透過 App Engine、Compute Engine 或 GKE 使用 Cloud Security Scanner

事前準備

開始掃描前,請仔細檢查是否有任何應用程式功能會影響到超出目標掃描範圍以外的資料、使用者或系統。

Cloud Security Scanner 會填入欄位、推送按鈕、點擊連結等內容,因此請謹慎使用。Cloud Security Scanner 啟用的功能可能會變更資料或系統的狀態,產生非預期的結果。例如:

  • 在允許公開留言的網誌應用程式中,Cloud Security Scanner 可能會於所有網誌文章上留言,以張貼測試字串。
  • 在電子郵件註冊頁面中,Cloud Security Scanner 可能會產生大量的測試電子郵件。

如需進一步瞭解如何盡量降低風險,請參閱避免產生非預期的結果一節。

建立掃描

  1. 如果尚未建立測試帳戶,請立即建立然後再登入測試帳戶。測試帳戶必須是要掃描的 App Engine、Compute Engine 或 Google Kubernetes Engine (GKE) 執行個體的擁有者或開發人員。

  2. 前往 Google Cloud Platform 主控台

  3. 在專案的下拉式清單中,選取已部署 App Engine、Compute Engine 或 GKE 應用程式的專案。

  4. 前往 Google Cloud Platform 主控台的「安全掃描」頁面。
    開啟「安全掃描」頁面

  5. 如要顯示新掃描表單,請按一下 [Create scan] (建立掃描)。如應用程式已有掃描作業存在,請按一下 [New scan] (新增掃描)。下圖顯示了所有可能的表單欄位:

  6. 在新掃描表單加入新值時,請參考下表。下表提供了部分掃描欄位的相關資訊。

  7. 將各值新增完畢後,請按一下 [Create] (建立)。您現在可以執行新的掃描。

欄位 說明
起始網址 簡易網站通常僅需要一個起始網址,例如網站的首頁、主頁或到達網頁,Cloud Security Scanner 即可找到其他所有的網站頁面。不過,如果網站頁面數量極多,或有許多彼此孤立未互相連結的頁面,或是瀏覽時需要使用到複雜的 JavaScript (例如需要滑鼠游標懸停的多層級選單),Cloud Security Scanner 可能就無法找到所有頁面。如遇到此類情況,請指定額外的起始網址,以擴大掃描涵蓋範圍。
從掃描作業中排除的網址 如要降低複雜度,請使用簡易的 proto 語言來定義排除內容,其會採用一或多個 * 萬用字元,而無須使用有效的規則運算式。如要進一步瞭解有效模式及相關範例,請參閱在掃描中排除網址
Google 帳戶 您可在 Gmail 中建立測試帳戶,並使用此帳戶來掃描產品。如果您是 Google Apps 客戶,則可在您的網域中建立測試帳戶,例如 test-account@yourdomain.com。在 Cloud Security Scanner 中,這些帳戶的運作效果與 Gmail 帳戶相同。不支援雙重驗證。

請注意,Google 對 Google 帳戶會強制執行真實姓名政策。如名稱疑似為假名,您的測試帳戶可能會遭到封鎖。
非 Google 帳戶 如果您已建立了專屬的驗證系統,且未使用 Google 帳戶服務,請選取此選項。請在登入表單註明網址、使用者名稱和密碼。會使用這些憑證來登入和掃描您的應用程式。

請注意,針對登入表單的支援仍在開發階段,且您的系統可能無法立即使用。
排程 您可設定每日、每週、每兩週或每四週執行一次掃描。建議您建立排程掃描,以確保未來的應用程式版本皆會受到測試。此外,由於我們不時會發行新版掃描工具以找出更多錯誤類型,因此執行排程掃描可讓您掃描的涵蓋範圍更大,而無須手動處理。

執行掃描

執行掃描:

  1. 請登入建立掃描時所用的測試帳戶。

  2. 前往 Google Cloud Platform 主控台的「安全掃描」頁面。

  3. 在專案的下拉式清單上,選取已建立掃描作業的專案。

  4. 如果您已經幫應用程式建立了多項掃描作業,請從中選取想要執行的掃描。如果該應用程式只有建立一項掃描作業,則會顯示該項掃描作業,且可立即執行。

  5. 如要開始掃描應用程式,請按一下 [Run scan] (執行掃描)

系統會將掃描作業排入佇列中,且在執行前可能會有些許延遲。執行掃描可能需要數分鐘,也可能需要數小時,端看系統負載以及以下一些特點,例如網站的複雜度、每個頁面可執行動作的元素數量、連結數量、JavaScript 量 (含瀏覽) 等。

編輯與刪除掃描作業

  1. 請登入建立掃描時所用的測試帳戶。

  2. 前往 Google Cloud Platform 主控台的「安全掃描」頁面。

  3. 在專案的下拉式清單中,選取已建立掃描作業的專案。

  4. 如果您已經幫應用程式建立了多項掃描作業,請從顯示的清單中選取想要編輯的掃描。如果該應用程式只有一項掃描作業,就會直接顯示該項掃描作業,可立即編輯或刪除。

  5. 按一下 [Edit] (編輯) 即可編輯掃描作業,或是按一下 [Delete] (刪除) 從專案中刪除該項掃描作業。

在「安全掃描」頁面上會顯示掃描的狀態和結果。您也可以在專案的記錄檔頁面中找到有用的資訊。

Compute Engine 與 GKE 掃描錯誤的移難排解

如網址設定有誤,即會遭 Cloud Security Scanner 拒絕。遭到拒絕的可能原因如下:

  • 網址具有臨時的 IP 位址。
    • 將此 IP 位址標記為靜態:如為單一 VM 上的應用程式,請在 VM 上預留該 IP 位址;如為位於負載平衡器背後的應用程式,則在該負載平衡器上預留 IP 位址。
  • 網址對應至錯誤的 IP 位址。
    • 如要修正此問題,請參閱 DNS 註冊商服務提供的操作說明。
  • 網址對應至正確的 IP 位址,但其為同個 VM 的臨時 IP 位址。
    • 請將此 IP 位址標記為靜態。
  • 網址對應至同機構中其他專案預留的 IP 位址。
    • 請在目標專案中,定義以專案 VM 或 HTTP 負載平衡器為目標的安全掃描作業。
  • 網址對應至多個 IP 位址。
    • 請確認對應至此網址的所有 IP 位址皆已保留給同個專案。如有至少一個 IP 未保留,[Scan Create] (掃描建立) 或 [Edit/Update] (編輯/更新) 作業即會失敗。

已知問題、限制和規定

在當前版本中,Cloud Security Scanner 具有下列已知問題、限制和規定:

  • Cloud Security Scanner 在您部署中產生的流量和計算週期,會計入標準帳單和配額。
  • 僅可使用 Cloud Security Scanner 掃描屬於您的 GCP 專案。
  • 待發行:用戶端程式庫。
  • 待發行:對於 Cloud Identity-Aware Proxy (Cloud IAP) 所保護的應用程式的支援。

與我們聯絡

適用於 Compute Engine 及 GKE 的 Cloud Security Scanner 處於 Alpha 版測試階段,非供正式產品的工作負載使用。如果您有任何疑問、問題或意見回饋,請透過 Cloud Security Scanner 元件使用 Google Issue Tracker 來反應。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Security Scanner 說明文件