Opzioni di mitigazione dei rischi OWASP Top 10 2021 su Google Cloud

Last reviewed 2024-07-31 UTC

Questo documento ti aiuta a identificare Google Cloud prodotti e strategie di mitigazione che possono aiutarti a difenderti dagli attacchi comuni a livello di applicazione delineati nella lista OWASP Top 10. OWASP Top 10 è un elenco stilato dalla Open Web Application Security (OWASP) Foundation dei 10 principali rischi per la sicurezza che ogni proprietario di applicazioni deve conoscere. Sebbene nessun prodotto di sicurezza possa garantire una protezione completa contro questi rischi, l'applicazione di questi prodotti e servizi quando sono utili nella tua architettura può contribuire a una solida soluzione di sicurezza a più livelli.

L'infrastruttura di Google è progettata per aiutarti a creare, implementare e gestire i servizi in modo sicuro. La sicurezza fisica e operativa, la crittografia dei dati at-rest e in transito e molte altre sfaccettature importanti di un'infrastruttura sicura sono gestite da Google. Questi vantaggi vengono ereditati dal deployment delle applicazioni su Google Cloud, ma potresti dover adottare misure aggiuntive per proteggere la tua applicazione da attacchi specifici.

Le strategie di mitigazione elencate in questo documento sono ordinate in base al rischio per la sicurezza dell'applicazione e al Google Cloud prodotto. Molti prodotti svolgono un ruolo nella creazione di una strategia di difesa in profondità contro i rischi per la sicurezza web. Questo documento fornisce informazioni su come altri prodotti possono mitigare i rischi della Top 10 di OWASP, ma fornisce ulteriori dettagli su come Google Cloud Armor e Apigee possono mitigare una vasta gamma di questi rischi. Google Cloud Armor, che agisce come WAF (Web Application Firewall), e Apigee, che agisce come gateway API, possono essere particolarmente utili per bloccare diversi tipi di attacchi. Questi prodotti si trovano nel percorso del traffico proveniente da internet e possono bloccare il traffico esterno prima che raggiunga le tue applicazioni in Google Cloud.

Panoramiche dei prodotti

I Google Cloud prodotti elencati nella tabella seguente possono aiutarti a difenderti dai 10 principali rischi per la sicurezza:

Prodotto Riepilogo A01 A02 A03 A04 A05 A06 A07 A08 A09 A10
Access Transparency Estendi la visibilità e il controllo sul tuo cloud provider tramite i log degli accessi amministratore e i controlli di approvazione
Apigee Progettare, proteggere e scalare le interfacce di programmazione delle applicazioni
Artifact Registry Memorizza in modo centralizzato gli artefatti e le dipendenze della build
Autorizzazione binaria Assicurati che il deployment in Google Kubernetes Engine avvenga solo per le immagini container attendibili
Cloud Asset Inventory Visualizza, monitora e analizza tutti i tuoi asset Google Cloud e Google Distributed Cloud o multi-cloud in tutti i progetti e servizi
Cloud Build Crea, testa ed esegui il deployment in Google Cloud
Cloud Key Management Service Gestisci le chiavi di crittografia su Google Cloud
Cloud Load Balancing Controlla le crittografie negoziate dal proxy SSL o dal bilanciatore del carico HTTPS
Cloud Logging Gestione e analisi dei log in tempo reale su larga scala
Cloud Monitoring Raccogliere e analizzare metriche, eventi e metadati da Google Cloud servizi e da una vasta gamma di applicazioni e servizi di terze parti
Cloud Source Repositories Archivia, gestisci e monitora il codice in un unico posto per il tuo team
Google Cloud Armor Un web application firewall (WAF) di cui è stato eseguito il deployment all'edge della rete di Google per aiutarti a difenderti dai vettori di attacco più comuni
Google Security Operations Trova automaticamente le minacce in tempo reale e su larga scala utilizzando l'infrastruttura, le tecniche di rilevamento e gli indicatori di Google
Identity Platform Aggiungi funzionalità di gestione di identità e accessi alle applicazioni, proteggi gli account utente e scala la gestione delle identità
Identity-Aware Proxy (IAP) Utilizza l'identità e il contesto per proteggere l'accesso alle applicazioni e alle VM
reCAPTCHA Proteggi il tuo sito web da attività fraudolente, spam e comportamenti illeciti
Secret Manager Archivia chiavi API, password, certificati e altri dati sensibili
Security Command Center Visibilità centralizzata per l'analisi della sicurezza e l'intelligence sulle minacce per aiutarti a identificare le vulnerabilità nelle tue applicazioni
Sensitive Data Protection Scopri, classifica e proteggi i tuoi dati più sensibili
Token di sicurezza Titan Aiutano a proteggere gli utenti di alto livello con dispositivi di autenticazione a due fattori resistenti al phishing che integrano un chip hardware (con firmware progettato da Google) per verificare l'integrità della chiave
Firewall Virtual Private Cloud Consentire o negare le connessioni da o verso le tue istanze di macchine virtuali (VM)
VirusTotal Analizza file e URL sospetti per rilevare tipi di malware e condividili automaticamente con la community per la sicurezza informatica
Controlli di servizio VPC Isola le risorse dei servizi Google Cloud multi-tenant per ridurre i rischi di esfiltrazione dei dati
Google Cloud bollettini sulla sicurezza I bollettini sulla sicurezza più recenti relativi ai Google Cloud prodotti

A01: Controllo dell'accesso non funzionante

Per controllo dell'accesso non funzionante si intendono i controlli dell'accesso applicati solo parzialmente lato client o implementati in modo debole. Per attenuare questi controlli, spesso è necessaria una riscrittura a livello di applicazione per applicare correttamente l'accesso alle risorse solo da parte degli utenti autorizzati.

Apigee

Caso d'uso:

  • Applicazione del controllo dell'accesso
  • Limitare la manipolazione dei dati

Apigee supporta un approccio a più livelli per implementare i controlli di accesso in modo da impedire agli agenti malintenzionati di apportare modifiche non autorizzate o di accedere al sistema.

Configura controllo dell'accesso basato sui ruoli (RBAC) per consentire agli utenti di accedere solo alle risorse e alla configurazione di cui hanno bisogno. Crea mappe chiave-valore criptate per memorizzare coppie chiave-valore sensibili, che vengono visualizzate mascherate nell'interfaccia utente di Edge e nelle chiamate dell'API di gestione. Configurare Single Sign-On con il provider di identità della tua azienda.

Configura i portali per sviluppatori per mostrare prodotti API specifici in base al ruolo dell'utente. Configura il portale in modo da mostrare o nascondere i contenuti in base al ruolo dell'utente.

Cloud Asset Inventory

Caso d'uso:

  • Monitora la presenza di risorse IT non autorizzate (noto anche come shadow IT)
  • Istanze di calcolo obsolete

Uno dei vettori più comuni per l'esposizione dei dati è l'infrastruttura IT orfana o non autorizzata. Configura le notifiche in tempo reale per ricevere avvisi in caso di risorse in esecuzione inaspettate, che potrebbero non essere protette correttamente o utilizzare software obsoleto.

Cloud Load Balancing

Caso d'uso:

  • Controllo granulare degli algoritmi di crittografia SSL e TLS

Impedisci l'uso di crittografi SSL o TLS deboli assegnando un gruppo predefinito o un elenco personalizzato di crittografi che Cloud Load Balancing può utilizzare.

Google Cloud Armor

Caso d'uso:

  • Filtrare le richieste cross-origin
  • Filtra gli attacchi di inclusione di file locali o remoti
  • Filtra gli attacchi di inquinamento dei parametri HTTP

Molti casi di controllo dell'accesso non funzionante non possono essere mitigati utilizzando un firewall per applicazioni web, perché le applicazioni non richiedono o non controllano correttamente i token di accesso per ogni richiesta e i dati possono essere manipolati lato client. Più problemi di Juice Shop relativi al controllo dell'accesso non funzionante. Ad esempio, pubblicare un feedback a nome di un altro utente sfrutta il fatto che alcune richieste non sono autenticate lato server. Come puoi vedere nella soluzione della sfida, l'exploit di questa vulnerabilità è completamente lato client e pertanto non può essere mitigato utilizzando Google Cloud Armor.

Alcune sfide possono essere mitigate parzialmente lato server se l'applicazione non può essere immediatamente sottoposta a patch.

