Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על אבטחת אפליקציות

מזהה אזור

‫REGION_ID הוא קוד מקוצר ש-Google מקצה על סמך האזור שבוחרים כשיוצרים את האפליקציה. הקוד לא תואם למדינה או למחוז, למרות שחלק ממזהי האזורים עשויים להיראות דומים לקודים נפוצים של מדינות ומחוזות. באפליקציות שנוצרו אחרי פברואר 2020, המחרוזת REGION_ID.r כלולה בכתובות ה-URL של App Engine. באפליקציות קיימות שנוצרו לפני התאריך הזה, מזהה האזור הוא אופציונלי בכתובת ה-URL.

מידע נוסף על מזהי אזורים

האבטחה היא התכונה העיקרית של Google Cloud, אבל עדיין יש פעולות שצריך לבצע כדי להגן על אפליקציית App Engine ולזהות נקודות חולשה.

כדי לוודא שהאפליקציה שלכם ב-App Engine מאובטחת, אתם יכולים להשתמש בתכונות הבאות. מידע נוסף על מודל האבטחה של Google ועל השלבים שאתם יכולים לבצע כדי לאבטח את הפרויקטים שלכם ב- Google Cloud זמין במאמר אבטחה ב-Google Cloud Platform.

בקשות HTTPS

כדי לגשת לאפליקציית App Engine בצורה מאובטחת, צריך להשתמש בבקשות HTTPS. בהתאם לאופן שבו האפליקציה מוגדרת, יש לכם את האפשרויות הבאות:

appspot.com דומיינים

משתמשים בקידומת https של כתובת ה-URL כדי לשלוח בקשת HTTPS לשירות default של הפרויקט, לדוגמה:
https://PROJECT_ID.REGION_ID.r.appspot.com Google Cloud

כדי לטרגט משאבים ספציפיים באפליקציית App Engine, משתמשים בתחביר -dot- כדי להפריד בין כל משאב שרוצים לטרגט. לדוגמה:
https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com
כדי להמיר כתובת URL מסוג HTTP לכתובת URL מסוג HTTPS, מחליפים את הנקודות בין כל משאב ב--dot-, לדוגמה:
http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

מידע נוסף על כתובות URL מסוג HTTPS ועל משאבי טירגוט זמין במאמר איך בקשות מנותבות.

דומיינים מותאמים אישית

כדי לשלוח בקשות HTTPS עם הדומיין המותאם אישית, אפשר להשתמש באישורי ה-SSL המנוהלים שמסופקים על ידי App Engine. מידע נוסף מופיע במאמר בנושא אבטחת דומיינים מותאמים אישית באמצעות SSL.

בקרת גישה

בכל Google Cloud פרויקט, מגדירים בקרת גישה כדי לקבוע למי תהיה גישה לשירותים בפרויקט, כולל App Engine. אפשר להקצות תפקידים שונים לחשבונות שונים כדי לוודא שלכל חשבון יש רק את ההרשאות שהוא צריך כדי לתמוך באפליקציה. לפרטים נוספים, אפשר לעיין במאמר בנושא הגדרת בקרת גישה.

חומת אש של App Engine

חומת האש של App Engine מאפשרת לכם לשלוט בגישה לאפליקציית App Engine באמצעות קבוצה של כללים שיכולים לאשר או לדחות בקשות מטווחי כתובות IP שצוינו. לא נחייב אתכם על תנועה או רוחב פס שנחסמו על ידי חומת האש. כדי ליצור חומת אש:

