi tahu Anda tentang penyediaan resource tidak terduga yang mungkin tidak aman atau tidak sah.
Cloud Build
Kasus penggunaan:
Meninjau perubahan kode
Menjalankan pengujian
Menstandarkan deployment build
Cloud Build memungkinkan Anda membuat konfigurasi build untuk memberikan petunjuk tentang deployment build Anda, termasuk menjalankan analisis statis dan pengujian integrasi.
Google Cloud Armor
Kasus penggunaan:
- Memblokir eksekusi kode jarak jauh
Karena sebagian besar serangan terhadap software dan integritas data bersifat spesifik untuk aplikasi, hanya ada beberapa cara untuk membantu mengurangi serangan ini—misalnya, menggunakan firewall aplikasi web (WAF) seperti Google Cloud Armor. OWASP merekomendasikan agar Anda tidak menerima objek yang diserialisasi dari sumber tidak terpercaya. Jika memungkinkan, Anda dapat membatasi endpoint yang menerima objek tersebut ke sekumpulan alamat IP terpercaya dengan aturan tolak seperti berikut ini:
request.path.contains("/endpoint") && !(inIpRange(origin.ip,
'1.2.3.4/32')
Ganti kode berikut:
/endpoint: jalur endpoint yang menerima objek serial1.2.3.4/32: rentang alamat IP yang harus memiliki akses ke antarmuka.
Untuk memitigasi serangan umum terhadap software dan integritas data yang menggunakan eksekusi
kode jarak jauh (RCE), gunakan kumpulan aturan yang telah ditetapkan untuk melawan serangan RCE. Anda dapat
menggunakan aturan evaluatePreconfiguredExpr('rce-stable') untuk memblokir serangan RCE
umum terhadap UNIX dan Windows Shell.
Serangan RCE yang dijelaskan dalam tantangan Juice Shop untuk deserialisasi yang tidak aman menjalankan fungsi dan ekspresi reguler dalam Node.js di server. Serangan semacam ini tidak diblokir oleh kumpulan aturan RCE yang telah ditetapkan dan aturan Modsecurity OWASP yang terkait serta harus dimitigasi dengan menggunakan patch pada sisi server atau aturan khusus.
VirusTotal
Kasus penggunaan:
- Pemindaian data tidak terpercaya
VirusTotal API memungkinkan Anda mengupload dan memindai file untuk menemukan malware. Anda dapat memindai gambar, dokumen, biner, dan data tidak tepercaya lainnya sebelum diproses untuk menghilangkan kategori input berbahaya tertentu.
Security Command Center
Layanan Web Security Scanner di Security Command Center mendukung kasus penggunaan berikut:
- Deserialisasi tidak aman
Web Security Scanner
memindai aplikasi web Anda untuk mencari kerentanan. Misalnya,
jika Anda menggunakan versi Apache Struts
yang membuat aplikasi rentan terhadap serangan injeksi perintah jarak jauh,
Web Security Scanner akan menghasilkan
STRUTS_INSECURE_DESERIALIZATION finding.
A09: Kegagalan logging dan pemantauan keamanan
Jika Anda tidak membuat log, memantau, atau mengelola insiden secara memadai di sistem, penyerang dapat melakukan serangan yang lebih dalam dan berkepanjangan pada data dan software.
Transparansi Akses
Kasus penggunaan:
- Pemantauan dan audit akses penyedia layanan
- Justifikasi akses
- Identifikasi resource dan metode
Ketidakmampuan untuk mengaudit akses penyedia cloud dapat menjadi penghalang untuk migrasi dari infrastruktur lokal ke cloud. Transparansi Akses memungkinkan verifikasi akses penyedia cloud, sehingga kontrol audit Anda jadi lebih mirip dengan kondisi dalam infrastruktur lokal. Anda dapat mencatat alasan untuk setiap akses, termasuk referensi ke tiket dukungan yang relevan. Nama identifikasi resource dan metode resource mana yang diakses dan metode mana yang dijalankan oleh administrator yang mana. Persetujuan Akses memungkinkan Anda menyetujui atau menolak permintaan akses oleh karyawan Google yang bekerja untuk mendukung layanan Anda.
Apigee
Kasus penggunaan:
- Mengekspor log Apigee ke SIEM
- Menggunakan UI pemantauan Apigee
- Mengikuti praktik-praktik terbaik pemantauan
Apigee memiliki beberapa cara untuk melakukan logging, pemantauan, penanganan error, dan logging audit:
- Logging
- Pesan log dapat dikirim ke Splunk atau endpoint syslog menggunakan kebijakan MessageLogging.