Ad esempio, se gli attacchi di CSRF (Cross-Site Request Forgery) sono possibili perché il tuo server web implementa male la condivisione delle risorse cross-origin (CORS), come dimostrato nella sfida del negozio di succhi CSRF, puoi mitigare il problema bloccando del tutto le richieste provenienti da origini impreviste con una regola personalizzata. La seguente regola corrisponde a tutte le richieste con origini diverse da example.com e google.com:

has(request.headers['origin']) &&
!((request.headers['origin'] == 'https://example.com')||
(request.headers['origin'] == 'https://google.com') )

Quando il traffico che corrisponde a una regola di questo tipo viene rifiutato, la soluzione per la verifica CSRF smette di funzionare.

La sfida di manipolazione del carrello utilizza l'inquinamento dei parametri HTTP (HPP) per consentirti di vedere come attaccare il negozio seguendo la soluzione della sfida. L'HPP viene rilevato nell'ambito dell'insieme di regole di attacco del protocollo. Per contribuire a bloccare questo tipo di attacco, utilizza la seguente regola: evaluatePreconfiguredExpr('protocolattack-stable').

Identity-Aware Proxy e accesso sensibile al contesto

Caso d'uso:

  • Controllo degli accessi centralizzato
  • Compatibile con cloud e on-premise
  • Protegge le connessioni HTTP e TCP
  • Accesso sensibile al contesto

IAP ti consente di utilizzare l'identità e il contesto per formare una barriera di autenticazione e autorizzazione sicura intorno alla tua applicazione. Evita controllo dell'accesso dell'accesso o l'autorizzazione non funzionante per la tua applicazione rivolta al pubblico con un sistema di autenticazione e autorizzazione gestito centralmente basato su Cloud Identity e IAM.

Applica controlli di accesso granulari ad applicazioni web, VM, Google Cloud API e applicazioni Google Workspace in base all'identità dell'utente e al contesto della richiesta senza la necessità di una VPN convenzionale. Utilizza un'unica piattaforma sia per le applicazioni cloud sia per le risorse di infrastruttura on-premise.

Security Command Center

Security Command Center include due servizi che ti aiutano a risolvere i problemi relativi ai controlli di accesso: Security Health Analytics e Web Security Scanner.

Security Health Analytics supporta i seguenti casi d'uso:

  • Applicazione dell'MFA o della 2FA
  • Protezione delle chiavi API
  • Monitoraggio dei criteri SSL

Security Health Analytics aiuta a prevenire il controllo dell'accesso non funzionante monitorando la conformità all'autenticazione a più fattori, i criteri SSL e lo stato delle chiavi API.

Web Security Scanner supporta i seguenti casi d'uso:

  • Repository esposti al pubblico
  • Convalida delle intestazioni delle richieste non sicure

Web Security Scanner esegue la scansione delle tue applicazioni web per rilevare vulnerabilità, ad esempio repository di codice visibili pubblicamente e convalida configurata in modo errato degli intestazioni di richiesta.

A02: errori di crittografia

Gli errori crittografici possono verificarsi a causa della mancanza di crittografia o di crittografia debole durante il transito o della advertente esposizione di dati sensibili. Gli attacchi a queste vulnerabilità sono solitamente specifici dell'applicazione e, pertanto, richiedono un approccio di difesa in profondità per essere mitigati.

Apigee

Caso d'uso:

  • Proteggere i dati sensibili

Utilizza TLS unidirezionale e bidirezionale per proteggere le informazioni sensibili a livello di protocollo.

Utilizza criteri come Criterio Assegna messaggio e Criterio JavaScript per rimuovere i dati sensibili prima che vengano restituiti al client.

Utilizza le tecniche standard di OAuth e valuta la possibilità di aggiungere HMAC, hash, stato, nonce, PKCE o altre tecniche per migliorare il livello di autenticazione per ogni richiesta.

Nascondi i dati sensibili nello strumento di monitoraggio Edge.

Crittografa i dati sensibili at-rest nelle mappe chiave/valore.

Cloud Asset Inventory

Caso d'uso:

  • Servizio di ricerca
  • Access Analyzer

Uno dei vettori più comuni per l'esposizione dei dati è l'infrastruttura IT orfana o non autorizzata. Puoi identificare i server di cui nessuno si occupa e i bucket con regole di condivisione troppo ampie analizzando i dati delle serie temporali delle risorse cloud.

Configura le notifiche in tempo reale per ricevere avvisi sul provisioning imprevisto di risorse che potrebbero essere protette o non autorizzate in modo improprio.

API Cloud Data Loss Prevention (parte di Sensitive Data Protection)

Caso d'uso:

  • Rilevamento e classificazione dei dati sensibili
  • Mascheramento automatico dei dati

L'API Cloud Data Loss Prevention (API DLP) consente di eseguire la scansione per rilevare eventuali dati potenzialmente sensibili archiviati in bucket o database al fine di evitare la fuga di informazioni involontaria. Se vengono identificati dati non consentiti, questi possono essere segnalati o oscurati automaticamente.

Cloud Key Management Service

Caso d'uso:

  • Gestione sicura delle chiavi di crittografia

(Cloud KMS) aiuta a prevenire la potenziale esposizione delle tue chiavi di crittografia. Utilizza questo servizio di gestione delle chiavi in hosting nel cloud per gestire le chiavi di crittografia simmetriche e asimmetriche per i tuoi servizi cloud nello stesso modo in cui faresti on-premise. Puoi generare, utilizzare, ruotare ed eliminare chiavi di crittografia AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 ed EC P384.

Cloud Load Balancing

Caso d'uso:

  • Controllo granulare degli algoritmi di crittografia SSL e TLS

I criteri SSL possono contribuire a prevenire l'esposizione di dati sensibili dandoti il controllo sulle funzionalità e sulle crittografie SSL e TLS consentite in un bilanciatore del carico. Bloccare le crittografie non approvate o non sicure in base alle esigenze.

Google Cloud Armor

Caso d'uso:

  • Filtrare gli URL di attacchi noti
  • Limitare l'accesso agli endpoint sensibili

In generale, l'esposizione dei dati sensibili deve essere interrotta alla fonte, ma poiché ogni attacco è specifico per l'applicazione, i firewall delle applicazioni web possono essere utilizzati solo in modo limitato per interrompere l'esposizione dei dati in generale. Tuttavia, se non è possibile applicare immediatamente una patch all'applicazione, puoi limitare l'accesso agli endpoint o ai pattern di richiesta vulnerabili utilizzando le regole personalizzate di Google Cloud Armor.

Ad esempio, diverse vulnerabilità di Juice Shop relative all'esposizione di dati sensibili possono essere sfruttate a causa di attraversamenti di directory non sicuri e attacchi di inserimento di byte null. Puoi ridurre al minimo queste iniezioni controllando le stringhe nell'URL con la seguente espressione personalizzata:

request.path.contains("%00") || request.path.contains("%2500")

Puoi risolvere la sfida delle metriche esposte accedendo alla sottodirectory /metrics utilizzata da Prometheus. Se hai un endpoint sensibile esposto e non puoi rimuovere immediatamente l'accesso, puoi limitarne l'accesso, ad eccezione di determinati intervalli di indirizzi IP. Utilizza una regola simile alla seguente espressione personalizzata:

request.path.contains("/metrics") && !(inIpRange(origin.ip, '1.2.3.4/32')

Sostituisci 1.2.3.4/32 con l'intervallo di indirizzi IP che deve avere accesso all'interfaccia delle metriche.

I file di log esposti accidentalmente vengono utilizzati per risolvere una delle sfide di Juice Shop. Per evitare di esporre i log, imposta una regola che ne impedisca completamente l'accesso ai file: request.path.endsWith(".log").

Identity-Aware Proxy e accesso sensibile al contesto

Caso d'uso:

  • Accesso remoto sicuro a servizi sensibili
  • Controllo degli accessi centralizzato
  • Accesso sensibile al contesto

Utilizza l'identità e il contesto per formare un perimetro di autenticazione e autorizzazione sicuro attorno alla tua applicazione. Esegui il deployment di strumenti come segnalazioni di bug interne, knowledge base aziendale o email dietro IAP per consentire l'accesso sensibile al contesto solo a persone autorizzate da qualsiasi punto di internet.

