Sicherheitsquellen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Diese Seite enthält eine Liste der Sicherheitsquellen von Google Cloud, die in Security Command Center verfügbar sind. Wenn Sie eine Sicherheitsquelle aktivieren, werden Daten zu Sicherheitslücken und Bedrohungen im Security Command Center-Dashboard bereitgestellt.

Mit Security Command Center können Sie Sicherheitslücken und Bedrohungsergebnisse auf viele verschiedene Arten einsehen und filtern, z. B. nach einem bestimmten Ergebnistyp, Ressourcentyp oder Asset. Jede Sicherheitsquelle kann weitere Filter enthalten, mit denen Sie die Ergebnisse Ihrer Organisation organisieren können.

Security Command Center-Rollen werden auf Organisations-, Ordner- oder Projektebene zugewiesen. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Sicherheitslücken

Die Sicherheitslücken-Detektoren können Ihnen dabei helfen, mögliche Schwachstellen in Ihren Google Cloud-Ressourcen zu finden.

Rapid Vulnerability Detection

Bei der schnellen Sicherheitslückenerkennung werden verwaltete Scans ausgeführt, die sogenannte N-Day-Sicherheitslücken, bekannt als Exploits, die einen willkürlichen Datenzugriff und die Remote-Codeausführung ermöglichen, wie schwache Anmeldedaten, unvollständige Softwareinstallationen und preisgegebene Administrator-Benutzeroberflächen, erkennen.

Eine vollständige Liste der Sicherheitslücken, die von der Rapid Vulnerability Detection erkannt werden, finden Sie unter Ergebnisse der schnellen Sicherheitslückenerkennung und Abhilfemaßnahmen.

Security Health Analytics – Sicherheitslücken

Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen automatisch erkennen:

  • Cloud Monitoring und Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine-Container und -Netzwerke
  • Cloud Storage
  • Cloud SQL
  • Identitäts- und Zugriffsverwaltung
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics wird automatisch aktiviert, wenn Sie die Standard- oder Premium-Stufe von Security Command Center auswählen. Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI) und verwenden dabei die folgenden drei Scanmodi, um zu Sicherheitslücken erkennen:

  • Batch-Scan: Die Ausführung aller Detektoren wird für alle registrierten Organisationen zweimal oder häufiger geplant. Detektoren werden nach unterschiedlichen Zeitplänen ausgeführt, um bestimmte Service Level Objectives (SLO) zu erreichen. Zur Einhaltung von 12- und 24-Stunden-SLOs führen Detektoren alle sechs Stunden oder zwölf Stunden Batch-Scans aus. Änderungen an Ressourcen und Richtlinien, die zwischen Batch-Scans auftreten, werden nicht sofort erfasst und werden beim nächsten Batch-Scan angewendet. Hinweis: Batch-Scan-Zeitpläne sind Leistungsziele und keine Dienstgarantien.

  • Echtzeit-Scan: Unterstützte Detektoren starten Scans, wenn CAI eine Änderung in der Konfiguration eines Assets meldet. Die Ergebnisse werden sofort in Security Command Center geschrieben.

  • Gemischter Modus: Einige Detektoren, die Echtzeit-Scans unterstützen, erkennen möglicherweise Änderungen nicht in allen unterstützten Assets in Echtzeit. In diesen Fällen werden die Konfigurationsänderungen für einige Assets sofort und andere in Batch-Scans erfasst.

Eine vollständige Liste der Detektoren und Ergebnisse der Security Health Analytics finden Sie auf der Seite Ergebnisse der Security Health Analytics oder maximieren Sie den folgenden Abschnitt.

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt, die Sie auf Projektebene definieren. Mit verwalteten Scans können Sie die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse des verwalteten Scans automatisch auf dem Tab "Sicherheitslücken" des Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren verwalteter Scans in Web Security Scanner finden Sie unter Security Command Center konfigurieren.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten. Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Detektoren und Compliance

Web Security Scanner unterstützt Kategorien in den OWASP Top Ten, einem Dokument, das eine Einstufung und eine Anleitung zur Korrektur der zehn wichtigsten Sicherheitsrisiken für Webanwendungen enthält. Öffnen Sie das Webanwendungs-Sicherheitsprojekt (OWASP). Eine Anleitung zum Vermeiden von OWASP-Risiken finden Sie unter OWASP-Top-10-Risikominderungen in Google Cloud.

Die Compliance-Zuordnung ist als Referenz enthalten und wird von der OWASP Foundation nicht zur Verfügung gestellt oder überprüft.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienste gemäß allen regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie Ergebnisbeschreibung OWASP 2017 Top 10 OWASP 2021 Top 10
Accessible Git repository

Kategoriename in der API: ACCESSIBLE_GIT_REPOSITORY

Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01
Accessible SVN repository

Kategoriename in der API: ACCESSIBLE_SVN_REPOSITORY

Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A5 A01
Cacheable password input

Kategoriename in der API: CACHEABLE_PASSWORD_INPUT

In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A3 A04
Clear text password

Kategoriename in der API: CLEAR_TEXT_PASSWORD

Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu korrigieren, verschlüsseln Sie das über das Netzwerk übertragene Passwort.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A3 A02
Insecure allow origin ends with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts Origin ist, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01
Insecure allow origin starts with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders Origin, bevor er im Antwortheader Access-Control-Allow-Origin widergespiegelt wird. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert Origin übereinstimmt, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben, z. B. .equals(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01
Invalid content type

Kategoriename in der API: INVALID_CONTENT_TYPE

Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header X-Content-Type-Options den richtigen Wert fest.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Invalid header

Kategoriename in der API: INVALID_HEADER

Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Mismatching security header values

Kategoriename in der API: MISMATCHING_SECURITY_HEADER_VALUES

Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Misspelled security header name

Kategoriename in der API: MISSPELLED_SECURITY_HEADER_NAME

Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Mixed content

Kategoriename in der API: MIXED_CONTENT

Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A6 A05
Outdated library

Kategoriename in der API: OUTDATED_LIBRARY

Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben.

Preisstufe: Standard

Dieses Ergebnis korrigieren

A9 A06
Server side request forgery

Kategoriename in der API: SERVER_SIDE_REQUEST_FORGERY

Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.

Preisstufe: Standard