- Data analisis API dapat diambil melalui analytics API dan diimpor atau diekspor ke sistem lain.
- Di Edge untuk Private Cloud, Anda dapat menggunakan kebijakan MessageLogging untuk menulis ke file log lokal. File log dari masing-masing komponen yang berjalan juga tersedia.
- Kebijakan JavaScript ini dapat digunakan untuk mengirim pesan log ke endpoint logging REST secara sinkron atau asinkron.
- Pemantauan
- Gunakan UI atau API API Monitoring untuk memantau API dan backend secara rutin serta memicu pemberitahuan.
- Gunakan pemantauan kesehatan untuk memantau backend server target secara rutin.
- Apigee memberikan rekomendasi untuk memantau Edge untuk Private Cloud.
- Apigee juga memberikan praktik terbaik yang dapat digunakan tim Anda untuk memantau program API.
- Penanganan Error
- Apigee menawarkan mekanisme penanganan error yang andal dan serbaguna untuk proxy API. Mirip dengan cara program Java menangkap pengecualian, proxy API dapat menangkap kesalahan dan menentukan cara menampilkan respons yang sesuai kepada klien.
- Dengan penanganan kesalahan kustom Apigee, Anda dapat menambahkan fungsi seperti logging pesan setiap kali terjadi error.
- Log Audit
- Platform Apigee menyimpan log audit yang melacak perubahan pada proxy API, produk, dan histori organisasi.
- Log ini tersedia melalui UI atau melalui Management API.
Google Security Operations
Kasus penggunaan:
- Deteksi ancaman
- Peringatan awal
Tim keamanan dapat mengirim telemetri keamanan mereka ke Google Security Operations agar Anda dapat menerapkan aturan deteksi yang kuat ke kumpulan data yang terpadu.
Sensitive Data Protection
Kasus penggunaan:
- Penyamaran data sensitif otomatis
Identifikasi informasi sensitif terkait kepatuhan di aliran log Anda dan samarkan atau ubah data tersebut dengan tepat sebelum mengarsipkannya dalam log. Misalnya, pesan error atau core dump mungkin berisi informasi sensitif, seperti nomor kartu kredit atau informasi identitas pribadi yang perlu disamarkan.
Cloud Key Management Service
Kasus penggunaan:
- Logging peristiwa permintaan kunci kriptografis
- Justifikasi akses
Key Access Justifications memberi Anda visibilitas historis ke setiap permintaan kunci enkripsi dengan mencatat justifikasi yang dinyatakan dan catatan persetujuan atau penolakan permintaan tersebut.
Cloud Logging
Kasus penggunaan:
- Agregasi log
- Penyimpanan catatan
- Penelusuran log
- Analisis log
Dengan Cloud Logging, Anda dapat menyimpan, menelusuri, menganalisis, memantau, serta membuat pemberitahuan terkait data dan peristiwa logging dari Google Cloud dan Amazon Web Services. Cloud logging ini mencakup akses ke layanan BindPlane, yang dapat Anda gunakan untuk mengumpulkan data logging dari lebih dari 150 komponen aplikasi umum, sistem lokal, dan sistem hybrid cloud.
Cloud Monitoring
Kasus penggunaan:
- Pemantauan log
- Pemberitahuan peristiwa
Cloud Monitoring memberikan visibilitas terkait performa, waktu beroperasi, dan kondisi keseluruhan aplikasi yang didukung oleh teknologi cloud. Layanan ini menyediakan dasbor pemantauan, pemantauan peristiwa, dan pemberitahuan melalui beberapa saluran.
Cloud Source Repositories
Kasus penggunaan:
- Atribusi perubahan kode
- Mengakses logging audit
Dapatkan insight tentang tindakan yang dilakukan pada repositori Anda, termasuk dimana dan kapan, Cloud Audit Logs dibuat oleh Cloud Source Repositories.
Error Reporting
Kasus penggunaan:
- Merekam error aplikasi internal di Cloud Logging
- Mengumpulkan laporan error di luar instance komputasi yang mengalami error
Error aplikasi internal dapat menjadi indikator masalah keamanan, fungsi yang rusak, atau upaya untuk mengakali keamanan. Error Reporting menghitung, menganalisis, dan menggabungkan error di layanan cloud yang sedang berjalan. Antarmuka pengelolaan error terpusat menampilkan hasil dengan kemampuan mengurutkan dan memfilter. Tampilan khusus menunjukkan detail error—misalnya, diagram waktu, kemunculannya, jumlah akun pengguna yang terpengaruh, tanggal pertama dan terakhir terlihat, serta pelacakan tumpukan pengecualian yang dibersihkan. Pilih ikut serta untuk menerima pemberitahuan melalui email dan seluler tentang error baru.