Con l'accesso sensibile al contesto, puoi applicare controlli dell'accesso granulari alle applicazioni web, alle macchine virtuali (VM), Google Cloud alle API e alle applicazioni Google Workspace in base all'identità dell'utente e al contesto della richiesta senza una VPN convenzionale. Basato sul modello di sicurezza Zero Trust e sull'implementazione di BeyondCorp di Google, l'accesso sensibile al contesto ti consente di fornire l'accesso agli utenti, applicare controlli granulari e utilizzare un'unica piattaforma sia per le applicazioni cloud che on-premise sia per le risorse di infrastruttura.

Secret Manager

Caso d'uso:

  • Chiavi di crittografia
  • Chiavi API
  • Altre credenziali di sistema

Secret Manager è un servizio di archiviazione sicuro per i tuoi dati più importanti, come chiavi API, password degli account di servizio e asset di crittografia. La memorizzazione centralizzata di questi secret ti consente di fare affidamento sui sistemi di autenticazione e autorizzazione di Google Cloud, incluso IAM, per determinare se una determinata richiesta di accesso è valida.

Secret Manager non è progettato per operazioni su larga scala come la tokenizzazione delle carte di credito o la memorizzazione delle password dei singoli utenti. Queste applicazioni devono basarsi su Identity Platform per la gestione di identità e accessi cliente (GIAC), Cloud Identity per i membri della tua organizzazione o su software di tokenizzazione dedicato.

Security Command Center

Security Command Center include due servizi che ti aiutano a risolvere i problemi di crittografia: Security Health Analytics e Web Security Scanner.

Security Health Analytics supporta i seguenti casi d'uso:

  • Applicazione dell'MFA/2FA
  • Protezione delle chiavi API
  • Applicazione rotazione della chiave API
  • Privacy delle immagini Compute
  • Applicazione delle regole delle chiavi SSH
  • Monitoraggio dell'avvio protetto
  • Sicurezza dell'accesso alle API
  • Monitoraggio dei criteri SSL
  • Logging disabilitato
  • Allerte ACL dei bucket pubblici

Security Health Analytics aiuta a prevenire l'esposizione di dati sensibili monitorando la conformità dell'autenticazione a più fattori e lo stato delle chiavi API. Ricevi alert per le configurazioni non sicure nello spazio di archiviazione delle immagini dei container, in Cloud Storage, nei criteri SSL, nei criteri per le chiavi SSH, nel logging, nell'accesso alle API e altro ancora.

Web Security Scanner supporta il seguente caso d'uso:

  • Password non criptate trasmesse sulla rete

Web Security Scanner esegue la scansione delle tue applicazioni web e segnala gli errori e le vulnerabilità rilevati. Se la tua applicazione trasmette le password in chiaro, Web Security Scanner genera un rilevamento CLEAR_TEXT_PASSWORD.

VirusTotal

Caso d'uso:

  • Prevenzione del phishing

VirusTotal ti consente di scansionare gli URL alla ricerca di contenuti dannosi prima di presentarli agli utenti o ai dipendenti, indipendentemente dal fatto che si trovino in input degli utenti, email, chat, log o altre posizioni.

Controlli di servizio VPC

Caso d'uso:

  • Firewall per i servizi gestiti

Racchiudi i servizi gestiti in modo critico in un firewall per controllare chi può chiamare il servizio e a chi può rispondere. Blocca l'esfiltrazione di dati e il traffico in uscita non autorizzato con regole perimetrali in uscita su servizi come le funzioni Cloud Run. Impedisci le richieste di utenti e località non autorizzati a datastore e database gestiti. Crea perimetri sicuri attorno ad API potenti o potenzialmente costose.

Scanner di applicazioni web

Caso d'uso:

  • Scanner dei rischi per la sicurezza delle applicazioni web
  • Scanner della disponibilità del repository di codice sorgente

Per impedire all'applicazione web di esporre dati sensibili, assicurati che le password non vengano inviate in chiaro. Evita la fuga di codice sorgente non elaborato potenzialmente devastante controllando la presenza di repository di codice sorgente git e Apache Subversion esposti. Queste analisi sono pensate per coprire controlli specifici della Top 10 di OWASP.

A03: Iniezione

I difetti di attacco di tipo injection, come SQL, NoSQL, OS e LDAP, si verificano quando i dati non attendibili vengono inviati a un interprete nell'ambito di un comando o di una query. I dati ostili dell'aggressore possono spingere l'interprete a eseguire comandi indesiderati o ad accedere ai dati senza autorizzazione. Consigliamo di eseguire la sanitizzazione o il filtraggio dei dati utente da parte dell'applicazione prima che vengano inviati a un interprete.

Le sezioni seguenti illustrano i Google Cloud prodotti che possono contribuire a mitigare questo rischio.

Apigee

Caso d'uso:

  • Blocco delle iniezioni SQL
  • Blocco delle iniezioni NoSQL
  • Blocco dell'iniezione LDAP
  • Blocco dell'iniezione di JavaScript

Apigee fornisce diversi criteri di convalida degli input per verificare che i valori forniti da un cliente corrispondano alle aspettative configurate prima di consentire l'ulteriore elaborazione dei criteri o delle regole. Apigee, che funge da gateway per le richieste API in entrata, esegue un controllo del limite per garantire che la struttura del payload rientri in un intervallo accettabile. Puoi configurare un proxy API in modo che la routine di convalida dell'input trasformi l'input per rimuovere le sequenze di caratteri rischiose e poi sostituirle con valori sicuri.

Esistono diversi approcci per convalidare l'input con la piattaforma Apigee:

Google Cloud Armor

Caso d'uso:

  • Filtro di SQL injection
  • Filtro delle iniezioni PHP

Google Cloud Armor può bloccare gli attacchi di attacco di iniezione comuni prima che raggiungano la tua applicazione. Per le SQL injection (SQLi), Google Cloud Armor dispone di un insieme di regole predefinite basato sul insieme di regole di base di Modsecurity di OWASP. Puoi creare criteri di sicurezza che bloccano gli attacchi SQLi comuni definiti nell'insieme di regole di base utilizzando la regola evaluatePreconfiguredExpr('sqli-stable') da sola o in combinazione con altre regole personalizzate. Ad esempio, puoi limitare il blocco degli attacchi SQLi a applicazioni specifiche utilizzando un filtro del percorso dell'URL.

Per l'iniezione di PHP, esiste un altro insieme di regole preconfigurate. Puoi utilizzare la regola evaluatePreconfiguredExpr('php-stable') per bloccare gli attacchi di attacco di tipo PHP injection più comuni.

A seconda dell'applicazione, l'attivazione delle espressioni predefinite potrebbe portare a alcuni falsi positivi perché alcune delle regole nell'insieme di regole sono piuttosto sensibili. Per ulteriori informazioni, consulta la sezione sulla risoluzione dei problemi relativi ai falsi positivi e su come ottimizzare il set di regole per diversi livelli di sensibilità.

Per gli attacchi di inserimento diversi da quelli che hanno come target SQL o PHP, puoi creare regole personalizzate per bloccare le richieste quando vengono utilizzate parole chiave specifiche o pattern di escape in questi protocolli nel percorso o nella query della richiesta. Assicurati che questi pattern non compaiano nelle richieste valide. Puoi anche limitare l'utilizzo di queste regole solo per endpoint o percorsi specifici che potrebbero interpretare i dati che vengono loro trasmessi.

Inoltre, alcuni attacchi di inserimento possono essere mitigati utilizzando le regole preconfigurate per l'esecuzione di codice da remoto e l'inserimento di file da remoto.

Security Command Center

Security Command Center include due servizi che ti aiutano a risolvere i problemi di attacco di iniezione: Container Threat Detection e Web Security Scanner.

Container Threat Detection supporta i seguenti casi d'uso:

  • Rilevamento di script dannosi
  • Rilevamento di shell inverse
  • Rilevamento dell'installazione di malware

Il rilevatore Malicious Script Executed di Container Threat Detection analizza ogni script shell eseguito sul sistema e segnala quelli che sembrano dannosi. Questo rilevatore consente di rilevare gli attacchi di inserimento di comandi shell. Dopo un'iniezione di comandi shell riuscita, un malintenzionato può generare un'involucro protetto in controfase, che attiva il rilevatore Reverse Shell. In alternativa, possono installare malware, che attiva i rilevatori Added Binary Executed e Added Library Loaded.

