GSP112

Présentation

Web Security Scanner, un des services intégrés de Security Command Center, identifie les failles de sécurité de vos applications Web Google App Engine, Google Kubernetes Engine (GKE) et Compute Engine. Il explore votre application et tous les liens associés à vos URL de démarrage, et essaie de tester un maximum d'entrées utilisateur et de gestionnaires d'événements.

Cloud Security Scanner est conçu pour compléter vos processus sécurisés de conception et développement. Afin de ne pas détourner l'attention des développeurs avec de faux positifs, le système d'analyse limite volontairement les rapports en choisissant de ne pas afficher les alertes ayant un faible niveau de confiance. Cloud Security Scanner ne remplace pas un contrôle de sécurité manuel et ne garantit pas l'absence de failles de sécurité dans votre application.

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;

Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le temporaire étudiant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

   • Le bouton Ouvrir la console Google Cloud
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau Détails concernant l'atelier.

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau Détails concernant l'atelier.

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais gratuits.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour afficher un menu contenant la liste des produits et services Google Cloud, cliquez sur le menu de navigation en haut à gauche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Le résultat contient une ligne qui déclare YOUR_PROJECT_ID (VOTRE_ID_PROJET) pour cette session :

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

2. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

3. Cliquez sur Autoriser.

4. Vous devez à présent obtenir le résultat suivant :

Résultat :

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project = <ID_Projet>

Exemple de résultat :

[core] project = qwiklabs-gcp-44776a13dea667a6 Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Tâche 1 : Avant de commencer, vous avez besoin d'une application à analyser

Dans cet atelier, vous allez déployer une application Hello World pour y exécuter Security Scanner.

1. Exécutez la commande suivante dans Cloud Shell pour cloner le dépôt de l'application exemple Hello World :

gsutil -m cp -r gs://spls/gsp067/python-docs-samples .

2. Accédez au répertoire qui contient l'exemple de code :

cd python-docs-samples/appengine/standard_python3/hello_world

3. Exécutez la commande ci-dessous et ajoutez itsdangerous==2.0.1, Jinja2==3.0.3 et werkzeug==2.0.1 dans le fichier requirements.txt :

nano requirements.txt

Ainsi, le fichier ressemble à l'exemple suivant :

Flask==1.1.2 itsdangerous==2.0.1 Jinja2==3.0.3 werkzeug==2.0.1

4. Enregistrez le fichier (appuyez sur Ctrl+O, puis sur Entrée) et quittez nano (appuyez sur Ctrl+X).

Remarque : Le package itsdangerous==2.0.1 est ajouté au fichier requirements.txt pour transférer les données vers des environnements non approuvés et les récupérer de façon sécurisée.

Tâche 2 : Tester l'application

1. Dans le répertoire hello_world qui contient le fichier de configuration app.yaml de l'application, démarrez le serveur de développement local en exécutant cette commande :

dev_appserver.py app.yaml

2. Le serveur de développement local est désormais en cours d'exécution et écoute les requêtes envoyées au port 8080. Dans Cloud Shell, cliquez sur le bouton Aperçu sur le Web, puis sélectionnez Prévisualiser sur le port 8080 :

Remarque : Si vous ne voyez pas l'icône Aperçu sur le Web, fermez le menu de navigation en haut à gauche.

3. Appuyez sur Ctrl+C pour arrêter l'application locale et revenir à la ligne de commande.

Tâche 3 : Déployer l'application

Pour cet atelier, utilisez comme région App Engine.

1. Pour déployer votre application dans App Engine, exécutez la commande suivante depuis le répertoire racine de votre application (hello_world) :

gcloud app deploy

2. Un message vous invite à sélectionner une région. Choisissez le nombre correspondant à celle située à proximité de vous.

3. Une fois votre application créée, un message vous demande si vous souhaitez poursuivre. Tapez Y pour continuer.

Le déploiement de votre application commence.

Tâche 4 : Voir l'application

• Pour lancer l'application dans votre navigateur, exécutez la commande suivante :

gcloud app browse

Vous pouvez également utiliser un lien dans Cloud Shell ou afficher l'application sur http://[YOUR_PROJECT_ID].uc.r.appspot.com. Il s'agit de l'URL que vous allez analyser et qui sera ajoutée dans vos paramètres à la prochaine étape.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour vérifier la tâche exécutée. Si votre tâche a bien été exécutée, vous recevez une note d'évaluation.

Déployez un exemple d'application App Engine.

Tâche 5 : Exécuter l'analyse

Cette analyse ne s'exécute pas immédiatement, mais elle est mise en attente et sera traitée par la suite. Plusieurs heures peuvent s'écouler avant le lancement de l'analyse en fonction de la charge actuelle. Pour plus d'informations sur ces paramètres de formulaire, consultez Utiliser Web Security Scanner.

1. Accédez au menu de navigation > API et services > Bibliothèque.

2. Sous "Rechercher des API et des services", saisissez Web Security Scanner.

3. Cliquez sur Activer l'API pour activer l'API Web Security Scanner.

4. Dans le menu de navigation, sélectionnez Sécurité > Web Security Scanner.

5. Cliquez sur Nouvelle analyse.

6. Sous URL de démarrage 1, saisissez l'URL de l'application à analyser.

7. Cliquez sur Enregistrer pour créer l'analyse.

8. Cliquez sur Exécuter pour démarrer l'analyse :

L'analyse est mise en file d'attente, et une barre d'état vous indique sa progression. La page de présentation de l'analyse affiche une section de résultats une fois l'analyse terminée. L'image suivante montre des exemples de résultats d'analyse lorsqu'aucune faille n'est détectée :

Remarque : L'exécution de l'analyse peut prendre quatre à cinq minutes. Essayez d'actualiser la page si les résultats n'apparaissent pas.

Bravo ! Vous venez d'effectuer une analyse avec Web Security Scanner. Un message d'avertissement vous informe qu'il n'est pas recommandé d'analyser une seule URL. Toutefois, le but de cet atelier est simplement d'illustrer la procédure. Votre environnement de production contiendra de nombreuses URL à analyser.

Tâche 6 : Tester vos connaissances

Voici une question à choix multiples qui vous aidera à assimiler les concepts abordés lors de cet atelier. Répondez-y du mieux que vous le pouvez.

Félicitations !

Terminer votre quête

Cet atelier d'auto-formation fait partie des quêtes Baseline: Deploy & Develop et Security & Identity Fundamentals. Une quête est une série d'ateliers associés qui constituent un parcours de formation. Si vous terminez cette quête, vous obtenez un badge attestant de votre réussite. Vous pouvez rendre publics les badges que vous recevez et ajouter leur lien dans votre CV en ligne ou sur vos comptes de réseaux sociaux. Inscrivez-vous à n'importe quelle quête contenant cet atelier pour obtenir immédiatement les crédits associés. Découvrez toutes les quêtes disponibles dans le catalogue Google Cloud Skills Boost.

Étapes suivantes et informations supplémentaires

Cet atelier fait partie d'une série appelée "Qwik Starts". Les ateliers de cette série sont conçus pour vous présenter brièvement les nombreuses fonctionnalités proposées par Google Cloud. Pour suivre un autre atelier, recherchez "Qwik Starts" dans le catalogue.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 29 août 2023

Dernier test de l'atelier : 29 août 2023

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.