Google Cloud Armor
Kasus penggunaan:
- Logging kebijakan keamanan
- Dasbor monitoring
- Pemberitahuan tentang anomali traffic
Log permintaan Google Cloud Armor adalah bagian dari Cloud Logging untuk Load Balancer Aplikasi eksternal Agar memiliki akses ke informasi logging—seperti aturan kebijakan keamanan yang cocok dengan traffic—aktifkan logging pada semua layanan backend yang telah menyertakan kebijakan keamanan. Gunakan aturan dalam mode pratinjau untuk menguji dan mencatat hasilnya ke dalam log tanpa menerapkan efeknya.
Google Cloud Armor juga menawarkan dasbor pemantauan untuk kebijakan keamanan yang memungkinkan Anda mendapatkan ringkasan jumlah traffic yang lulus atau ditolak oleh kebijakan keamanan Anda. Google Cloud Armor memublikasikan temuan tentang anomali traffic, seperti lonjakan traffic yang diizinkan atau peningkatan traffic yang ditolak, di Security Command Center.
Google Cloud Armor secara otomatis menulis log audit Aktivitas Admin, yang mencatat operasi yang mengubah konfigurasi atau metadata resource. Layanan ini juga dapat dikonfigurasi untuk menulis log audit Akses Data yang berisi panggilan API yang membaca konfigurasi atau metadata resource, serta panggilan API berbasis pengguna yang membuat, mengubah, atau membaca data resource yang disediakan pengguna.
Identity Platform
Kasus penggunaan:
- Log audit Aktivitas Admin
- Log audit akses data
- Log audit peristiwa sistem
- Log audit kebijakan ditolak
- Log aktivitas autentikasi
Identity Platform adalah platform CIAM untuk Google Cloud yang mencatat aktivitas autentikasi secara default.
Aktifkan beberapa log audit yang andal termasuk aktivitas administrator, akses data, peristiwa sistem, dan upaya autentikasi yang ditolak.
Security Command Center
Kasus penggunaan:
- Pemantauan pemberitahuan
- Pengelolaan ancaman
- Pelaporan pemindaian kerentanan
- Pemantauan kepatuhan
- Pemantauan aset
- Temuan pemindaian keamanan
Dengan dasbor kepatuhan, Anda dapat terus memantau kepatuhan dengan kontrol dari PCI-DSS, CIS Google Cloud Computing Foundations Benchmark, dan lainnya. Halaman Aset menyediakan tampilan mendetail untuk semua resource Google Cloud, yang disebut aset, di organisasi Anda. Halaman ini memungkinkan Anda melihat aset untuk seluruh organisasi atau Anda dapat memfilter aset dalam project tertentu, berdasarkan jenis aset, atau jenis perubahan. Terakhir, Anda dapat meninjau inventaris temuan terperinci untuk semua aset organisasi sehingga Anda dapat melihat potensi risiko keamanan.
Selain itu, layanan Event Threat Detection dari Security Command Center mendukung kasus penggunaan berikut:
- Brute force
- Cryptomining
- Penyalahgunaan IAM
- Malware
- Phishing
Event Threat Detection memantau aliran Cloud Logging Anda dan menerapkan logika deteksi serta inteligensi ancaman eksklusif pada level yang terperinci. Event Threat Detection mengidentifikasi entri penting di log Anda dan meningkatkannya untuk ditinjau. Saat mendeteksi ancaman, Event Threat Detection akan menulis temuan ke Security Command Center dan ke project Cloud Logging.
A10: Pemalsuan Permintaan Sisi Server (SSRF)
Serangan SSRF terjadi saat penyerang memaksa server yang rentan untuk memicu permintaan berbahaya yang tidak diinginkan ke server pihak ketiga atau resource internal. Kecacatan SSRF dapat terjadi saat aplikasi web mengambil resource jarak jauh tanpa memvalidasi URL yang diberikan pengguna.
Apigee
Kasus penggunaan:
- Memblokir serangan SSRF dengan menggunakan LFI atau RFI
Apigee memiliki parser XML dan JSON bawaan yang menggunakan XPath atau JSONPath untuk mengekstrak data. Layanan ini memiliki kebijakan XMLThreatProtection untuk melindungi dari payload XML berbahaya dan kebijakan JSONThreatProtection untuk membantu melindungi dari payload JSON berbahaya.