אישור תנועה רק מרשת ספציפית: מוודאים שרק טווח מסוים של כתובות IP מרשתות ספציפיות יכול לגשת לאפליקציה. לדוגמה, אפשר ליצור כללים שיאפשרו גישה רק לטווח של כתובות IP מתוך הרשת הפרטית של החברה במהלך שלב הבדיקה של האפליקציה. לאחר מכן תוכלו ליצור ולשנות את כללי חומת האש כדי לשלוט בהיקף הגישה במהלך תהליך ההפצה, ולאפשר רק לארגונים מסוימים, בתוך החברה או מחוצה לה, לגשת לאפליקציה בזמן שהיא עוברת את התהליך עד שהיא זמינה לכולם.
אישור תנועה משירות מסוים בלבד: מוודאים שכל התנועה לאפליקציית App Engine מועברת קודם דרך שירות ספציפי. לדוגמה, אם אתם משתמשים בחומת אש של אפליקציית אינטרנט (WAF) של צד שלישי כדי להעביר בקשות שמכוונות לאפליקציה שלכם, אתם יכולים ליצור כללים בחומת האש כדי לדחות את כל הבקשות חוץ מאלה שמועברות מחומת האש של אפליקציית האינטרנט.
חסימה של כתובות IP שמהן מגיעה התנהגות פוגעת: למרות Google Cloud שיש הרבה מנגנונים למניעת התקפות, אפשר להשתמש בחומת האש של App Engine כדי לחסום תנועה לאפליקציה מכתובות IP שמציגות כוונות זדוניות, או כדי להגן על האפליקציה מפני התקפות מניעת שירות (DoS) וצורות דומות של ניצול לרעה. אפשר להוסיף כתובות IP או רשתות משנה לרשימת כתובות חסומות, כך שהבקשות שמנותבות מהכתובות ומהרשתות האלה יידחו לפני שהן יגיעו לאפליקציית App Engine.

לפרטים על יצירת כללים והגדרת חומת האש, ראו שליטה בגישה לאפליקציות באמצעות חומות אש.

אמצעי בקרה על תעבורה נכנסת

אתם יכולים להשתמש באמצעי בקרה של תעבורת נכנסת כדי להגביל את התעבורה הנכנסת לאפליקציית App Engine. כברירת מחדל, אפליקציית App Engine מקבלת תעבורה מכל מקורות הרשת. כדי לשנות את הגדרות ברירת המחדל, לערוך את ההגדרות הזמינות ולראות אותן, אפשר לעיין במאמר בנושא הגדרת תעבורה נכנסת.

הגדרות של תעבורת נתונים יוצאת (egress)

הגדרות של תעבורת נתונים יוצאת (egress) קובעות איזו תעבורה נשלחת דרך מחברים של חיבור לרשת (VPC) מאפליקציית serverless. כברירת מחדל, רק בקשות לכתובות IP פרטיות מנותבות דרך מחבר של חיבור לרשת (VPC) מאפליקציית serverless. באמצעות הגדרות של תעבורת נתונים יוצאת (egress), אתם יכולים לדרוש שכל התעבורה משירותי App Engine תנותב דרך מחבר ה-VPC המצורף. כדי לציין הגדרות של תעבורת נתונים יוצאת (egress) לאפליקציה, אפשר לעיין במאמר בנושא הגדרות של תעבורת נתונים יוצאת (egress).

סורק אבטחה

Google Cloud Web Security Scanner מגלה נקודות חולשה על ידי סריקת אפליקציית App Engine, מעקב אחרי כל הקישורים במסגרת כתובות ה-URL להתחלה וניסיון להפעיל כמה שיותר קלט משתמשים ומטפלי אירועים.

כדי להשתמש בסורק האבטחה, צריך להיות בעלים שלGoogle Cloud הפרויקט. מידע נוסף על הקצאת תפקידים זמין במאמר הגדרת בקרת גישה.

אפשר להריץ סריקות אבטחה מהמסוף Google Cloud כדי לזהות נקודות חולשה באבטחה באפליקציית App Engine. לפרטים על הרצת סורק האבטחה, אפשר לעיין במאמר בנושא שימוש ב-Web Security Scanner.

VPC Service Controls

לא נתמך בסביבה הרגילה של App Engine.

סקירה כללית על אבטחת אפליקציות קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.