Web Security Scanner verwenden

>

Auf dieser Seite wird beschrieben, wie Sie das Web Security Scanner-Feature für verwaltete Scans verwenden und die Ergebnisse im Security Command Center-Dashboard ansehen. Beispiele für Web Security Scanner-Ergebnisse werden ebenfalls angezeigt.

Web Security Scanner ist ein integrierter Dienst für die Stufe „Security Command Center Premium“, der häufige Sicherheitslücken in Ihren App Engine-, Google Kubernetes Engine- und Compute Engine-Webanwendungen identifiziert. Ergebnisse aus dem Web Security Scanner können nur im Security Command Center unter Dienste aktiviert werden.

Das folgende Video zeigt die Schritte zum Einrichten von Web Security Scanner und zur Verwendung des Security Command Center-Dashboards. Weitere Informationen zum Aufrufen und Verwalten von Ergebnissen von Web Security Scanner und zur Verwendung von verwalteten Scanfunktionen finden Sie weiter unten auf dieser Seite.

Weitere Informationen zur Funktionsweise von Web Security Scanner.

Ergebnisse prüfen

Das Web Security Scanner-Feature für verwaltete Scans konfiguriert und plant automatisch Scans für jedes Ihrer bereichsspezifischen Projekte. Nach dem Aktivieren des Dienstes kann es bis zu 24 Stunden dauern, bis Web Security Scanner gestartet wird. Nach dem ersten Scan wird er dann jede Woche ausgeführt. Die Ergebnisse werden in Security Command Center angezeigt.

Ergebnisse in Security Command Center prüfen

So prüfen Sie die Web Security Scanner-Ergebnisse in Security Command Center:

  1. Wechseln Sie in der Google Cloud Console zum Tab Ergebnisse des Security Command Center.
    Zum Tab „Ergebnisse“
  2. Klicken Sie neben Anzeigen nach auf Quelltyp.
  3. Wählen Sie in der Liste Quelltyp die Option Web Security Scanner aus. Eine Tabelle wird mit Ergebnissen für den ausgewählten Quelltyp gefüllt.
  4. Klicken Sie auf den Namen des Ergebnisses unter category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird erweitert und enthält nun die folgenden Informationen:
    • Art des Ereignisses
    • Zeitpunkt des Ereignisses
    • Quelle der Ergebnisdaten
    • Schweregrad der Erkennung, z. B. Hoch
    • Betroffene URL

Ein Scan kann Ergebnisse aus mehreren Basis-URLs liefern. So rufen Sie alle Ergebnisse auf, die einer bestimmten URL in einem Scan zugeordnet sind:

  1. Klicken Sie unter category auf den Ergebnisnamen.
  2. Kopieren Sie im Detailbereich des Ergebnisses die URL neben externalUri.
  3. Schließen Sie den Detailbereich der Ergebnisse.
  4. Geben Sie im Feld Filter externalUri:affected-uri ein, wobei affected-uri die zuvor kopierte URL ist. Security Command Center zeigt alle Ergebnisse an, die mit der URL verknüpft sind.

Beispielergebnisse

Beispiele für Ergebnisse, die von Web Security Scanner verwaltet werden:

Tabelle A. Von Web Security Scanner verwaltete Scan-Ergebnistypen
Sicherheitslücke Beschreibung
Gemischte Inhalte Eine Seite, die über HTTPS bereitgestellt wurde, stellt auch Ressourcen über HTTP bereit. Ein Man-in-the-Middle-Angreifer könnte die HTTP-Ressource manipulieren und so vollständigen Zugriff auf die Website erhalten, die die Ressource lädt oder die Aktionen der Nutzer im Blick behält.
Klartextpasswort Eine Anwendung gibt vertrauliche Inhalte mit einem ungültigen Inhaltstyp oder ohne den Header X-Content-Type-Options: nosniff zurück.
Veraltete Bibliothek

Die Version einer enthaltenen Bibliothek weist eine bekannte Sicherheitslücke auf. Der Scanner prüft die Version der verwendeten Bibliothek und gleicht diese mit einer bekannten Liste von anfälligen Bibliotheken ab. Wenn die Versionserkennung fehlschlägt oder die Bibliothek manuell repariert wurde, können falsch positive Meldungen auftreten.

Web Security Scanner erkennt einige anfällige Versionen der folgenden beliebten Bibliotheken:

Diese Liste wird regelmäßig mit neuen Bibliotheken und aktualisierten Sicherheitslücken aktualisiert.

Security Command Center-Dashboard verwenden

Scankonfigurationen

Wenn Web Security Scanner Zugriffsdaten erhält, werden alle Aktionen mit dieser Zugriffsebene ausgeführt. Um die Risiken Ihrer Produktionsressourcen zu reduzieren und Sicherheitslücken zu erkennen, bevor sie in der Produktion sind, empfiehlt es sich, Scans in Entwicklungs-, Test-, Staging- oder Qualitätssicherungsumgebungen auszuführen.

Das Scannen von Produktionsressourcen ist hilfreich, da selbst kleine Änderungen an Ressourcen zwischen Test und Produktion Sicherheitslücken verursachen können. Sie sollten jedoch den eingeschränkten Zugriff bei Produktionsscans verwenden. Weitere Informationen finden Sie in den Best Practices.

