이 페이지에서는 Web Security Scanner 관리형 스캔 기능을 사용하고 Google Cloud 콘솔에서 발견 항목을 검토하는 방법을 보여줍니다. Web Security Scanner 발견 항목의 예시도 보여줍니다.
Web Security Scanner는 App Engine, Google Kubernetes Engine(GKE), Compute Engine 웹 애플리케이션에서 일반적인 보안 취약점을 식별하는 Security Command Center 프리미엄 등급용 기본 서비스입니다. Web Security Scanner 발견 항목을 보려면 Security Command Center 서비스 설정에서 이를 사용 설정해야 합니다.
Web Security Scanner 작동 방식을 자세히 알아보세요.
발견 항목 검토
Web Security Scanner의 관리형 스캔 기능은 범위 내 각 프로젝트에 대한 스캔을 자동으로 구성하고 예약합니다. Web Security Scanner 스캔은 서비스가 사용 설정된 후 시작되고 첫 번째 스캔 후에 매주 실행되는 데 최대 24시간이 소요될 수 있습니다. 발견 항목은 Security Command Center에서 확인할 수 있습니다.
콘솔에서 발견 항목 검토
Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.
Security Command Center에서 Web Security Scanner 발견 항목을 검토하려면 다음 단계를 따르세요.
Google Cloud 콘솔
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Web Security Scanner를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
Security Operations 콘솔
-
Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
을 고객별 식별자로 바꿉니다. - 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
- Web Security Scanner를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
특정 URL과 연결된 모든 발견 항목 보기
스캔은 여러 기본 URL에서 발견 항목을 생성할 수 있습니다. 스캔에서 지정된 URL과 연결된 모든 발견 항목을 표시하려면 다음 단계를 따르세요.
- 발견 항목을 열고 JSON 정의를 봅니다.
externalUri
옆에 있는 URL을 복사합니다.- 발견 항목 세부정보 창을 닫습니다.
쿼리 편집기에서 다음 쿼리를 입력합니다.
externalUri:"AFFECTED_URI"
AFFECTED_URI를 이전에 복사한 URL로 바꿉니다.
Security Command Center에는 URL과 연결된 모든 발견 항목이 표시됩니다.
발견 항목 예시
Web Security Scanner 관리형 스캔 발견 항목의 예시는 다음과 같습니다.
취약점 | 설명 |
---|---|
혼합 콘텐츠 | HTTPS를 통해 제공되는 페이지에서는 HTTP를 통한 리소스도 제공합니다. 중간에 데이터를 가로채는 공격자는 HTTP 리소스를 변조하여 리소스를 로드하는 웹사이트에 대한 전체 액세스 권한을 획득하거나 사용자의 작업을 모니터링할 수 있습니다. |
일반 텍스트 비밀번호 | 애플리케이션은 잘못된 콘텐츠 유형이 있거나 X-Content-Type-Options: nosniff 헤더가 없는 민감한 콘텐츠를 반환합니다. |
오래된 라이브러리 |
포함된 라이브러리 버전에 보안 문제가 있는 것으로 알려져 있습니다. 스캐너는 취약한 라이브러리 목록과 비교하여 사용 중인 라이브러리 버전을 확인합니다. 버전 감지에 실패하거나 라이브러리가 수동으로 패치된 경우에는 거짓양성 결과가 나타날 수 있습니다. Web Security Scanner는 다음과 같은 인기 라이브러리의 일부 취약한 버전을 식별합니다.
이 목록은 해당하는 경우 새 라이브러리와 업데이트되는 취약점을 주기적으로 업데이트됩니다. |
Google Cloud 콘솔에서 Security Command Center 사용하는 방법 자세히 알아보기
Google Cloud 콘솔에서 발견 항목 필터링
대규모 조직에서는 검토, 분류, 추적을 위한 배포 전반에 걸쳐 많은 취약점 발견 항목이 발생할 수 있습니다. Google Cloud 콘솔의 Security Command Center 취약점 및 발견 항목 페이지에서 사용 가능한 필터를 적용하면 조직 전체에서 심각도가 가장 높은 취약점을 중점적으로 확인하고, 애셋 유형, 프로젝트 등을 기준으로 취약점을 검토할 수 있습니다.
