Vista geral da segurança das apps

ID da região

O REGION_ID é um código abreviado que a Google atribui com base na região que seleciona quando cria a sua app. O código não corresponde a um país ou uma província, embora alguns IDs de regiões possam parecer semelhantes aos códigos de países e províncias usados frequentemente. Para apps criadas após fevereiro de 2020, REGION_ID.r está incluído nos URLs do App Engine. Para apps existentes criadas antes desta data, o ID da região é opcional no URL.

Saiba mais acerca dos IDs de regiões.

A segurança é uma funcionalidade essencial do Google Cloud, mas ainda existem passos que deve dar para proteger a sua app do App Engine e identificar vulnerabilidades.

Use as seguintes funcionalidades para garantir que a sua app do App Engine está segura. Para saber mais acerca do modelo de segurança da Google e dos passos disponíveis que pode seguir para proteger os seus Google Cloud projetos, consulte Segurança da Google Cloud Platform.

Pedidos HTTPS

Use pedidos HTTPS para aceder à sua app do App Engine de forma segura. Consoante a forma como a sua app está configurada, tem as seguintes opções:

appspot.com domínios
  • Use o prefixo do URL https para enviar um pedido HTTPS para o serviço do seu projeto, por exemplo:default Google Cloud
    https://PROJECT_ID.REGION_ID.r.appspot.com

  • Para segmentar recursos específicos na sua app do App Engine, use a sintaxe -dot- para separar cada recurso que quer segmentar, por exemplo:
    https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

  • Para converter um URL HTTP num URL HTTPS, substitua os pontos entre cada recurso por -dot-, por exemplo:
    http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
    https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

Para mais informações sobre URLs HTTPS e recursos de segmentação, consulte o artigo Como os pedidos são encaminhados.

Domínios personalizados

Para enviar pedidos HTTPS com o seu domínio personalizado, pode usar os certificados SSL geridos aprovisionados pelo App Engine. Para mais informações, consulte o artigo Proteger domínios personalizados com SSL.

Controlo de acesso

Em cada Google Cloud projeto, configure o controlo de acesso para determinar quem pode aceder aos serviços no projeto, incluindo o App Engine. Pode atribuir funções diferentes a contas diferentes para garantir que cada conta tem apenas as autorizações necessárias para suportar a sua app. Para obter detalhes, consulte o artigo Configurar o controlo de acesso.

Firewall do App Engine

A firewall do App Engine permite-lhe controlar o acesso à sua app do App Engine através de um conjunto de regras que podem permitir ou recusar pedidos dos intervalos especificados de endereços IP. Não lhe é faturado o tráfego nem a largura de banda bloqueados pela firewall. Crie uma firewall para:

Permitir apenas tráfego de uma rede específica
Certifique-se de que apenas um determinado intervalo de endereços IP de redes específicas pode aceder à sua app. Por exemplo, crie regras para permitir apenas o intervalo de endereços IP da rede privada da sua empresa durante a fase de testes da app. Em seguida, pode criar e modificar as regras da firewall para controlar o âmbito do acesso ao longo do processo de lançamento, permitindo que apenas determinadas organizações, quer dentro da sua empresa ou externamente, acedam à sua app à medida que se torna disponível publicamente.
Permita apenas tráfego de um serviço específico
Certifique-se de que todo o tráfego para a sua app do App Engine é primeiro encaminhado através de proxy através de um serviço específico. Por exemplo, se usar um firewall de app Web (WAF) de terceiros para encaminhar pedidos dirigidos à sua app, pode criar regras de firewall para recusar todos os pedidos, exceto os que são encaminhados a partir do seu WAF.
Bloqueie endereços IP abusivos
Embora Google Cloud tenha muitos mecanismos implementados para evitar ataques, pode usar a firewall do App Engine para bloquear o tráfego para a sua app a partir de endereços IP que apresentem intenções maliciosas ou proteger a sua app contra ataques de negação de serviço e formas semelhantes de abuso. Pode adicionar endereços IP ou sub-redes a uma lista de exclusão, para que os pedidos encaminhados a partir desses endereços e sub-redes sejam recusados antes de chegarem à sua app do App Engine.

Para ver detalhes sobre a criação de regras e a configuração da firewall, consulte o artigo Controlar o acesso a apps com firewalls.

Controlos de entrada

Pode usar controlos de entrada para restringir o tráfego de entrada para a sua app do App Engine. Por predefinição, a sua app do App Engine aceita tráfego de todas as origens de rede. Para modificar as predefinições, bem como editar e ver as definições disponíveis, consulte o artigo Especifique as definições de entrada.

Análise de segurança

O Google Cloud Web Security Scanner descobre vulnerabilidades ao rastrear a sua app do App Engine, seguindo todos os links no âmbito dos seus URLs de início e tentando exercer o maior número possível de entradas do utilizador e processadores de eventos.

Para usar o verificador de segurança, tem de ser proprietário do Google Cloud projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Configurar o controlo de acesso.

Pode executar análises de segurança a partir da Google Cloud consola para identificar vulnerabilidades de segurança na sua app do App Engine. Para obter detalhes sobre a execução do Security Scanner, consulte o artigo Usar o Web Security Scanner.

VPC Service Controls

Não suportado no ambiente flexível do App Engine.