Web Security Scanner supporta i seguenti casi d'uso:

  • Monitoraggio per cross-site scripting
  • Monitoraggio per l'iniezione SQL

Web Security Scanner analizza le tue applicazioni web alla ricerca di vulnerabilità e fornisce rilevatori che monitorano gli attacchi di cross-site scripting e SQL injection.

A04: Design non sicuro

Il design non sicuro si verifica quando le organizzazioni non implementano i mezzi per valutare e affrontare le minacce durante il ciclo di vita dello sviluppo. La modellazione delle minacce, se eseguita nelle prime fasi di progettazione e perfezionamento e continuata durante le fasi di sviluppo e test, aiuta le organizzazioni ad analizzare ipotesi e errori di sistema. Una cultura di apprendimento dagli errori senza sensi di colpa è fondamentale per un design sicuro.

Apigee

Casi d'uso:

  • Convalida dell'input
  • Controlli di accesso
  • Gestione degli errori
  • Norme sulla protezione dei contenuti
  • Gestione delle password

Apigee ti consente di convalidare le richieste e le risposte in entrata alla tua applicazione utilizzando il criterio OASValidation. Inoltre, per proteggere l'accesso, puoi configurare l'accesso mediante un unico nome utente (SSO), il controllo dell'accesso dell'accesso basato sui ruoli (RBAC), limitare l'accesso alle API (utilizzando Auth0 ad esempio) e limitare gli indirizzi IP che hanno accesso al tuo ambiente. Utilizzando le regole di gestione degli errori, puoi personalizzare il modo in cui il proxy API reagisce agli errori.

Per proteggersi da password non sicure per gli utenti globali di Apigee, Apigee fornisce opzioni di scadenza, blocco e reimpostazione della password. Inoltre, puoi attivare l'autenticazione a due fattori (2FA).

API Cloud Data Loss Prevention (parte di Sensitive Data Protection)

Caso d'uso:

  • Identificare e oscurare i dati riservati

Con l'API Cloud Data Loss Prevention, puoi identificare i dati riservati e tokenizzarli. L'API DLP può aiutarti a limitare l'esposizione dei dati riservati, perché dopo che i dati sono stati codificati e archiviati, puoi configurare i controlli di accesso per limitare chi può visualizzarli. Per ulteriori informazioni, consulta Automatizzazione della classificazione dei dati caricati su Cloud Storage e Anonimizzazione e reidentificazione delle PII in set di dati su larga scala con Sensitive Data Protection.

Secret Manager

Caso d'uso:

  • Proteggere l'archiviazione delle credenziali

Secret Manager consente alle applicazioni e alle pipeline di accedere ai valori dei secret con nome in base alle autorizzazioni concesse con IAM. Fornisce inoltre accesso programmatico ai secret in modo che le procedure automatiche possano accedere ai valori dei secret. Se è abilitata, ogni interazione con Secret Manager fornisce un audit trail. Utilizza queste tracce di controllo per supportare le esigenze di analisi forense e conformità.

Security Command Center

Il servizio Web Security Scanner che fa parte di Security Command Center supporta il seguente caso d'uso:

  • Identifica le vulnerabilità di sicurezza nelle tue applicazioni.

Web Security Scanner analizza le tue applicazioni web per rilevare le vulnerabilità. Segue i link e tenta di attivare il maggior numero possibile di input utente e gestori di eventi. Il suo rilevatore CACHEABLE_PASSWORD_INPUT genera un risultato se le password inserite nell'applicazione web possono essere memorizzate nella cache di un normale browser anziché in uno spazio di archiviazione sicuro delle password.

A05: Configurazione errata della sicurezza

Per configurazione errata della sicurezza si intendono i difetti dell'applicazione non corretti, gli account predefiniti aperti e i file e le directory non protetti che in genere possono essere evitati con il rafforzamento dell'applicazione. La configurazione errata della sicurezza può verificarsi in molti modi, ad esempio fidandosi delle configurazioni predefinite, creando configurazioni parziali che potrebbero non essere sicure, lasciando che i messaggi di errore contengano dettagli sensibili, archiviando i dati nel cloud senza controlli di sicurezza adeguati o configurando erroneamente le intestazioni HTTP.

Apigee

Caso d'uso:

  • Gestire le configurazioni di sicurezza
  • Monitorare le configurazioni di sicurezza

Un flusso condiviso consente agli sviluppatori di API di combinare criteri e risorse in un gruppo riutilizzabile. Concentrando le risorse e i criteri riutilizzabili in un unico posto, un flusso condiviso ti consente di garantire la coerenza, ridurre i tempi di sviluppo e gestire il codice. Puoi includere un flusso condiviso all'interno di singoli proxy API utilizzando un criterio FlowCallout o puoi inserire i flussi condivisi negli hook di flusso per eseguire automaticamente la logica del flusso condiviso per ogni proxy API di cui è stato eseguito il deployment nello stesso ambiente.

Cloud Asset Inventory

Caso d'uso:

  • Servizio di notifiche in tempo reale

Le notifiche in tempo reale possono avvisarti del provisioning imprevisto di risorse che potrebbero non essere adeguatamente messe al sicuro o non essere autorizzate.

Cloud Load Balancing

Caso d'uso:

  • Controllo granulare degli algoritmi di crittografia SSL e TLS

Impedire l'utilizzo di crittografi SSL o TLS noti come vulnerabili assegnando un gruppo predefinito o un elenco personalizzato di crittografi utilizzabili da un bilanciatore del carico.

Google Cloud Armor

Caso d'uso:

  • Filtrare gli endpoint non sicuri
  • Filtra gli attacchi di inclusione di file locali o remoti
  • Filtra gli attacchi di protocollo

Poiché la configurazione errata della sicurezza può verificarsi a livello di applicazione, la Fondazione OWASP consiglia di eseguire il rafforzamento e le patch dell'applicazione direttamente e di rimuovere tutte le funzionalità non necessarie.

Anche se un firewall per applicazioni web (WAF), come Google Cloud Armor, non può aiutarti a correggere la configurazione errata sottostante, puoi bloccare l'accesso a parti dell'applicazione completamente o per tutti, ad eccezione di indirizzi IP o paesi specifici. Limitare l'accesso può ridurre il rischio che queste configurazioni errate vengano sfruttate.

Ad esempio, se la tua applicazione espone un'interfaccia di amministrazione utilizzando un URL comune come /admin, puoi limitare l'accesso a questa interfaccia anche se è autenticata. Puoi farlo con una regola di rifiuto, ad esempio:

request.path.contains("/admin") && !(inIpRange(origin.ip,
'1.2.3.4/32')

Sostituisci 1.2.3.4/32 con l'intervallo di indirizzi IP che deve avere accesso all'interfaccia amministratore.

Alcune configurazioni errate possono essere mitigate parzialmente utilizzando i set di regole di inclusione di file locali (LFI) o di inclusione di file remoti (RFI) predefiniti. Ad esempio, l'attacco di imaging cross-site del negozio di succhi non va a buon fine quando viene applicato il set di regole LFI. Utilizza la regola evaluatePreconfiguredExpr('lfi-stable') || evaluatePreconfiguredExpr('rfi-stable') per bloccare le richieste che utilizzano gli insiemi di regole LFI e RFI e ottimiza le regole in base alle necessità. Puoi verificare che la soluzione della sfida non riesca più.

Alcuni attacchi HTTP possono essere mitigati anche utilizzando set di regole preconfigurati:

Security Command Center

Security Command Center include due servizi che ti aiutano a risolvere le configurazioni errate della sicurezza: Security Health Analytics e Web Security Scanner.

Security Health Analytics supporta il seguente caso d'uso:

  • Monitoraggio e avvisi relativi al controllo della sicurezza

Security Health Analytics monitora molti indicatori tramite un'unica interfaccia per garantire che la tua applicazione rispetti le best practice di sicurezza.