취약점 발견 항목 필터링에 대한 자세한 내용은 Security Command Center의 취약점 발견 항목 필터링을 참조하세요.
발견 항목 숨기기
Security Command Center에서 발견 항목의 볼륨을 제어하려면 수동 또는 프로그래매틱 방식으로 개별 발견 항목을 숨기거나 정의한 필터에 따라 현재 및 이후 발견 항목을 자동으로 숨기는 숨기기 규칙을 만들 수 있습니다.
발견 항목이 숨겨지더라도 감사 및 규정 준수 목적에 따라 계속 로깅됩니다. 언제든 숨겨진 발견 항목을 보고 숨기기 취소할 수 있습니다. 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.
스캔 구성
Web Security Scanner에 액세스 사용자 인증 정보가 부여된 경우 이 액세스 수준을 사용하여 모든 작업을 수행합니다. 프로덕션 리소스에 대한 위험을 줄이고 프로덕션에 도달하기 전에 취약점을 포착하려면 개발, 테스트, 스테이징 또는 품질 보증 환경에서 스캔을 실행하는 것이 좋습니다.
테스트와 프로덕션 간 리소스의 사소한 변경 사항만으로도 취약점이 발생할 수 있으므로 프로덕션 리소스를 스캔하는 것이 유용합니다. 그러나 프로덕션 스캔 중에 제한 액세스를 사용하려고 할 수 있습니다. 자세한 내용은 권장사항을 참조하세요.
관리형 스캔 구성을 검토하고 수동으로 스캔을 시작하려면 Google Cloud 콘솔을 사용합니다.
프로젝트의 관리형 스캔 구성을 보려면 다음 안내를 따르세요.
- Google Cloud 콘솔에서 Web Security Scanner 페이지로 이동합니다.
Web Security Scanner 페이지로 이동 - 프로젝트를 선택합니다. 관리형 커스텀 스캔 목록이 있는 페이지가 나타납니다.
- 스캔 구성에서
managed_scan
을 클릭합니다. 표시되는 페이지에는 스캔 상태, 크롤링된 URL, 발견된 취약점을 포함한 최근 관리형 스캔 결과가 표시됩니다. 드롭다운 목록을 사용하여 이전 스캔 결과를 확인합니다.
Web Security Scanner는 관리형 스캔을 관리하고 유지하므로 스캔 구성을 수정할 수 없습니다. 관리형 스캔은 관리형 스캔 사용 중지에 설명된 대로 Security Command Center에서만 수정하거나 삭제할 수 있습니다.
관리형 스캔의 고정 IP 주소 범위
Security Command Center에서 Web Security Scanner가 사용 설정되면 관리형 스캔이 범위 34.66.18.0/26
및 34.66.114.64/26
의 고정 IP 주소를 사용하여 자동으로 시작됩니다.
주문형 스캔
설정된 일정에 따라 관리형 스캔이 자동으로 실행됩니다. 그러나 Web Security Scanner 인터페이스를 사용하여 주문형인 관리형 스캔을 실행할 수 있습니다.
- Google Cloud 콘솔에서 Web Security Scanner 페이지로 이동합니다.
Web Security Scanner 페이지로 이동 - 프로젝트를 선택합니다. 관리형 커스텀 스캔 목록이 있는 페이지가 나타납니다.
- 스캔 구성에서
managed_scan
을 클릭합니다. - 다음 페이지의 상단에서 실행을 클릭합니다. 또는
- 결과 탭에서 스캔 다시 실행을 클릭합니다.
스캔이 시작되고 완료되면 Security Command Center에서 발견 항목이 업데이트됩니다. 주문형 관리 스캔은 예약된 스캔 간에 신규 또는 업데이트된 프로젝트의 발견 항목을 캡처하려는 경우에 유용합니다. 주문형 스캔은 예약된 주별 스캔 시간에 영향을 주지 않습니다.