Verwenden Sie die Cloud Console, um verwaltete Scankonfigurationen zu überprüfen und Scans manuell zu starten.

So rufen Sie die Konfiguration verwalteter Scans für ein Projekt auf:

  1. Rufen Sie in der Cloud Console die Seite „Web Security Scanner“ auf.
    Zur Seite „Web Security Scanner“
  2. Wählen Sie ein Projekt aus. Es wird eine Seite mit einer Liste Ihrer verwalteten und benutzerdefinierten Scans angezeigt.
  3. Klicken Sie unter Scankonfigurationen auf managed_scan. Die angezeigte Seite enthält die Ergebnisse des letzten verwalteten Scans, einschließlich Scanstatus, gecrawlter URLs und Sicherheitslücken. Verwenden Sie die Drop-down-Liste, um die Ergebnisse früherer Scans aufzurufen.

Verwaltete Scans werden von Web Security Scanner verwaltet, sodass Scankonfigurationen nicht geändert werden können. Verwaltete Scans können in Security Command Center nur bearbeitet oder gelöscht werden, wie unter Verwaltete Scans deaktivieren beschrieben.

Statische IP-Adressbereiche für verwaltete Scans

Wenn Web Security Scanner in Security Command Center aktiviert ist, werden verwaltete Scans automatisch mit statischen IP-Adressen in den Bereichen 34.66.18.0/26 und 34.66.114.64/26 gestartet.

On-Demand-Scans

Verwaltete Scans werden nach einem festgelegten Zeitplan automatisch ausgeführt. Sie können jedoch die Web Security Scanner-Oberfläche verwenden, um On-Demand-Scans auf Abruf auszuführen:

  1. Rufen Sie in der Cloud Console die Seite „Web Security Scanner“ auf.
    Zur Seite „Web Security Scanner“
  2. Wählen Sie ein Projekt aus. Es wird eine Seite mit einer Liste Ihrer verwalteten und benutzerdefinierten Scans angezeigt.
  3. Klicken Sie unter Scankonfigurationen auf managed_scan.
  4. Klicken Sie oben auf der Seite auf Ausführen oder
  5. Klicken Sie auf dem Tab Ergebnisse auf Scan neu ausführen.

Der Scan beginnt und die Ergebnisse werden im Security Command Center aktualisiert, sobald der Vorgang abgeschlossen ist. Verwaltete On-Demand-Scans sind nützlich, wenn Sie Ergebnisse für neue oder aktualisierte Projekte zwischen geplanten Scans erfassen möchten. On-Demand-Scans haben keinen Einfluss auf die Entwicklung wöchentlicher Scans.

Weitere Informationen zum Scan finden Sie auf der Seite "Logs" des Projekts.

Verwaltete Scans deaktivieren

Es wird empfohlen, Web Security Scanner für alle bereichsspezifischen Projekte aktiviert zu lassen. Sie können Web Security Scanner aber deaktivieren oder bestimmte Projekte aus verwalteten Web Security Scanner-Scans entfernen.

So entfernen Sie Projekte aus verwalteten Scans:

  1. Rufen Sie in Security Command Center die Seite Dienste auf.
    Zur Seite „Dienste“
  2. Wählen Sie Ihre Organisation aus.
  3. Gehen Sie zu Erweiterte Einstellungen und maximieren Sie das Menü, um Ihre Ordner und Projekte aufzurufen.
  4. Wählen Sie in der Spalte Web Security Scanner in der Drop-down-Liste für jedes Projekt, das Sie aus den verwalteten Scans entfernen möchten, die Option Standardmäßig deaktivieren aus.

Deaktivierte Projekte sind in verwalteten Scans nicht mehr enthalten.

So deaktivieren Sie Web Security Scanner in Security Command Center:

  1. Rufen Sie in Security Command Center die Seite Dienste auf.
    Zur Seite „Dienste“
  2. Wählen Sie Ihre Organisation aus.
  3. Wählen Sie in der Drop-down-Liste neben Web Security Scanner die Option Standardmäßig deaktivieren aus.

Web Security Scanner ist in Security Command Center deaktiviert und verwaltete Scans werden nicht mehr ausgeführt.

Sie können Web Security Scanner über die Web Security Scanner-Benutzeroberfläche in der Cloud Console weiterhin als eigenständiges Produkt verwenden, mit den folgenden Änderungen:

  • Sie müssen für jedes Ihrer Projekte benutzerdefinierte Scans konfigurieren und verwalten.
  • Die Konfigurationen verwalteter Scans werden archiviert und vorhandene Ergebnisse verwalteter Scans können im Security Command Center-Dashboard eingesehen werden.
  • Verwaltete Scans sind nur in der Premium-Stufe von Security Command Center verfügbar. Daher werden die Konfigurationen verwalteter Scans und vorhandene Ergebnisse verwalteter Scans von der Web Security Scanner-Benutzeroberfläche entfernt.

Wenn Web Security Scanner in Security Command Center wieder aktiviert ist, werden verwaltete Scankonfigurationen und -ergebnisse wieder in der Web Security Scanner-Oberfläche angezeigt. Werden bei neuen Scans dieselben Sicherheitslücken erkannt, werden vorhandene Ergebnisse aktualisiert. Wenn sich die Anwendung oder Website seit dem letzten Scan erheblich geändert hat, können neue Ergebnisse erstellt werden.

Nächste Schritte