Web Security Scanner supporta i seguenti casi d'uso:

  • Scanner per applicazioni web personalizzato per le 10 principali vulnerabilità OWASP
  • Errori di configurazione del server HTTP
  • Contenuti misti HTTP/HTTPS
  • Entità XML esterna (XXE)

Web Security Scanner monitora gli errori di sicurezza comuni, come mancata corrispondenza del tipo di contenuti, intestazioni di sicurezza non valide e pubblicazione di contenuti misti. Web Security Scanner monitora anche le vulnerabilità, come quelle XXE. Queste scansioni sono pensate per coprire i 10 controlli principali di OWASP. I seguenti rilevatori cercano errori di configurazione della sicurezza:

  • INVALID_CONTENT_TYPE
  • INVALID_HEADER
  • MISMATCHING_SECURITY_HEADER_VALUES
  • MISSPELLED_SECURITY_HEADER_NAME
  • MIXED_CONTENT
  • XXE_REFLECTED_FILE_LEAKAGE

Per ulteriori informazioni su questi e altri rilevatori, consulta Panoramica di Web Security Scanner.

A06: Componenti vulnerabili e obsoleti

Componenti con vulnerabilità note è una categoria per vettori di attacco generici e queste vulnerabilità sono meglio attenuate monitorando e aggiornando rapidamente tutti i componenti dell'applicazione.

Autorizzazione binaria

Caso d'uso:

  • Limitare i cluster GKE ai container attendibili

L'autorizzazione binaria è un controllo di sicurezza della fase di deployment che contribuisce a garantire che su Google Kubernetes Engine (GKE) venga eseguito il deployment solo delle immagini container attendibili. Con Autorizzazione binaria, puoi richiedere che le immagini vengano firmate da autorità attendibili durante il processo di sviluppo e quindi applicare la convalida della firma durante il deployment. Se applichi la convalida, puoi assicurarti che il processo di build e rilascio utilizzi solo immagini verificate.

Cloud Load Balancing

Caso d'uso:

  • Controllo granulare degli algoritmi di crittografia SSL e TLS

Impedisci l'utilizzo di crittografi SSL o TLS noti come vulnerabili assegnando un gruppo predefinito o un elenco personalizzato di crittografi che Cloud Load Balancing può utilizzare.

Google Cloud Armor

Caso d'uso:

  • Bloccare l'accesso agli endpoint delle applicazioni inutilizzati
  • Bloccare i vettori di attacco comuni

Un firewall per applicazioni web (WAF) come Google Cloud Armor non deve essere utilizzato come singola strategia di mitigazione per bloccare gli attacchi contro questa categoria, perché spesso gli attacchi sono specifici della libreria e non possono essere bloccati da set di regole preconfigurati o non possono essere sottoposti a patch lato server. Il monitoraggio e l'upgrade regolari di tutti i componenti dell'applicazione sono l'unica opzione per mitigare questo tipo di vulnerabilità.

Tuttavia, Google Cloud Armor può contribuire a mitigare alcuni attacchi comuni contro le applicazioni vulnerabili tramite le sue regole predefinite per l'esecuzione di codice remoto, l'inclusione di file locali o l'inclusione di file remoti.

Se sei a conoscenza di componenti vulnerabili nella tua applicazione, ma non puoi applicare immediatamente le patch, puoi bloccare l'accesso a queste parti dell'applicazione per ridurre temporaneamente il rischio di un exploit di questi componenti. Crea una regola personalizzata che corrisponda al percorso dell'URL o alle query che accedono a questi componenti vulnerabili e ne nega l'accesso. Se hai bisogno di accedere a questi componenti da utenti o località specifici, puoi comunque consentire ad alcuni indirizzi IP di origini attendibili di accedere a questi componenti. Una regola che utilizza il percorso dell'URL è simile alla seguente:

`request.path.contains("/component") && !(inIpRange(origin.ip,
'1.2.3.4/32')

Sostituisci quanto segue:

  • /component: il percorso del componente con vulnerabilità note
  • 1.2.3.4/32: l'intervallo di indirizzi IP che deve mantenere l'accesso all'interfaccia.

Se ci sono parti della tua applicazione, ad esempio determinate directory o tipi di file, a cui non è mai necessario accedere da parte degli utenti finali, puoi anche bloccare o limitare l'accesso a queste risorse con una regola personalizzata, attenuando in modo proattivo il rischio che questi componenti diventino vulnerabili in futuro.

Google Cloud Bollettini sulla sicurezza

Caso d'uso:

  • Monitoraggio dei bollettini sulla sicurezza
  • CVE per i prodotti Google Cloud

I Google Cloud bollettini sulla sicurezza sono una fonte autorevole di bollettini sulla sicurezza che interessanoGoogle Cloud. I post includono informazioni di contesto, link alle CVE e consigli per ulteriori azioni.

Security Command Center

Security Command Center include tre servizi che ti aiutano a gestire i componenti vulnerabili e obsoleti: Container Threat Detection, Event Threat Detection e Web Security Scanner.

Container Threat Detection supporta i seguenti casi d'uso:

  • Rilevamento di script dannosi
  • Rilevamento di shell inverse
  • Rilevamento dell'installazione di malware

Se un malintenzionato sfrutta un componente vulnerabile ed esegue uno script dannoso, il rilevatore di Container Threat Detection genera un risultato.Malicious Script Executed Se un malintenzionato genera una shell inversa, il rilevatore Reverse Shell genera un rilevamento. Se un malintenzionato installa malware, i rilevatori Added Binary Executed e Added Library Loaded generano risultati.

Event Threat Detection supporta i seguenti casi d'uso:

  • Rilevamento del cryptomining
  • Rilevamento di malware
  • Esfiltrazione di dati
  • DoS in uscita

Event Threat Detection monitora lo stream di Cloud Logging e applica la logica di rilevamento e l'intelligence sulle minacce a livello granulare. Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center e in un progetto Cloud Logging. Le seguenti regole di rilevamento sono utili per rilevare gli effetti dell'utilizzo di componenti con vulnerabilità note:

  • Cryptomining. Rileva il cryptomining in base alle richieste DNS o alla connessione ad annunci di mining noti.
  • Malware. Rileva richieste DNS basate su malware o connessione ad indirizzi sbagliati noti.
  • Esfiltrazione in una tabella esterna. Rileva le risorse salvate al di fuori dell'organizzazione, incluse le operazioni di copia o trasferimento.
  • DoS in uscita. Rileva le vulnerabilità sfruttate che tentano attacchi di denial of service.

Web Security Scanner supporta i seguenti casi d'uso:

  • Librerie obsolete
  • Dashboard di vulnerabilità e risultati

Web Security Scanner monitora la presenza di librerie устаревших incluse nella tua applicazione web. Puoi monitorare questi risultati nella dashboard di Security Command Center.

A07: Errori di identificazione e autenticazione

Gli errori di identificazione e autenticazione sono rischi comuni perché l'autenticazione dell'applicazione e la gestione della sessione vengono spesso implementate in modo errato. Gli utenti malintenzionati possono sfruttare i difetti di implementazione, come password, chiavi e token di sessione compromessi, per assumere temporaneamente o definitivamente le identità di altri utenti.

Access Transparency

Caso d'uso:

  • Monitoraggio del fornitore di servizi
  • Motivazioni dell'accesso

In genere, se volevi ricevere assistenza personalizzata da fornitori esterni, dovevi concedere e condividere credenziali temporanee, il che creava il rischio che queste credenziali venissero perse o divulgate. Access Approval è un servizio integrato che ti consente di approvare o ignorare le richieste di accesso da parte dei dipendenti di Google che forniscono assistenza al tuo account. Ogni richiesta di accesso include una giustificazione dell'accesso, in modo da poter visualizzare il motivo di ciascun accesso, inclusi i riferimenti ai ticket di assistenza.

Apigee

Caso d'uso:

  • Convalida delle chiavi
  • Convalida del token
  • Criteri OAuth

Apigee fornisce i criteri VerifyApiKey, OAuth e JSON Web Token (JWT), che contribuiscono a proteggerti da questo rischio.

La convalida delle chiavi API è la forma più semplice di sicurezza basata su app che può essere configurata per un'API. Un'applicazione client presenta una chiave API con la relativa richiesta. Apigee Edge, tramite un criterio associato a un proxy API, verifica che la chiave API sia in uno stato approvato per la risorsa richiesta.

Il framework di autorizzazione OAuth 2.0 consente a un'applicazione di terze parti di ottenere accesso limitato a un servizio HTTP per conto di un proprietario della risorsa orchestrando un'interazione di approvazione tra il proprietario della risorsa e il servizio HTTP oppure per proprio conto consentendo all'applicazione di terze parti di ottenere l'accesso.