스캔에 대한 자세한 내용은 프로젝트 로그 페이지에서 확인할 수 있습니다.
관리형 스캔 사용 중지
모든 범위 내 프로젝트에 Web Security Scanner를 사용 설정하는 것이 좋습니다. 하지만 Security Command Center에서 Web Security Scanner를 사용 중지할 수 있으며, Security Command Center가 조직 수준에서 활성화된 경우 특정 프로젝트 또는 폴더에 대해 Web Security Scanner 관리형 스캔을 사용 중지할 수 있습니다.
프로젝트 또는 폴더에 대한 Web Security Scanner 스캔 사용 중지
폴더 또는 프로젝트에 대해 관리형 스캔을 사용 중지하려면 다음 안내를 따르세요.
Security Command Center에서 서비스 페이지로 이동합니다.
프로젝트 또는 조직을 선택합니다.
Web Security Scanner 카드에서 설정 관리를 클릭합니다. Web Security Scanner에 대한 서비스 사용 설정 페이지가 열립니다.
서비스 사용 설정 패널에서 다음 방법 중 하나를 사용하여 프로젝트 또는 폴더에 대해 Web Security Scanner를 사용 중지합니다.
- 프로젝트 또는 폴더로 이동합니다.
- 서비스 사용 설정 패널에서 필요에 따라 상위 조직 또는 폴더를 스크롤하고 확장하여 프로젝트 또는 폴더로 이동합니다.
- 프로젝트 또는 폴더 행에서 Web Security Scanner 열의 메뉴에서 사용 중지를 선택합니다.
- 프로젝트 및 폴더에 대해서만 이름으로 프로젝트 또는 폴더를 검색합니다.
- 폴더 또는 프로젝트 검색을 클릭합니다.
- 리소스 검색 대화상자에 프로젝트, 폴더 또는 조직의 이름을 입력합니다. 프로젝트가 대화상자에 표시됩니다.
- 대화상자의 Web Security Scanner 열의 메뉴에서 사용 중지를 선택합니다.
- 프로젝트 또는 폴더로 이동합니다.
사용 중지된 프로젝트는 더 이상 관리형 스캔에 포함되지 않습니다.
Security Command Center에서 Web Security Scanner 사용 중지
Security Command Center에서 Web Security Scanner 서비스를 사용 중지하려면 다음 안내를 따르세요.
Security Command Center에서 서비스 페이지로 이동합니다.
프로젝트 또는 조직을 선택합니다.
Web Security Scanner 카드에서 설정 관리를 클릭합니다. Web Security Scanner에 대한 서비스 사용 설정 페이지가 열립니다.
서비스 사용 설정 아래의 최상위 프로젝트 또는 조직의 행에서 Web Security Scanner 열의 메뉴에서 사용 중지를 선택합니다.
Web Security Scanner가 Security Command Center에서 사용 중지되며 관리형 스캔이 더 이상 실행되지 않습니다.
Google Cloud 콘솔의 Web Security Scanner 인터페이스를 통해 Web Security Scanner를 독립형 제품으로 계속 사용할 수 있으며 다음과 같은 변경사항이 적용됩니다.
- 각 프로젝트의 커스텀 스캔을 구성하고 관리해야 합니다.
- 관리형 스캔 구성은 보관처리되고 기존 관리형 스캔 발견 항목은 Google Cloud 콘솔에서 계속 볼 수 있습니다.
- 관리형 스캔은 Security Command Center 프리미엄에서만 사용할 수 있으므로 관리형 스캔 구성과 기존 관리형 스캔 발견 항목은 Web Security Scanner 인터페이스에서 삭제됩니다.
Security Command Center에서 Web Security Scanner를 다시 사용 설정하면 Web Security Scanner 인터페이스에 관리형 스캔 구성과 발견 항목이 다시 표시됩니다. 일반적으로 새 스캔 중에 동일한 취약점이 발견되면 기존 발견 항목이 업데이트됩니다. 마지막 스캔 후 애플리케이션 또는 웹사이트가 크게 변경된 경우 새로운 발견 항목이 생성될 수 있습니다.