GSP112

Descripción general

Web Security Scanner es un servicio integrado de Security Command Center que identifica vulnerabilidades de seguridad en tus aplicaciones web de Google App Engine, Google Kubernetes Engine (GKE) y Compute Engine. Rastrea tu aplicación, para lo cual sigue todos los vínculos dentro del alcance de tus URLs de inicio y trata de ejecutar la mayor cantidad posible de controladores de eventos y entradas del usuario.

El escáner se diseñó para complementar tus procesos de desarrollo y tu diseño de seguridad actual. A fin de evitar distraer a los desarrolladores con falsos positivos, el escáner no muestra las posibles vulnerabilidades detectadas con un bajo nivel de confianza. Esta herramienta no reemplaza una revisión manual de seguridad y no garantiza que tu aplicación no tenga vulnerabilidades.

Configuración

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)

Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.

Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar su lab y acceder a la consola de Google Cloud

1. Haga clic en el botón Comenzar lab. Si debe pagar por el lab, se abrirá una ventana emergente para que seleccione su forma de pago. A la izquierda, se encuentra el panel Detalles del lab que tiene estos elementos:

   • El botón Abrir la consola de Google
   • Tiempo restante
   • Las credenciales temporales que debe usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haga clic en Abrir la consola de Google. El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordene las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ve el diálogo Elegir una cuenta, haga clic en Usar otra cuenta.

3. Si es necesario, copie el nombre de usuario del panel Detalles del lab y péguelo en el cuadro de diálogo Acceder. Haga clic en Siguiente.

4. Copie la contraseña del panel Detalles del lab y péguela en el cuadro de diálogo de bienvenida. Haga clic en Siguiente.

   Importante: Debe usar las credenciales del panel de la izquierda. No use sus credenciales de Google Cloud Skills Boost. Nota: Usar su propia Cuenta de Google podría generar cargos adicionales.

5. Haga clic para avanzar por las páginas siguientes:

   • Acepte los términos y condiciones.
   • No agregue opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No se registre para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Cloud en esta pestaña.

Nota: Para ver el menú con una lista de los productos y servicios de Google Cloud, haga clic en el Menú de navegación que se encuentra en la parte superior izquierda de la pantalla.

Activa Cloud Shell

Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud. Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. Haz clic en Activar Cloud Shell en la parte superior de la consola de Google Cloud.

Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. El resultado contiene una línea que declara el PROJECT_ID para esta sesión:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con la función de autocompletado con tabulador.

2. Puedes solicitar el nombre de la cuenta activa con este comando (opcional):

gcloud auth list

3. Haz clic en Autorizar.

4. Ahora, el resultado debería verse de la siguiente manera:

Resultado:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. Puedes solicitar el ID del proyecto con este comando (opcional):

gcloud config list project

Resultado:

[core] project = <project_ID>

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: Para obtener toda la documentación de gcloud, consulta la guía con la descripción general de gcloud CLI en Google Cloud.

Tarea 1. Antes de comenzar, debes tener una aplicación para analizar

En este lab, implementarás una aplicación de muestra de Hello World en la cual ejecutarás Security Scanner.

1. Ejecuta el siguiente comando en Cloud Shell para clonar el repositorio de la aplicación de muestra de Hello World:

gsutil -m cp -r gs://spls/gsp067/python-docs-samples .

2. A continuación, ve al directorio que contiene el código de muestra:

cd python-docs-samples/appengine/standard_python3/hello_world

3. Ejecuta el siguiente comando y agrega itsdangerous==2.0.1, Jinja2==3.0.3 y werkzeug==2.0.1 al archivo requirements.txt:

nano requirements.txt

El archivo debería verse así:

Flask==1.1.2 itsdangerous==2.0.1 Jinja2==3.0.3 werkzeug==2.0.1

4. Guarda el archivo (presiona Ctrl + O y, luego, Intro). A continuación, sal de nano (presiona Ctrl + X).

Nota: El paquete itsdangerous==2.0.1 se agrega al archivo requirements.txt para pasar datos de forma segura a entornos que no son de confianza y recibirlos sin problemas.

