סקירה כללית על אבטחת אפליקציות

אבטחה היא התכונה העיקרית של Google Cloud, אבל עדיין יש פעולות שצריך לבצע כדי להגן על אפליקציית App Engine ולזהות נקודות חולשה.

כדי לוודא שהאפליקציה שלכם ב-App Engine מאובטחת, כדאי להשתמש בתכונות הבאות. מידע נוסף על מודל האבטחה של Google ועל השלבים שאתם יכולים לבצע כדי לאבטח את הפרויקטים שלכם ב- Google Cloud זמין במאמר אבטחה ב-Google Cloud Platform.

בקשות HTTPS

כדי לגשת לאפליקציית App Engine בצורה מאובטחת, צריך להשתמש בבקשות HTTPS. בהתאם לאופן שבו האפליקציה מוגדרת, יש לכם את האפשרויות הבאות:

appspot.com דומיינים

• משתמשים בקידומת https של כתובת ה-URL כדי לשלוח בקשת HTTPS לשירות default של הפרויקט, לדוגמה:
  https://PROJECT_ID.REGION_ID.r.appspot.com Google Cloud

• כדי לטרגט משאבים ספציפיים באפליקציית App Engine, משתמשים בתחביר -dot- כדי להפריד בין כל משאב שרוצים לטרגט. לדוגמה:
  https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

• כדי להמיר כתובת URL מסוג HTTP לכתובת URL מסוג HTTPS, מחליפים את הנקודות בין כל משאב ב--dot-, לדוגמה:
  http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

מידע נוסף על כתובות URL מסוג HTTPS ועל משאבי טירגוט זמין במאמר איך בקשות מנותבות.

דומיינים מותאמים אישית

כדי לשלוח בקשות HTTPS עם הדומיין המותאם אישית, אפשר להשתמש באישורי ה-SSL המנוהלים שמסופקים על ידי App Engine. מידע נוסף מופיע במאמר בנושא אבטחת דומיינים מותאמים אישית באמצעות SSL.

בקרת גישה

בכל פרויקט Google Cloud , מגדירים בקרת גישה כדי לקבוע למי תהיה גישה לשירותים בפרויקט, כולל App Engine. אתם יכולים להקצות תפקידים שונים לחשבונות שונים כדי לוודא שלכל חשבון יש רק את ההרשאות שהוא צריך כדי לתמוך באפליקציה. פרטים נוספים זמינים במאמר בנושא הגדרת בקרת גישה.

חומת אש של App Engine

חומת האש של App Engine מאפשרת לכם לשלוט בגישה לאפליקציית App Engine באמצעות קבוצה של כללים שיכולים לאשר או לדחות בקשות מטווחי כתובות IP שצוינו. לא נחייב אתכם על תנועה או רוחב פס שנחסמו על ידי חומת האש. יצירת חומת אש כדי:

אישור תנועה רק מרשת ספציפית

מוודאים שרק טווח מסוים של כתובות IP מרשתות ספציפיות יכול לגשת לאפליקציה. לדוגמה, אפשר ליצור כללים שיאפשרו רק לטווח של כתובות IP מתוך הרשת הפרטית של החברה לגשת לאפליקציה במהלך שלב הבדיקה שלה. לאחר מכן תוכלו ליצור ולשנות את כללי חומת האש כדי לשלוט בהיקף הגישה במהלך תהליך ההפצה, ולאפשר רק לארגונים מסוימים, בתוך החברה או מחוצה לה, לגשת לאפליקציה בזמן שהיא עוברת את התהליך עד שהיא זמינה לציבור.

אישור רק לתנועה משירות ספציפי

מוודאים שכל התנועה לאפליקציית App Engine מועברת קודם דרך שירות ספציפי. לדוגמה, אם אתם משתמשים בחומת אש של אפליקציית אינטרנט (WAF) של צד שלישי כדי להעביר בקשות שמכוונות לאפליקציה שלכם, אתם יכולים ליצור כללים בחומת האש כדי לדחות את כל הבקשות חוץ מאלה שמועברות מה-WAF.

חסימה של כתובות IP שמהן מגיעה התנהגות פוגעת

ל- Google Cloud יש הרבה מנגנונים למניעת התקפות, אבל אתם יכולים להשתמש בחומת האש של App Engine כדי לחסום תנועה לאפליקציה מכתובות IP שמציגות כוונות זדוניות, או כדי להגן על האפליקציה מפני התקפות מניעת שירות (DoS) וצורות דומות של ניצול לרעה. אפשר להוסיף כתובות IP או רשתות משנה לרשימת כתובות חסומות, כך שהבקשות שמנותבות מהכתובות ומהרשתות האלה יידחו לפני שהן יגיעו לאפליקציית App Engine.

לפרטים על יצירת כללים והגדרת חומת האש, ראו שליטה בגישה לאפליקציות באמצעות חומות אש.

אמצעי בקרה על כניסה

אתם יכולים להשתמש באמצעי בקרה של Ingress כדי להגביל את התנועה הנכנסת לאפליקציית App Engine. כברירת מחדל, אפליקציית App Engine מקבלת תנועה מכל מקורות הרשת. כדי לשנות את הגדרות ברירת המחדל, לערוך את ההגדרות הזמינות ולראות אותן, אפשר לעיין במאמר בנושא הגדרת הגדרות של תעבורת נתונים נכנסת (ingress).

סורק אבטחה

Google Cloud Web Security Scanner מגלה נקודות חולשה על ידי סריקת אפליקציית App Engine, מעקב אחרי כל הקישורים במסגרת כתובות ה-URL ההתחלתיות וניסיון להפעיל כמה שיותר קלט משתמשים ומטפלי אירועים.

כדי להשתמש בסורק האבטחה, צריך להיות בעלים של פרויקטGoogle Cloud . מידע נוסף על הקצאת תפקידים זמין במאמר הגדרת בקרת גישה.

אפשר להריץ סריקות אבטחה מהמסוף Google Cloud כדי לזהות נקודות חולשה באבטחה באפליקציית App Engine. לפרטים על הרצת סורק האבטחה, אפשר לעיין במאמר בנושא שימוש ב-Web Security Scanner.

VPC Service Controls

לא נתמך בסביבה הגמישה של App Engine.