I token web JSON o JWT vengono comunemente utilizzati per condividere attestazioni o affermazioni tra le applicazioni collegate. Apigee fornisce il supporto JWT utilizzando tre criteri.

Google Cloud Armor

Caso d'uso:

  • Limitare l'accesso all'endpoint di autenticazione
  • Limitare l'utilizzo di token non autorizzati

Gli attacchi alle vulnerabilità classificate come rischio di autenticazione compromessa sono meglio mitigati a livello di applicazione o tramite altri controlli. Tuttavia, Google Cloud Armor può contribuire a limitare la superficie di attacco o bloccare i vettori di attacco noti.

Ad esempio, se la tua applicazione ha una base utenti limitata e questi utenti provengono da un insieme noto di paesi o indirizzi IP, puoi creare un criterio di sicurezza che limiti l'accesso alla tua applicazione agli utenti di questi paesi o blocchi di indirizzi IP. Questo criterio può contribuire a ridurre la scansione automatica da endpoint al di fuori di queste aree.

Se altri meccanismi di sicurezza rilevano che password, chiavi o token di sessione sono stati compromessi, puoi bloccare l'accesso alle richieste che contengono questi parametri in una stringa di query utilizzando una regola personalizzata. Puoi aggiornare le regole definite in precedenza utilizzando il metodo securityPolicy.patchRule. Potresti essere in grado di identificare potenziali token rubati utilizzando i meccanismi di rilevamento delle anomalie nei log del bilanciamento del carico HTTP. Puoi anche rilevare potenziali avversari cercando password comuni in questi log.

Puoi bloccare gli attacchi di fissazione della sessione più comuni utilizzando il set di regole ModSecurity preconfigurato per la fissazione della sessione. Puoi utilizzare il set di regole aggiungendo la regola evaluatePreconfiguredExpr('sessionfixation-stable') predefinita al criterio di sicurezza.

Se la tua applicazione include modifiche della password nella stringa di query, puoi anche bloccare l'uso di password comuni utilizzando una regola personalizzata che corrisponda all'attributo request.query. Tuttavia, se possibile, è meglio implementare questi controlli a livello di applicazione.

Identity-Aware Proxy (IAP)

Caso d'uso:

  • Controllo degli accessi centralizzato
  • Compatibile con cloud e on-premise
  • Proteggere le connessioni HTTP e TCP
  • Accesso sensibile al contesto

IAP si integra con il bilanciamento del carico HTTP(S) in modo da poter utilizzare l'identità e il contesto per creare una barriera di autenticazione e autorizzazione sicura intorno alla tua applicazione. Evita l'autenticazione non funzionante per la tua applicazione rivolta al pubblico eseguendo il provisioning degli utenti esterni in Identity Platform (maggiori informazioni nella sezione seguente).

Puoi anche impedire l'autenticazione non funzionante alle interfacce di amministrazione proteggendole con Identity-Aware Proxy e autenticando gli utenti di cui è stato eseguito il provisioning con Identity and Access Management o Cloud Identity. Qualsiasi tentativo di accedere allo strumento genera un tentativo di autenticazione registrato seguito da un controllo di autorizzazione per verificare che l'utente autenticato sia autorizzato ad accedere alla risorsa richiesta.

Identity Platform

Caso d'uso:

  • Autenticazione come servizio
  • Autenticazione a più fattori
  • SLA Enterprise
  • Ampio supporto per protocollo
  • Dati e informazioni per la protezione dell'Account Google

Identity Platform è la piattaforma GIAC per i Google Cloud clienti. Identity Platform contribuisce a fornire un'autenticazione sicura come servizio con supporto multiprotocollo utilizzando SDK e API. Offre autenticazione a più fattori, integrazione con servizi di autenticazione di terze parti e monitoraggio delle attività verificabile.

reCAPTCHA

Caso d'uso:

  • Tentativi di accesso automatici
  • Acquisizione di contenuti
  • Credential stuffing
  • Transazioni fraudolente
  • Violazioni dell'account
  • Account falsi
  • Riciclaggio di denaro

reCAPTCHA offre un filtro altamente efficace contro bot e altre forme di automazione e traffico collettivo assegnando un punteggio al livello di rischio dei tentativi di accesso. Puoi ottimizzare il modello specifico per il tuo sito con feedback automatici. reCAPTCHA adatta i punteggi futuri in base alle esigenze del tuo sito.

Security Command Center

Security Command Center include tre servizi che ti aiutano a risolvere i problemi di identificazione e autenticazione: Event Threat Detection, Security Health Analytics e Web Security Scanner.

Event Threat Detection supporta i seguenti casi d'uso:

  • Rilevamento di attacchi di forza bruta
  • Rilevamento di comportamenti illeciti IAM

Event Threat Detection monitora lo stream di Cloud Logging e applica la logica di rilevamento e le informazioni sulle minacce proprietarie a livello granulare. Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center e in Cloud Logging nel progetto che hai scelto. I seguenti tipi di eventi sono utili per identificare l'autenticazione non funzionante:

  • Forza bruta SSH. Rilevare un attacco di forza bruta riuscito su SSH su un host.
  • Concessione anomala. Rileva i privilegi concessi agli utenti IAM (Identity and Access Management) esterni alla tua Google Cloud organizzazione.

Security Health Analytics supporta i seguenti casi d'uso:

  • Applicazione dell'MFA/2FA
  • Protezione delle chiavi API
  • Applicazione rotazione della chiave API

Security Command Center aiuta a prevenire l'autenticazione non funzionante monitorando la conformità all'autenticazione a più fattori e lo stato delle chiavi API. Puoi identificare le richieste sospette e bloccarle o segnalarle per un'elaborazione speciale.

Web Security Scanner supporta il seguente caso d'uso:

  • Fughe di identificatori di sessione

Web Security Scanner esamina le tue applicazioni web per rilevare vulnerabilità come la fuga di ID sessione, che consente ad altre parti di rubare l'identità o identificare in modo univoco un utente.

Token di sicurezza Titan

Caso d'uso:

  • Autenticazione a due fattori (2FA) anti-phishing
  • Autenticazione da dispositivo mobile e PC

I token di sicurezza Titan usano la crittografia a chiave pubblica per verificare l'identità di un utente e l'URL della pagina di accesso in modo che un utente malintenzionato non possa accedere al tuo account anche se lo ingannano facendoti fornire nome utente e password.

A08: errori di integrità del software e dei dati

Gli errori di integrità del software e dei dati possono verificarsi quando i controlli di integrità non vengono eseguiti durante gli aggiornamenti del software, l'elaborazione di dati riservati o qualsiasi processo nella pipeline CI/CD.

Artifact Registry

Caso d'uso:

  • Centralizza gli elementi in un'unica posizione attendibile
  • Utilizza la gestione delle versioni, l'analisi delle vulnerabilità e i flussi di lavoro di approvazione

Artifact Registry è un unico punto di riferimento per la gestione delle immagini container e dei pacchetti di linguaggio (come Maven e npm) da parte della tua organizzazione. Può essere integrato con gli strumenti di sviluppo esistenti e fornisce analisi delle vulnerabilità per i container utilizzando Artifact Analysis.

Autorizzazione binaria

Caso d'uso:

  • Assicurati di eseguire il deployment solo di container attendibili

Autorizzazione binaria verifica l'integrità dei container in modo da eseguire il deployment solo di immagini container attendibili. Puoi creare criteri per consentire o negare il deployment in base alla presenza o all'assenza di attestazioni. L'autorizzazione binaria applica i criteri a livello di cluster, quindi puoi configurare diversi criteri per ambienti diversi. Questa distinzione consente di avere requisiti di attestazione progressivi man mano che gli ambienti si avvicinano alla produzione.

Cloud Asset Inventory

Caso d'uso:

  • Servizio di ricerca

  • Access Analyzer

Uno dei vettori più comuni per l'esposizione dei dati è l'infrastruttura IT orfana o non autorizzata. Puoi identificare i server di cui nessuno si occupa e i bucket con regole di condivisione troppo ampie analizzando i dati delle serie temporali delle risorse cloud.

Configura notifiche in tempo reale per ricevere avvisi sul provisioning imprevisto di risorse che potrebbero non essere protette o autorizzate correttamente.