Kebijakan ExtractVariables Apigee memungkinkan Anda mengekstrak konten dari permintaan atau respons, dan menetapkan konten tersebut ke variabel. Anda dapat mengekstrak setiap bagian pesan, termasuk header, jalur URI, payload JSONdan XML, parameter formulir, dan parameter kueri. Kebijakan ini berfungsi dengan menerapkan pola teks ke konten pesan dan ketika menemukan kecocokan, menetapkan variabel dengan konten pesan yang ditentukan.
Google Cloud Armor
Kasus penggunaan:
- Memfilter serangan SSRF dengan menggunakan LFI atau RFI
Karena serangan SSRF dapat bersifat kompleks dan memiliki bentuk yang berbeda, kemungkinan mitigasi oleh firewall aplikasi web terbatas. Serangan dapat dimitigasi dengan lebih baik dengan mem-patch parser XML atau JSON, melarang entity eksternal, dan membatasi transfer data XML atau JSON pada server web publik seminimal mungkin. Namun, bergantung pada aplikasi dan jenis serangan, Google Cloud Armor masih dapat membantu melindungi dari pemindahan data yang tidak sah dan dampak lainnya.
Meskipun tidak ada aturan dalam
Kumpulan Aturan Inti Keamanan Mode OWASP
yang secara khusus melindungi dari serangan SSRF, aturan penyertaan file lokal (LFI) dan penyertaan file jarak jauh (RFI)
dapat membantu melawan beberapa serangan ini. Untuk menghentikan penyerang mengambil file lokal di server, Anda dapat menggunakan aturan evaluatePreconfiguredExpr('lfi-stable')
dalam kebijakan Keamanan Google Cloud Armor.
Tantangan SSRF Juice Shop menggunakan kumpulan aturan penyertaan file jarak jauh (RFI) atau penyertaan file lokal (LFI) yang telah dikonfigurasi sebelumnya untuk membantu memitigasi beberapa serangan ini karena memblokir penyertaan URL atau path traversal. Misalnya, aturan berikut mengaktifkan kedua kumpulan aturan:
evaluatePreconfiguredExpr('lfi-stable') ||
evaluatePreconfiguredExpr('rfi-stable')
Saat aturan tersebut diterapkan, solusi untuk tantangan SSRF juga akan berhenti berfungsi.
Kontrol Layanan VPC
Kasus penggunaan:
- Perimeter jaringan untuk segmen server
Untuk mengurangi dampak serangan SSRF, Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang mengelompokkan server dari resource lain di organisasi Anda. Perimeter ini memberikan perlindungan terhadap pemindahan data yang tidak sah. Saat dijalankan dalam mode diterapkan, permintaan API ke layanan yang dibatasi tidak melewati batas perimeter kecuali jika kondisi aturan masuk dan keluar yang diperlukan dari perimeter terpenuhi.
Firewall Virtual Private Cloud (VPC)
Kasus penggunaan:
- Terapkan kebijakan firewall "tolak secara default" atau aturan kontrol akses jaringan untuk memblokir semua traffic intranet yang penting.
Firewall VPC diterapkan ke traffic m asuk dan keluar untuk project dan jaringan VPC Anda. Anda dapat membuat aturan firewall yang memblokir semua traffic kecuali traffic yang ingin diizinkan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.
Security Command Center
Layanan Web Security Scanner di Security Command Center mendukung kasus penggunaan berikut:
- Pemantauan aplikasi web
Web Security Scanner
memindai aplikasi web Anda untuk mencari kerentanan. Misalnya,
jika aplikasi Anda rentan terhadap pemalsuan permintaan sisi server,
Web Security Scanner akan menghasilkan
penemuan SERVER_SIDE_REQUEST_FORGERY.
Langkah berikutnya
- Perlindungan API dan aplikasi web di Google Cloud
- 10 Teratas OWASP
- Buletin keamanan Google Cloud
- Pusat praktik terbaik keamanan Google Cloud
- Penawaran kepatuhan
- Tolok ukur CIS untuk Google Cloud
- Security Command Center
- Apigee
- Google Cloud Armor
- Semua produk keamanan Google Cloud
- Pelajari arsitektur referensi, diagram, dan praktik terbaik tentang Google Cloud. Lihat Cloud Architecture Center kami.