Utilizzo di Web Security Scanner

Questa pagina mostra come utilizzare le funzionalità di scansione gestita di Web Security Scanner e come esaminare i risultati nella console Google Cloud . Vengono mostrati anche esempi di risultati di Web Security Scanner.

Web Security Scanner è un servizio integrato per il livello Premium di Security Command Center che identifica le vulnerabilità di sicurezza comuni nelle tue applicazioni web di App Engine, Google Kubernetes Engine (GKE) e Compute Engine. Per visualizzare i risultati di Web Security Scanner, deve essere abilitato nelle impostazioni Servizi di Security Command Center.

Scopri di più su come funziona Web Security Scanner.

Esaminare i risultati

La funzionalità di scansione gestita di Web Security Scanner configura e pianifica automaticamente le scansioni per ciascuno dei tuoi progetti inclusi nell'ambito. L'avvio delle scansioni di Web Security Scanner può richiedere fino a 24 ore dopo l'attivazione del servizio e vengono eseguite settimanalmente dopo la prima scansione. I risultati vengono visualizzati in Security Command Center.

Esaminare i risultati nella console

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Per esaminare i risultati di Web Security Scanner in Security Command Center, segui questi passaggi:

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Scanner di sicurezza web. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Seleziona la tua Google Cloud organizzazione.
  3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
  4. Seleziona Web Security Scanner. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Visualizzare tutti i risultati associati a un URL specifico

Una scansione può produrre risultati da diversi URL di base. Per visualizzare tutti i risultati associati a un determinato URL in una scansione:

  1. Apri il risultato e visualizza la relativa definizione JSON.
  2. Copia l'URL accanto a externalUri.
  3. Chiudi il riquadro dei dettagli del risultato.
  4. Nell'editor di query, inserisci la seguente query:

    externalUri:"AFFECTED_URI"
    

    Sostituisci AFFECTED_URI con l'URL che hai copiato in precedenza.

Security Command Center mostra tutti i risultati associati all'URL.

Esempio di risultati

I risultati di esempio della scansione gestita di Web Security Scanner includono quanto segue:

Tabella A. Tipi di risultati delle scansioni gestite di Web Security Scanner
Vulnerabilità Descrizione
Contenuto misto Una pagina pubblicata tramite HTTPS pubblica anche risorse tramite HTTP. Un attaccante man-in-the-middle potrebbe manomettere la risorsa HTTP e ottenere l'accesso completo al sito web che carica la risorsa o monitorare le azioni degli utenti.
Password in chiaro Un'applicazione restituisce contenuti sensibili con un tipo di contenuto non valido o senza un'intestazione X-Content-Type-Options: nosniff.
Libreria obsoleta

La versione di una libreria inclusa è nota per avere un problema di sicurezza. Lo scanner controlla la versione della libreria in uso rispetto a un elenco noto di librerie vulnerabili. Sono possibili falsi positivi se il rilevamento della versione non riesce o se alla libreria sono state applicate patch manualmente.

Web Security Scanner identifica alcune versioni vulnerabili delle seguenti librerie popolari:

Questo elenco viene aggiornato periodicamente con nuove librerie e vulnerabilità aggiornate, a seconda dei casi.

Scopri di più sull'utilizzo di Security Command Center nella console Google Cloud .

Filtrare i risultati nella console Google Cloud

Una grande organizzazione potrebbe avere molti risultati di vulnerabilità da esaminare, assegnare la priorità e monitorare nella sua implementazione. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud , puoi concentrarti sulle vulnerabilità con la gravità più alta nella tua organizzazione ed esaminare le vulnerabilità per tipo di asset, progetto e altro ancora.

Per saperne di più sul filtro dei risultati di vulnerabilità, consulta Filtrare i risultati di vulnerabilità in Security Command Center.

Disattiva risultati

Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o in modo programmatico singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci.

I risultati disattivati sono nascosti e silenziati, ma continuano a essere registrati ai fini di audit e conformità. Puoi visualizzare i risultati disattivati o riattivarli in qualsiasi momento. Per scoprire di più, consulta Disattivazione dei risultati in Security Command Center.

Scansiona configurazioni

Se a Web Security Scanner vengono fornite credenziali di accesso, eseguirà tutte le azioni utilizzando quel livello di accesso. Per ridurre il rischio per le risorse di produzione e rilevare le vulnerabilità prima che raggiungano la produzione, ti consigliamo di eseguire le scansioni negli ambienti di sviluppo, test, staging o controllo qualità.

La scansione delle risorse di produzione è utile perché anche piccole modifiche alle risorse tra test e produzione possono introdurre vulnerabilità. Tuttavia, potresti voler utilizzare l'accesso limitato durante le scansioni di produzione. Per saperne di più, consulta la sezione Best practice.

Per rivedere le configurazioni di scansione gestite e avviare manualmente le scansioni, utilizza la consoleGoogle Cloud .

Per visualizzare la configurazione della scansione gestita per un progetto:

  1. Vai alla pagina Web Security Scanner nella console Google Cloud .
    Vai alla pagina Web Security Scanner
  2. Seleziona un progetto. Viene visualizzata una pagina con un elenco delle scansioni gestite e personalizzate.
  3. In Scansione configurazioni, fai clic su managed_scan. La pagina visualizzata mostra i risultati dell'ultima scansione gestita, inclusi lo stato della scansione, gli URL sottoposti a scansione e le vulnerabilità rilevate. Utilizza l'elenco a discesa per visualizzare i risultati delle analisi precedenti.

