Esta página mostra-lhe como usar as funcionalidades de análise geridas do Web Security Scanner e rever as conclusões na Google Cloud consola. Também são apresentados exemplos de resultados do Web Security Scanner.
O Web Security Scanner é um serviço incorporado para o Security Command Center que identifica vulnerabilidades de segurança comuns nas suas aplicações Web do App Engine, Google Kubernetes Engine (GKE) e Compute Engine. Para ver as conclusões do Web Security Scanner, tem de o ativar nas definições dos Serviços do Security Command Center.
Saiba mais sobre como funciona o verificador de segurança Web.
Rever conclusões
A funcionalidade de análise gerida do Web Security Scanner configura e agenda automaticamente análises para cada um dos seus projetos no âmbito. As análises do Web Security Scanner podem demorar até 24 horas a começar após a ativação do serviço e são executadas semanalmente após a primeira análise. As conclusões são vistas no Security Command Center.
As análises geridas são separadas das análises personalizadas do Web Security Scanner. As análises personalizadas são mais exaustivas do que as análises geridas predefinidas e fornecem informações detalhadas sobre as conclusões de vulnerabilidades das aplicações. Para obter informações sobre as análises personalizadas, consulte o guia de análise personalizada do Web Security Scanner.
Reveja as conclusões na consola
As funções do IAM para o Security Command Center podem ser concedidas ao nível da organização, da pasta ou do projeto. A sua capacidade de ver, editar, criar ou atualizar resultados, recursos e origens de segurança depende do nível para o qual lhe é concedido acesso. Para saber mais sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.
Para rever as conclusões do Web Security Scanner no Security Command Center, siga estes passos:
- Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
- Selecione o seu Google Cloud projeto ou organização.
- Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Scanner de segurança Web. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
- Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
- No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
- Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.
Veja todas as conclusões associadas a um URL específico
Uma análise pode produzir resultados de vários URLs de base. Para apresentar todos os resultados associados a um determinado URL numa análise, siga estes passos:
- Abra a deteção e veja a respetiva definição de JSON.
- Copie o URL junto a
externalUri. - Feche o painel de detalhes da descoberta.
No editor de consultas, introduza a seguinte consulta:
externalUri:"AFFECTED_URI"Substitua AFFECTED_URI pelo URL que copiou anteriormente.
O Security Command Center apresenta todas as conclusões associadas ao URL.
Exemplos de conclusões
Os resultados da análise gerida do Web Security Scanner incluem o seguinte:
| Vulnerabilidade | Descrição |
|---|---|
| Conteúdo misto | Uma página publicada através de HTTPS também publica recursos através de HTTP. Um atacante de man-in-the-middle pode adulterar o recurso HTTP e obter acesso total ao Website que carrega o recurso ou monitorizar as ações dos utilizadores. |
| Limpar palavra-passe de texto |
Uma aplicação devolve conteúdo sensível com um tipo de conteúdo inválido ou
sem um cabeçalho X-Content-Type-Options: nosniff.
|
| Biblioteca desatualizada |
Sabe-se que a versão de uma biblioteca incluída contém um problema de segurança. O scanner verifica a versão da biblioteca em utilização em relação a uma lista conhecida de bibliotecas vulneráveis. São possíveis falsos positivos se a deteção de versão falhar ou se a biblioteca tiver sido corrigida manualmente. O Web Security Scanner identifica algumas versões vulneráveis das seguintes bibliotecas populares:
Esta lista é atualizada periodicamente com novas bibliotecas e vulnerabilidades atualizadas, conforme aplicável. |
Saiba como usar o Security Command Center na Google Cloud consola.
Filtrar resultados na Google Cloud consola
Uma organização grande pode ter muitas conclusões de vulnerabilidades na respetiva implementação para rever, classificar e acompanhar. Ao usar os filtros disponíveis nas páginas Vulnerabilidades e Resultados do Security Command Center na Google Cloud consola, pode focar-se nas vulnerabilidades de gravidade mais elevada na sua organização e rever as vulnerabilidades por tipo de recurso, projeto e muito mais.
Para mais informações sobre a filtragem de resultados de vulnerabilidades, consulte o artigo Filtre resultados de vulnerabilidades no Security Command Center.
Desative o som dos resultados
Para controlar o volume de resultados no Security Command Center, pode desativar manualmente ou por programação resultados individuais, ou criar regras de desativação que desativem automaticamente os resultados atuais e futuros com base nos filtros que definir.
As conclusões com o som desativado são ocultadas e silenciadas, mas continuam a ser registadas para fins de auditoria e conformidade. Pode ver as descobertas desativadas ou reativá-las em qualquer altura. Para saber mais, consulte o artigo Desative as conclusões no Security Command Center.
Configurações de análise
Se o Web Security Scanner receber credenciais de acesso, executa todas as ações com esse nível de acesso. Para reduzir o risco para os seus recursos de produção e detetar vulnerabilidades antes de chegarem à produção, recomendamos que execute análises em ambientes de desenvolvimento, testes, preparação ou controlo de qualidade.
A análise dos recursos de produção é útil porque mesmo pequenas alterações aos recursos entre os testes e a produção podem introduzir vulnerabilidades. No entanto, pode querer usar o acesso limitado durante as análises de produção. Consulte as práticas recomendadas para mais informações.
