Slide thumbnail

Cập nhật kiến thức Google Cloud

Kiến thức

Ứng dụng quét lỗ hổng bảo mật trên GKE và Compute Engine được ra mắt

15/08/2019

Khi số lượng nền tảng bạn xây dựng và các ứng dụng của bạn tăng lên, thì thách thức chính là việc cần thấu hiểu những ứng dụng bạn đã triển khai và trạng thái bảo mật của chúng là gì. Nếu không thể thấy được, có thể khó để biết liệu có bất kỳ lỗ hổng tiềm ẩn nào trong các ứng dụng của bạn hay không.

 

Hôm nay, chúng tôi vui mừng thông báo về việc chính thức đưa vào sử dụng công cụ Cloud Security Scanner cho Google Kubernetes Engine (GKE)Compute Engine, tham gia Cloud Security Scanner cho App Engine. Bây giờ, bất kể bạn chạy ứng dụng của mình ở đâu trên Google Cloud, bạn có thể nhanh chóng hiểu rõ hơn về lỗ hổng ứng dụng web của bạn và có những hành động trước khi kẻ xấu có thể khai thác chúng.

 

Lỗ hổng ứng dụng web có thể xảy ra trong quá trình phát triển. Một số lỗ hổng này bao gồm việc thiết lập không chính xác khung bảo mật của ứng dụng, việc triển khai ứng dụng không chính xác vào môi trường sản xuất hoặc các hệ thống được vá hoặc cập nhật.

 

Cloud Security Scanner có thể tìm ra một loạt các lỗ hổng ứng dụng web khi tìm kiếm; Dưới đây là một vài ví dụ về khả năng của nó:

  • Nhận dạng và thông báo cho bạn về các lỗ hổng bên ngoài phổ biến trong các ứng dụng của bạn như Flash Injection hoặc nội dung hỗn hợp
  • Phát hiện các lỗ hổng như cross-site scripting bugs do lỗi JavaScript
  • Cảnh báo bạn khả năng truy cập GIT và SVN.
  • Xử lý các lỗ hổng nội dung mà đối tượng tấn công trung gian có thể khai thác vào để chiếm quyền kiểm soát website dẫn đến quá tải tài nguyên hoặc ngưng hành động của người dùng.
  • Cảnh báo cho bạn nếu một ứng dụng đang có đấu hiệu chuyển mật khẩu sang dạng text đơn thuần, hoặc lỗi hiển thị HTTP header, bao gồm lỗi chính tả, giá trị không khớp trong header.

 

Ứng dụng quét lỗ hổng bảo mật trên GKE và Compute Engine được ra mắt

 

Ứng dụng quét lỗ hổng bảo mật trên GKE và Compute Engine được ra mắt

 

 

Cloud Security Scanner xử lý những lỗ hổng bảo mật đó cũng như tìm kiểm trong Cloud Security Command Center (Cloud SCC),  hay công cụ Cloud Security Posture Management (CSPM), nhờ đó bạn sẽ nắm bắt được những cấu hình còn thiếu sót, điểm yếu hệ thống và các mối đe dọa, từ đó nhanh chóng có kịch bản ứng phó ngay trên bảng tổng hợp. Sau đấy, khi bạn nhấn vào tìm kiếm, bạn có thể thấy nội dung miêu tả vấn đề/sự cố kèm theo lời khuyên về cách khắc phục và hạn chế xảy ra trong tương lai.

 

Ứng dụng quét lỗ hổng bảo mật trên GKE và Compute Engine được ra mắt

 

Cloud Security Scanner mặc định không được bật. Để kích hoạt nó, bạn cần hoàn thành theo các bước trong quickstart sau đó truy cập phần Security Sources trong Cloud SCC để đảm bảo chức năng đã được bật. Bạn cũng có thể tạo các kịch bản quét tùy chỉnh cho ứng dụng của mình sử dụng Cloud Security Scanner UI. một khi Cloud Security Scanner được bật, nó sẽ quét ứng dụng của bạn, quét theo tất cả các link mà bạn gán, và thử thực thi như nhiều người dùng cùng yêu cầu và đánh giá xem các yêu cầu có được xử lý không. Hành động quét sử dụng trình duyệt Chrome và Safari, đồng thời được nhúng với nền tảng di động Blackberry và Nokia phones. Thậm chí bạn có thể đặt lịch quét định kỳ.

 

Ứng dụng quét lỗ hổng bảo mật trên GKE và Compute Engine được ra mắt

 

Để thêm lớp bảo vệ ứng dụng chạy trên máy chủ GKE, bạn có thể sử dụng công cụ Container Registry vulnerability scanning để rà soát các lỗ hổng trên container images trước khi triển khai ra sản phẩm.

Dễ dàng bắt đầu với Cloud Security Scanner và bảo vệ ứng dụng của bạn. Nếu bạn mới sử dụng GCP, bạn có thể bắt đầu sử dụng thử GCP và kích hoạt Cloud SCC và Cloud Security Scanner. Nếu bạn đã và đang sử dụng GCP, bạn có thể dễ dàng kích hoạt Cloud Security Scanner từ Security Sources trong Cloud SCC, và sử dụng miễn phí. Để biết thêm thông tin chi tiết về Cloud Security Scanner, đọc thêm tài liệu này.

 

Gimasys.