Web Security Scanner amministra e gestisce le scansioni gestite, pertanto non puoi modificare le configurazioni di scansione. Le scansioni gestite possono essere modificate o eliminate solo in Security Command Center, come descritto in Disattivazione delle scansioni gestite.

Intervalli di indirizzi IP statici per le scansioni gestite

Quando Web Security Scanner è abilitato in Security Command Center, le scansioni gestite iniziano automaticamente a utilizzare indirizzi IP statici nei seguenti intervalli:

  • 8.34.210.32/27
  • 34.66.18.0/26
  • 34.66.114.64/26
  • 34.68.34.64/27

Scansioni on demand

Le scansioni gestite vengono eseguite automaticamente in base a una pianificazione prestabilita. Tuttavia, puoi utilizzare l'interfaccia di Web Security Scanner per eseguire scansioni gestite on demand:

  1. Vai alla pagina Web Security Scanner nella console Google Cloud .
    Vai alla pagina Web Security Scanner
  2. Seleziona un progetto. Viene visualizzata una pagina con un elenco delle scansioni gestite e personalizzate.
  3. In Scansione configurazioni, fai clic su managed_scan.
  4. Nella pagina successiva, fai clic su Esegui nella parte superiore della pagina oppure
  5. Fai clic su Esegui di nuovo la scansione nella scheda Risultati.

La scansione inizia e i risultati vengono aggiornati in Security Command Center al termine. Le scansioni gestite on demand sono utili quando vuoi acquisire i risultati per progetti nuovi o aggiornati tra le scansioni pianificate. Le scansioni on demand non influiscono sulla tempistica delle scansioni settimanali pianificate.

Puoi trovare ulteriori informazioni sulla scansione nella pagina dei log del progetto.

Disattivazione delle scansioni gestite

Ti consigliamo di mantenere abilitato Web Security Scanner per tutti i progetti inclusi nell'ambito. Tuttavia, puoi disattivare Web Security Scanner in Security Command Center o, se Security Command Center è attivato a livello di organizzazione, disattivare le scansioni gestite di Web Security Scanner per progetti o cartelle specifici.

Disattivare le scansioni di Web Security Scanner per un progetto o una cartella

Per disattivare le scansioni gestite per una cartella o un progetto:

  1. Vai alla pagina Servizi in Security Command Center.

    Vai alla pagina del servizio

  2. Seleziona il progetto o l'organizzazione.

  3. Nella scheda Scanner di sicurezza web, fai clic su Gestisci impostazioni. Viene aperta la pagina Attivazione del servizio per Web Security Scanner.

  4. Nel riquadro Abilitazione del servizio, disabilita Web Security Scanner per il progetto o la cartella utilizzando uno dei seguenti metodi:

    • Vai al progetto o alla cartella:
      1. Nel riquadro Abilitazione dei servizi, vai al progetto o alla cartella scorrendo ed espandendo le organizzazioni o le cartelle padre, se necessario.
      2. Nella riga del progetto o della cartella, dal menu nella colonna Web Security Scanner, seleziona Disattiva.
    • Solo per progetti e cartelle, cerca il progetto o la cartella per nome:
      1. Fai clic su Cerca una cartella o un progetto.
      2. Nella finestra di dialogo Cerca risorse, inserisci il nome del progetto, della cartella o dell'organizzazione. Il progetto viene visualizzato nella finestra di dialogo.
      3. Nella finestra di dialogo, seleziona Disattiva dal menu nella colonna Web Security Scanner.

I progetti disattivati non sono più inclusi nelle scansioni gestite.

Disattiva Web Security Scanner in Security Command Center

Per disattivare il servizio Web Security Scanner in Security Command Center:

  1. Vai alla pagina Servizi in Security Command Center.

    Vai alla pagina del servizio

  2. Seleziona il progetto o l'organizzazione.

  3. Nella scheda Scanner di sicurezza web, fai clic su Gestisci impostazioni. Viene aperta la pagina Attivazione del servizio per Web Security Scanner.

  4. In Abilitazione del servizio, nella riga del progetto o dell'organizzazione di primo livello, seleziona Disabilita dal menu nella colonna Web Security Scanner.

Web Security Scanner è disabilitato in Security Command Center e le scansioni gestite non verranno più eseguite.

Puoi continuare a utilizzare Web Security Scanner come prodotto autonomo tramite l'interfaccia di Web Security Scanner nella console Google Cloud , con le seguenti modifiche:

  • Devi configurare e gestire le scansioni personalizzate per ciascuno dei tuoi progetti.
  • Le configurazioni di scansione gestite vengono archiviate e i risultati delle scansioni gestite esistenti rimangono visibili nella console Google Cloud .
  • Le scansioni gestite sono disponibili solo in Security Command Center Premium, pertanto le configurazioni delle scansioni gestite e i risultati delle scansioni gestite esistenti vengono rimossi dall'interfaccia di Web Security Scanner.

Se Web Security Scanner viene riattivato in Security Command Center, le configurazioni e i risultati delle scansioni gestite vengono visualizzati di nuovo nell'interfaccia di Web Security Scanner. In genere, se durante le nuove scansioni vengono rilevate le stesse vulnerabilità, i risultati esistenti vengono aggiornati. Se la tua applicazione o il tuo sito web è cambiato in modo sostanziale dall'ultima scansione, potrebbero essere creati nuovi risultati.

Passaggi successivi