Panoramica sulla sicurezza delle app

ID regione

Il REGION_ID è un codice abbreviato che Google assegna in base alla regione selezionata quando crei l'app. Il codice non corrisponde a un paese o a una provincia, anche se alcuni ID regione possono sembrare simili ai codici di paesi e province di uso comune. Per le app create dopo febbraio 2020, REGION_ID.r è incluso negli URL App Engine. Per le app esistenti create prima di questa data, l'ID regione è facoltativo nell'URL.

Scopri di più sugli ID regione.

La sicurezza è una funzionalità di base di Google Cloud, ma ci sono ancora passaggi da seguire per proteggere la tua app App Engine e identificare le vulnerabilità.

Utilizza le seguenti funzionalità per assicurarti che la tua app App Engine sia sicura. Per scoprire di più sul modello di sicurezza di Google e sui passaggi disponibili che puoi eseguire per proteggere i tuoi Google Cloud progetti, consulta Sicurezza di Google Cloud.

Richieste HTTPS

Utilizza le richieste HTTPS per accedere in modo sicuro alla tua app App Engine. A seconda della configurazione dell'app, hai le seguenti opzioni:

Domini appspot.com
  • Utilizza il prefisso URL https per inviare la richiesta HTTPS al servizio default del tuo progetto Google Cloud , ad esempio:
    https://PROJECT_ID.REGION_ID.r.appspot.com

  • Per scegliere come target risorse specifiche nella tua app App Engine, utilizza la sintassi -dot- per separare ogni risorsa che vuoi scegliere come target, ad esempio:
    https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

  • Per convertire un URL HTTP in un URL HTTPS, sostituisci i punti tra ogni risorsa con -dot-, ad esempio:
    http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
    https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

Per ulteriori informazioni sugli URL HTTPS e sulle risorse di targeting, consulta la sezione Come vengono instradate le richieste.

Domini personalizzati

Per inviare richieste HTTPS con il tuo dominio personalizzato, puoi utilizzare i certificati SSL gestiti forniti da App Engine. Per saperne di più, vedi Protezione dei domini personalizzati con SSL.

Controllo degli accessi

In ogni progetto Google Cloud , configura controllo dell'accesso per determinare chi può accedere ai servizi all'interno del progetto, incluso App Engine. Puoi assegnare ruoli diversi a account diversi per assicurarti che ogni account disponga solo delle autorizzazioni necessarie per supportare la tua app. Per maggiori dettagli, consulta Configurazione del controllo dell'accesso.

Firewall di App Engine

Il firewall App Engine ti consente di controllare l'accesso alla tua app App Engine tramite un insieme di regole che possono consentire o negare le richieste dagli intervalli specificati di indirizzi IP. Non ti viene addebitato alcun costo per il traffico o la larghezza di banda bloccati dal firewall. Crea un firewall per:

Consenti solo il traffico proveniente da una rete specifica
Assicurati che solo un determinato intervallo di indirizzi IP di reti specifiche possa accedere alla tua app. Ad esempio, crea regole per consentire solo l'intervallo di indirizzi IP all'interno della rete privata della tua azienda durante la fase di test dell'app. Puoi quindi creare e modificare le regole firewall per controllare l'ambito dell'accesso durante il processo di rilascio, consentendo solo a determinate organizzazioni, interne o esterne alla tua azienda, di accedere alla tua app man mano che viene resa disponibile pubblicamente.
Consenti solo il traffico da un servizio specifico
Assicurati che tutto il traffico verso la tua app App Engine venga prima inviato tramite proxy tramite un servizio specifico. Ad esempio, se utilizzi un web application firewall (WAF) di terze parti per eseguire il proxy delle richieste indirizzate alla tua app, puoi creare regole firewall per negare tutte le richieste, tranne quelle inoltrate dal WAF.
Bloccare indirizzi IP abusivi
Sebbene Google Cloud disponga di molti meccanismi per prevenire gli attacchi, puoi utilizzare il firewall App Engine per bloccare il traffico verso la tua app proveniente da indirizzi IP che presentano intent dannosi o proteggere la tua app da attacchi denial of service e forme simili di abuso. Puoi aggiungere indirizzi IP o subnet a una denylist, in modo che le richieste instradate da questi indirizzi e subnet vengano negate prima di raggiungere la tua app App Engine.

Per informazioni dettagliate sulla creazione di regole e sulla configurazione del firewall, consulta Controllare l'accesso alle app con i firewall.

Controlli Ingress

Puoi utilizzare i controlli Ingress per limitare il traffico in entrata alla tua app App Engine. Per impostazione predefinita, la tua app App Engine accetta il traffico da tutte le origini di rete. Per modificare le impostazioni predefinite e visualizzare e modificare le impostazioni disponibili, vedi Specificare le impostazioni di ingresso.

Security Scanner

Google Cloud Web Security Scanner rileva le vulnerabilità eseguendo la scansione della tua app App Engine, seguendo tutti i link nell'ambito degli URL di partenza e tentando di attivare il maggior numero possibile di input utente e gestori di eventi.

Per utilizzare lo scanner di sicurezza, devi essere proprietario del progettoGoogle Cloud . Per ulteriori informazioni sull'assegnazione dei ruoli, consulta la sezione Configurazione del controllo dell'accesso.

Puoi eseguire scansioni di sicurezza dalla console Google Cloud per identificare le vulnerabilità di sicurezza nella tua app App Engine. Per informazioni dettagliate sull'esecuzione di Security Scanner, consulta la sezione Utilizzo di Web Security Scanner.

Controlli di servizio VPC

Non supportato nell'ambiente flessibile di App Engine.