Cloud Build

Caso d'uso:

  • Rivedi le modifiche al codice

  • Esecuzione di test

  • Standardizzare i deployment delle build

Cloud Build ti consente di creare una configurazione di compilazione per fornire istruzioni sul deployment della build, inclusa l'esecuzione di analisi statiche e test di integrazione.

Google Cloud Armor

Caso d'uso:

  • Bloccare l'esecuzione di codice remoto

Poiché la maggior parte degli attacchi all'integrità del software e dei dati è specifica per l'applicazione, esistono solo alcuni modi per contribuire a mitigare questi attacchi, ad esempio utilizzando un WAF (Web Application Firewall) come Google Cloud Armor. OWASP consiglia di non accettare oggetti serializzati da fonti non attendibili. Se possibile, puoi limitare gli endpoint che accettano questi oggetti a un insieme di indirizzi IP attendibili con una regola di rifiuto simile alla seguente:

request.path.contains("/endpoint") && !(inIpRange(origin.ip,
'1.2.3.4/32')

Sostituisci quanto segue:

  • /endpoint: il percorso dell'endpoint che accetta oggetti serializzati
  • 1.2.3.4/32: l'intervallo di indirizzi IP che deve mantenere l'accesso all'interfaccia.

Per mitigare gli attacchi tipici contro l'integrità del software e dei dati che utilizzano l'esecuzione di codice remoto (RCE), utilizza l'insieme di regole predefinite contro gli attacchi RCE. Puoi utilizzare la regola evaluatePreconfiguredExpr('rce-stable') per bloccare gli attacchi RCE comuni contro le shell UNIX e Windows.

Gli attacchi RCE descritti nelle sfide di Juice Shop per deserializzazioni non sicure eseguono funzioni ed espressioni regolari in Node.js sul server. Questi tipi di attacchi non vengono bloccati dall'insieme di regole RCE predefinite e dalla corrispondente regola OWASP Modsecurity e devono essere mitigati utilizzando patch lato server o regole personalizzate.

VirusTotal

Caso d'uso:

  • Scansione dei dati non attendibili

L'API VirusTotal ti consente di caricare e analizzare i file alla ricerca di malware. Puoi eseguire la scansione di immagini, documenti, file binari e altri dati non attendibili prima che vengano elaborati per eliminare determinate categorie di input dannosi.

Security Command Center

Il servizio Web Security Scanner in Security Command Center supporta il seguente caso d'uso:

  • Deserializzazione non sicura

Web Security Scanner analizza le tue applicazioni web per rilevare le vulnerabilità. Ad esempio, se utilizzi una versione di Apache Struts che rende la tua applicazione vulnerabile agli attacchi di inserimento di comandi remoti, Web Security Scanner genera un STRUTS_INSECURE_DESERIALIZATION rilevamento.

A09: Errori di monitoraggio e logging della sicurezza

Se non registri, monitori o gestisci adeguatamente gli incidenti nei sistemi, gli attaccanti possono eseguire attacchi più profondi e prolungati su dati e software.

Access Transparency

Caso d'uso:

  • Monitoraggio e controllo dell'accesso dei fornitori di servizi
  • Motivazioni dell'accesso
  • Identificazione di metodi e risorse

L'impossibilità di controllare gli accessi del cloud provider può rappresentare un ostacolo alla migrazione dall'on-premise al cloud. Access Transparency consente la verifica degli accessi del cloud provider, portando i controlli di audit a un livello paragonabile alle condizioni on-premise. Puoi registrare la motivazione di ciascun accesso, inclusi i riferimenti alle richieste di assistenza pertinenti. L'identificazione di metodi e risorse indica le risorse a cui viene eseguito l'accesso e i metodi eseguiti da ciascun amministratore. Access Approval ti consente di approvare o respingere le richieste di accesso da parte dei dipendenti di Google che forniscono assistenza al tuo servizio.

Apigee

Caso d'uso:

  • Esportare i log di Apigee in SIEM
  • Utilizzare l'interfaccia utente di monitoraggio di Apigee
  • Seguire le best practice per il monitoraggio

Apigee offre diversi modi per eseguire logging, monitoraggio, gestione degli errori e logging di controllo:

  • Log
    • I messaggi di log possono essere inviati a Splunk o ad altri endpoint syslog utilizzando il criterio di registrazione dei messaggi.
    • I dati di analisi dell'API possono essere estratti tramite l'API di analisi e importati o esportati in altri sistemi.
    • In Edge for Private Cloud, puoi utilizzare il criterio MessageLogging per scrivere nei file di log locali. Sono disponibili anche i file di log di ciascuno dei componenti in esecuzione.
    • Il criterio JavaScript può essere utilizzato per inviare messaggi di log a un endpoint di logging REST in modo sincrono o asincrono.
  • Monitoraggio
    • Utilizza l'API o l'UI di Monitoraggio API per monitorare regolarmente le API e i backend e attivare gli avvisi.
    • Utilizza il monitoraggio dell'integrità per monitorare regolarmente i backend del server di destinazione.
    • Apigee fornisce consigli per il monitoraggio di Edge for Private Cloud.
    • Apigee fornisce inoltre best practice che il tuo team può utilizzare per monitorare il tuo programma API.
  • Gestione degli errori
    • Apigee offre un meccanismo di gestione degli errori potente e versatile per i proxy API. In modo simile a come un programma Java intercetta le eccezioni, i proxy API possono intercettare gli errori e determinare come restituire risposte appropriate ai client.
    • La gestione degli errori personalizzata di Apigee ti consente di aggiungere funzionalità come la registrazione dei messaggi ogni volta che si verifica un errore.
  • Audit log
    • La piattaforma Apigee mantiene un log di controllo che monitora le modifiche ai proxy API, ai prodotti e alla cronologia dell'organizzazione.
    • Questo log è disponibile tramite l'interfaccia utente o tramite l'API di gestione.

Google Security Operations

Caso d'uso:

  • Rilevamento delle minacce
  • Preavviso

I team di sicurezza possono inviare la telemetria di sicurezza a Google Security Operations per consentirti di applicare potenti regole di rilevamento a un insieme unificato di dati.

Sensitive Data Protection

Caso d'uso:

  • Mascheramento automatico dei dati sensibili

Identifica le informazioni sensibili ai requisiti di conformità nei tuoi stream di log e nascondile o trasformale in modo appropriato prima di archiviarle nei log. Ad esempio, un messaggio di errore o un dump del core potrebbe contenere informazioni sensibili come numeri di carte di credito o informazioni che consentono l'identificazione personale che devono essere mascherate.

Cloud Key Management Service

Caso d'uso:

  • Registrazione degli eventi di richiesta di chiavi di crittografia
  • Motivazioni dell'accesso

Key Access Justifications ti offre visibilità storica su ogni richiesta di chiave di crittografia registrando la giustificazione dichiarata e un record di approvazione o rifiuto della richiesta.

Cloud Logging

Caso d'uso:

  • Aggregazione dei log
  • Archiviazione dei log
  • Ricerca nei log
  • Analisi dei log

Cloud Logging ti consente di archiviare, cercare, analizzare, monitorare e creare avvisi su dati e eventi di logging da Google Cloud e Amazon Web Services. Include l'accesso al servizio BindPlane, che puoi utilizzare per raccogliere i dati di log da oltre 150 componenti comuni delle applicazioni, sistemi on-premise e sistemi cloud ibrido.

Cloud Monitoring

Caso d'uso:

  • Monitoraggio dei log
  • Avvisi sugli eventi

Cloud Monitoring offre maggiore visibilità su prestazioni, uptime e stato complessivo delle applicazioni basate su cloud. Fornisce una dashboard di monitoraggio, monitor degli eventi e avvisi tramite più canali.

Cloud Source Repositories

Caso d'uso:

  • Attribuzione delle modifiche al codice
  • Accedere alla registrazione degli audit

Scopri quali azioni sono state eseguite nel tuo repository, incluso dove e quando, con gli audit log di Cloud generati da Cloud Source Repositories.

