Google在2015年為增強App Engine弱點測試能力,所推出的雲端安全掃描工具(Cloud Security Scanner),現在適用範圍擴展至GKE以及Compute Engine服務,當用戶使用Google雲端執行網頁應用程式,就能以雲端安全掃描工具分析其隱藏的弱點。

Google提到,隨著企業建構的應用程式和執行的平臺數量越來越多,掌握應用程式安全性的難度也隨之上升,而且網頁應用程式在開發的過程,有很高的機率出現漏洞,包括錯誤配置安全框架,或正式生產環境中的實作錯誤,也有可能是未即時修補更新系統所造成的安全風險。

而雲端安全掃描工具可以偵測廣泛的網頁應用程式漏洞,像是辨識Flash注入等應用程式常見的漏洞,也能發現因JavaScript程式問題產生的跨站腳本臭蟲,並防範混合安全和不安全內容的混合內容(Mixed Content)漏洞,所可能造成的中間人攻擊。另外,雲端安全掃描工具也能在應用程式以明文發送密碼欄位,或HTTP標頭發生顯示、拼寫和無效等問題時發出警示。

雲端安全掃描工具的偵測結果,會在雲端安全命令中心以及雲端安全狀態中顯示,供用戶以集中式儀表板監視漏洞狀態,並快速地回應這些問題,透過點擊儀表板上發現的問題,獲取進一步了解修復與預防問題的建議。

市面上有不少類似的弱點掃描工具,但Google表示,其他弱點掃描工具並不適用於App Engine等Google服務,不只會發生許多誤判,而且操作程序也非常複雜,因此Google推出自家的安全方案,來解決這些問題。用戶只要設定好掃描任務,雲端安全掃描工具就會自動抓取應用程式,掃描相關的URL,並盡可能實際測試使用者輸入與事件處理程序。

雲端安全掃描工具預設關閉,用戶必需要手動啟動這項功能,其使用Chrome、Safari或是Blackberry和Nokia手機的瀏覽器進行掃描,而為了對GKE實例執行應用程式提供額外的保護,Google也建議用戶,還可以使用容器註冊表的漏洞掃描工具來掃描容器映像檔,在部署至正式生產環境之前發現容器中的漏洞。


Advertisement

更多 iThome相關內容