Para rever as configurações de análise geridas e iniciar manualmente as análises, use a Google Cloud consola.
Para ver a configuração de análise gerida de um projeto:
- Aceda à página do Web Security Scanner na Google Cloud consola.
Aceda à página Web Security Scanner - Selecione um projeto. É apresentada uma página com uma lista das suas análises geridas e personalizadas.
- Em Configurações de análise, clique em
managed_scan. A página apresentada mostra os resultados da análise gerida mais recente, incluindo o estado da análise, os URLs analisados e as vulnerabilidades encontradas. Use a lista pendente para ver os resultados de análises anteriores.
O Web Security Scanner administra e mantém as análises geridas, pelo que não pode modificar as configurações de análise. As análises geridas só podem ser editadas ou eliminadas no Security Command Center, conforme abordado no artigo Desativar análises geridas.
Intervalos de endereços IP estáticos para análises geridas
Quando o Web Security Scanner está ativado no Security Command Center, as análises geridas são iniciadas automaticamente através de endereços IP estáticos nos seguintes intervalos:
8.34.210.32/2734.66.18.0/2634.66.114.64/2634.68.34.64/27
Análises a pedido
As análises geridas são executadas automaticamente de acordo com um horário definido. No entanto, pode usar a interface do Web Security Scanner para executar análises geridas a pedido:
- Aceda à página do Web Security Scanner na Google Cloud consola.
Aceda à página Web Security Scanner - Selecione um projeto. É apresentada uma página com uma lista das suas análises geridas e personalizadas.
- Em Configurações de análise, clique em
managed_scan. - Na página seguinte, clique em Executar na parte superior da página; ou
- Clique em Executar análise novamente no separador Resultados.
A análise começa e as conclusões são atualizadas no Security Command Center quando estiver concluída. As análises geridas a pedido são úteis quando quer capturar resultados para projetos novos ou atualizados entre análises agendadas. As análises a pedido não afetam o momento das análises semanais agendadas.
Pode encontrar mais informações sobre a análise na página de registos do projeto.
Desativar análises geridas
Recomendamos que mantenha o Web Security Scanner ativado para todos os projetos no âmbito. No entanto, pode desativar o Web Security Scanner no Security Command Center ou, se o Security Command Center estiver ativado ao nível da organização, desativar as análises geridas do Web Security Scanner para projetos ou pastas específicos.
Desative as análises do Web Security Scanner para um projeto ou uma pasta
Para desativar as análises geridas de uma pasta ou um projeto:
Aceda à página Serviços no Security Command Center.
Selecione o seu projeto ou organização.
No cartão Web Security Scanner, clique em Gerir definições. A página Ativação de serviços é aberta para o Web Security Scanner.
No painel Ativação de serviços, desative o Web Security Scanner para o projeto ou a pasta através de um dos seguintes métodos:
- Navegue para o projeto ou a pasta:
- No painel Ativação de serviços, navegue para o projeto ou a pasta deslocando a página e expandindo as pastas ou a organização principal, conforme necessário.
- Na linha do projeto ou da pasta, no menu da coluna Web Security Scanner, selecione Desativar.
- Apenas para projetos e pastas, pesquise o projeto ou a pasta por nome:
- Clique em Pesquisar uma pasta ou um projeto.
- Na caixa de diálogo Pesquisar recursos, introduza o nome do projeto, da pasta ou da organização. O projeto é apresentado na caixa de diálogo.
- Na caixa de diálogo, no menu da coluna Web Security Scanner, selecione Desativar.
- Navegue para o projeto ou a pasta:
Os projetos desativados já não são incluídos nas análises geridas.
Desative o Web Security Scanner no Security Command Center
Para desativar o serviço Web Security Scanner no Security Command Center:
Aceda à página Serviços no Security Command Center.
Selecione o seu projeto ou organização.
No cartão Web Security Scanner, clique em Gerir definições. A página Ativação de serviços é aberta para o Web Security Scanner.
Em Ativação de serviços, na linha do projeto de nível superior ou da organização, no menu da coluna Web Security Scanner, selecione Desativar.
O Web Security Scanner está desativado no Security Command Center e as análises geridas vão deixar de ser executadas.
Pode continuar a usar o Web Security Scanner como um produto autónomo através da interface do Web Security Scanner na Google Cloud consola, com as seguintes alterações:
- Tem de configurar e gerir as análises personalizadas para cada um dos seus projetos.
- As configurações de análise geridas são arquivadas e as descobertas de análise geridas existentes permanecem visíveis na Google Cloud consola.
- As análises geridas só estão disponíveis no Security Command Center, pelo que as configurações de análise gerida e os resultados de análise gerida existentes são removidos da interface do Web Security Scanner.
Se o Web Security Scanner for reativado no Security Command Center, as configurações e os resultados da análise gerida voltam a aparecer na interface do Web Security Scanner. Geralmente, se forem encontradas as mesmas vulnerabilidades durante novas análises, as conclusões existentes são atualizadas. Se a sua aplicação ou Website tiverem sofrido alterações substanciais desde a última análise, podem ser criadas novas conclusões.
O que se segue?
- Saiba como corrigir as conclusões do Web Security Scanner.