Google在2015年为增强App Engine弱点测试能力,所推出的云计算安全扫描工具(Cloud Security Scanner),现在适用范围扩展至GKE以及Compute Engine服务,当用户使用Google云计算执行网页应用程序,就能以云计算安全扫描工具分析其隐藏的弱点。
Google提到,随着企业构建的应用程序和执行的平台数量越来越多,掌握应用程序安全性的难度也随之上升,而且网页应用程序在开发的过程,有很高的机率出现漏洞,包括错误配置安全框架,或正式生产环境中的实例错误,也有可能是未即时修补更新系统所造成的安全风险。
而云计算安全扫描工具可以侦测广泛的网页应用程序漏洞,像是识别Flash注入等应用程序常见的漏洞,也能发现因JavaScript程序问题产生的跨站脚本bug,并防范混合安全和不安全内容的混合内容(Mixed Content)漏洞,所可能造成的中间人攻击。另外,云计算安全扫描工具也能在应用程序以明文发送密码字段,或HTTP标头发生显示、拼写和无效等问题时发出警示。
云计算安全扫描工具的侦测结果,会在云计算安全命令中心以及云计算安全状态中显示,供用户以集中式仪表板监视漏洞状态,并快速地回应这些问题,通过点击仪表板上发现的问题,获取进一步了解修复与预防问题的建议。
市面上有不少类似的弱点扫描工具,但Google表示,其他弱点扫描工具并不适用于App Engine等Google服务,不只会发生许多误判,而且操作程序也非常复杂,因此Google推出自家的安全方案,来解决这些问题。用户只要设置好扫描任务,云计算安全扫描工具就会自动抓取应用程序,扫描相关的URL,并尽可能实际测试用户输入与事件处理程序。
云计算安全扫描工具默认关闭,用户必需要手动启动这项功能,其使用Chrome、Safari或是Blackberry和Nokia手机的浏览器进行扫描,而为了对GKE实例执行应用程序提供额外的保护,Google也建议用户,还可以使用容器注册表的漏洞扫描工具来扫描容器镜像文件,在部署至正式生产环境之前发现容器中的漏洞。