Tarea 2. Prueba la app

1. En el directorio hello_world donde se encuentra el archivo de configuración app.yaml de la app, inicia el servidor de desarrollo local con el siguiente comando:

dev_appserver.py app.yaml

2. El servidor de desarrollo local está en ejecución y detecta las solicitudes en el puerto 8080. Haz clic en el ícono de Vista previa en la Web en Cloud Shell y selecciona Vista previa en el puerto 8080 para verlo:

Nota: Si no puedes ver el ícono de Vista previa en la Web, cierra el menú de navegación en la esquina superior izquierda.

3. Presiona Ctrl + C para detener la app local y volver a la línea de comandos.

Tarea 3. Implementa la app

En este lab, usarás como la región de App Engine.

1. Implementa tu app en App Engine. Para hacerlo, ejecuta el siguiente comando desde el directorio raíz de tu aplicación (hello_world):

gcloud app deploy

2. Se te pedirá que selecciones una región. Elige el número correspondiente a una región cercana a tu ubicación actual.

3. Después de crear la aplicación en tu lab, se te preguntará si deseas continuar. Haz clic en la Y para continuar.

Se iniciará la implementación de tu app.

Tarea 4. Visualiza la app

• Para iniciar la app en tu navegador, ejecuta el siguiente comando:

gcloud app browse

En Cloud Shell, encontrarás un vínculo que podrás usar. También puedes visualizar la app en http://[YOUR_PROJECT_ID].uc.r.appspot.com. Esta es la URL que debes analizar en busca de vulnerabilidades y que se agregará a tus parámetros de análisis en el próximo paso.

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Implementar la aplicación de muestra de App Engine

Tarea 5. Ejecuta el análisis

El escáner no se ejecuta de inmediato, sino que se pone en cola. Según la carga de trabajo actual, es posible que tarde horas en ejecutarse. Para saber más sobre los parámetros de configuración de formularios, consulta Usa Web Security Scanner.

1. Abre el menú de navegación > APIs y servicios > Biblioteca.

2. En Buscar APIs y servicios, escribe Web Security Scanner.

3. Haz clic en Habilitar API para habilitar la API de Web Security Scanner.

4. En el menú de navegación, selecciona Seguridad > Web Security Scanner.

5. Haz clic en New Scan.

6. En Iniciando URL 1, ingresa la URL de la aplicación que quieres analizar.

7. Haz clic en Guardar para crear el análisis.

8. Haz clic en Ejecutar para iniciarlo:

El análisis se pondrá en cola y su progreso se mostrará en la barra de estado. La página de descripción general del análisis muestra una sección de resultados cuando se completa el proceso. En la siguiente imagen, se muestran los resultados del análisis de ejemplo cuando no se detectan vulnerabilidades:

Nota: El análisis tardará de 4 a 5 minutos en completarse. Actualiza la página si no ves ningún cambio.

¡Buen trabajo! Ya completaste un análisis con Web Security Scanner. Verás una advertencia que te informará que analizar solo 1 URL no es el procedimiento ideal. El propósito de este lab es solo mostrar un ejemplo simple. Tu entorno de producción tendrá muchas URLs para analizar.

Tarea 6. Pon a prueba tus conocimientos

Aquí tienes una pregunta de opción múltiple para reforzar tus conocimientos sobre los conceptos de este lab. Intenta responderla correctamente.

¡Felicitaciones!

Finaliza tu Quest

Este lab de autoaprendizaje es parte de las Quests Baseline: Deploy & Develop y Security & Identity Fundamentals. Una Quest es una serie de labs relacionados que forman una ruta de aprendizaje. Si completas esta Quest, obtendrás una insignia como reconocimiento por tu logro. Puedes hacer públicas tus insignias y agregar vínculos a ellas en tu currículum en línea o en tus cuentas de redes sociales. Inscríbete en cualquier Quest que contenga este lab y obtén un crédito inmediato de finalización. Consulta el catálogo de Google Cloud Skills Boost para ver todas las Quests disponibles.

Próximos pasos/Más información

Este lab también forma parte de una serie de labs denominada Qwik Starts. Estos labs están diseñados para ofrecerte una visión general de las numerosas funciones disponibles en Google Cloud. Busca “Qwik Starts” en el catálogo de labs para elegir el próximo lab que desees completar.

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Última actualización del manual: 29 de agosto de 2023

Prueba más reciente del lab: 29 de agosto de 2023

Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.