Error Reporting

Caso d'uso:

  • Acquisisci gli errori interni dell'applicazione in Cloud Logging
  • Raccogliere i report sugli arresti anomali al di fuori dell'istanza di calcolo in cui si è verificato l'arresto anomalo

Gli errori delle applicazioni interne possono essere un indicatore di un problema di sicurezza, di funzionalità non attive o di tentativi di aggirare la sicurezza. Error Reporting conteggia, analizza e aggrega gli arresti anomali dei servizi cloud in esecuzione. Un'interfaccia centralizzata di gestione degli errori visualizza i risultati con funzionalità di ordinamento e filtro. Una vista dedicata mostra i dettagli dell'errore, ad esempio grafico temporale, occorrenze, numero di utenti interessati, data della prima e dell'ultima occorrenza e analisi pulita dello stack di eccezioni. Attiva la ricezione di avvisi via email e su dispositivi mobili in caso di nuovi errori.

Google Cloud Armor

Caso d'uso:

  • Logging dei criteri di sicurezza
  • Dashboard di Monitoring
  • Avvisi sulle anomalie del traffico

I log delle richieste di Google Cloud Armor fanno parte di Cloud Logging per i bilanciatori di carico delle applicazioni esterni Per avere accesso alle informazioni di logging, ad esempio la regola del criterio di sicurezza che ha fornito una corrispondenza al traffico, attiva il logging su tutti i servizi di backend a cui sono associati i criteri di sicurezza. Utilizza le regole in modalità di anteprima per testarle e registrare i risultati senza applicare gli effetti.

Google Cloud Armor offre anche dashboard di monitoraggio per i criteri di sicurezza che ti consentono di avere una panoramica della quantità di traffico che è passata o è stata rifiutata da uno dei tuoi criteri di sicurezza. Google Cloud Armor pubblica risultati relativi ad anomalie del traffico, come picchi di traffico consentito o aumento del traffico rifiutato, in Security Command Center.

Google Cloud Armor scrive automaticamente audit log per le attività di amministrazione, che registrano le operazioni che modificano la configurazione o i metadati di una risorsa. Questo servizio può essere configurato anche per scrivere audit log di accesso ai dati che contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché chiamate API effettuate dagli utenti che creano, modificano o leggono i dati delle risorse forniti dall'utente.

Identity Platform

Caso d'uso:

  • Audit log delle attività di amministrazione
  • Registri di controllo degli accessi ai dati
  • Audit log degli eventi di sistema
  • Audit log con criteri negati
  • Log delle attività di autenticazione

Identity Platform è la piattaforma di gestione di identità e accessi cliente (GIAC) per Google Cloud che registra l'attività di autenticazione per impostazione predefinita.

Abilita diversi potenti audit log tra cui attività di amministrazione, accesso ai dati, eventi di sistema e tentativi di autenticazione negati.

Security Command Center

Casi d'uso:

  • Monitoraggio degli avvisi
  • Gestione delle minacce
  • Report sull'analisi delle vulnerabilità
  • Monitoraggio della conformità
  • Monitoraggio degli asset
  • Risultati della scansione di sicurezza

Con la dashboard della conformità, puoi monitorare continuamente la conformità con i controlli di PCI-DSS, CIS Google Cloud Computing Foundations Benchmark e altri ancora. La pagina Risorse fornisce una visualizzazione dettagliata di tutte le Google Cloud risorse, chiamate asset, nella tua organizzazione. La pagina ti consente di visualizzare gli asset per l'intera organizzazione oppure di filtrare gli asset all'interno di un progetto specifico in base al tipo di asset o al tipo di modifica. Infine, puoi esaminare un inventario dettagliato dei risultati per tutti gli asset della tua organizzazione, in modo da visualizzare i potenziali rischi per la sicurezza.

Inoltre, il servizio Event Threat Detection di Security Command Center supporta i seguenti casi d'uso:

  • Forza bruta
  • Cryptomining
  • Illeciti IAM
  • Malware
  • Phishing

Event Threat Detection monitora lo stream di Cloud Logging e applica la logica di rilevamento e le informazioni sulle minacce proprietarie a livello granulare. Event Threat Detection identifica le voci importanti nei log e le inoltra per la revisione. Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center e in un progetto Cloud Logging.

A10: Falsificazione richiesta lato server (SSRF)

Un attacco SSRF si verifica quando un malintenzionato costringe un server vulnerabile ad attivare richieste dannose indesiderate a server di terze parti o risorse interne. I difetti SSRF possono verificarsi quando un'applicazione web recupera una risorsa remota senza convalidare l'URL fornito dall'utente.

Apigee

Caso d'uso:

  • Bloccare gli attacchi SSRF utilizzando LFI o RFI

Apigee dispone di analizzatori XML e JSON integrati che utilizzano XPath o JSONPath per estrarre i dati. Dispone di un criterio XMLThreatProtection per proteggerti dai payload XML dannosi e di un criterio JSONThreatProtection per aiutarti a proteggerti dai payload JSON dannosi.

La norma ExtractVariables di Apigee consente di estrarre i contenuti da una richiesta o una risposta e assegnarli a una variabile. Puoi estrarre qualsiasi parte del messaggio, incluse intestazioni, percorsi URI, payload JSON e XML, parametri di modulo e parametri di query. Il criterio funziona applicando un pattern di testo ai contenuti del messaggio e, quando trova una corrispondenza, imposta una variabile con i contenuti del messaggio specificati.

Google Cloud Armor

Caso d'uso:

  • Filtrare gli attacchi SSRF utilizzando LFI o RFI

Poiché gli attacchi SSRF possono essere complessi e assumere forme diverse, le possibilità di mitigazione offerte dai firewall delle applicazioni web sono limitate. Gli attacchi possono essere meglio attenuati applicando patch ai parser XML o JSON, impedendo le entità esterne e limitando al minimo i trasferimenti di dati XML o JSON sui server web pubblici. Tuttavia, a seconda dell'applicazione e del tipo di attacco, Google Cloud Armor può comunque contribuire a difendersi dall'esfiltrazione di dati e da altri impatti.

Sebbene non esistano regole nel OWASP ModeSecurity Core Rule Set che si difendono specificamente dagli attacchi SSRF, le regole di inclusione di file locali (LFI) e di inclusione di file remoti (RFI) possono essere utili contro alcuni di questi attacchi. Per impedire a un malintenzionato di recuperare i file locali sul server, utilizza la regola evaluatePreconfiguredExpr('lfi-stable') in un criterio di sicurezza di Google Cloud Armor.

La sfida Juice Shop SSRF utilizza gli insiemi di regole di inclusione file remota (RFI) o inclusione file locale (LFI) preconfigurati per contribuire ad attenuare alcuni di questi attacchi perché bloccano l'inclusione di URL o il traversal del percorso. Ad esempio, la seguente regola attiva entrambi i set di regole:

evaluatePreconfiguredExpr('lfi-stable') ||
evaluatePreconfiguredExpr('rfi-stable')

Quando viene implementata una regola di questo tipo, anche la soluzione per la verifica SSRF non funziona più.

Controlli di servizio VPC

Caso d'uso:

  • Perimetri di rete per segmentare i server

Per ridurre l'impatto degli attacchi SSRF, puoi utilizzare Controlli di servizio VPC per creare perimetri che segmentano i server dalle altre risorse della tua organizzazione. Questi perimetri offrono protezione contro l'esfiltrazione di dati. Se vengono eseguite in modalità di applicazione forzata, le richieste API ai servizi con limitazioni non superano il confine del perimetro, a meno che non siano soddisfatte le condizioni delle regole di ingresso e uscita necessarie del perimetro.

Firewall Virtual Private Cloud (VPC)

Caso d'uso:

  • Applica criteri firewall o regole di controllo dell'accesso alla rete "Rifiuta per impostazione predefinita" per bloccare tutto il traffico intranet, ad eccezione di quello essenziale.

I firewall VPC si applicano al traffico in entrata e in uscita per i progetti e la rete VPC. Puoi creare regole firewall che bloccano tutto il traffico tranne quello che vuoi consentire. Per ulteriori informazioni, consulta la panoramica delle regole firewall VPC.

Security Command Center

Il servizio Web Security Scanner in Security Command Center supporta il seguente caso d'uso:

  • Monitoraggio delle applicazioni web

Web Security Scanner analizza le tue applicazioni web per rilevare le vulnerabilità. Ad esempio, se la tua applicazione è vulnerabile alla falsificazione delle richieste lato server, Web Security Scanner genera un SERVER_SIDE_REQUEST_FORGERYrilevamento.

Passaggi successivi