Aviso: En los próximos meses, reorganizaremos el sitio de documentación de App Engine para facilitar la búsqueda de contenido y alinearlo mejor con el resto de los productos de Google Cloud. El mismo contenido estará disponible, pero la navegación ahora coincidirá con el resto de los productos de Cloud.

Descripción general de la seguridad de las apps

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

ID de región

REGION_ID es un código abreviado que Google asigna en función de la región que seleccionas cuando creas la app. El código no corresponde a un país ni a una provincia, aunque algunos ID de región puedan parecer similares a los códigos de país y provincia que se suelen usar. En el caso de las apps creadas después de febrero de 2020, REGION_ID.r se incluye en las URL de App Engine. En el caso de las apps existentes creadas antes de esta fecha, el ID de región es opcional en la URL.

Obtén más información acerca de los ID de región.

La seguridad es una característica central de Google Cloud, pero debes seguir algunos pasos para proteger la app de App Engine y, luego, identificar las vulnerabilidades.

Asegúrate de que tu app de App Engine sea segura a través de las siguientes características. Si deseas obtener más información sobre el modelo de seguridad de Google y los pasos disponibles que puedes seguir para proteger los proyectos de Cloud, consulta Seguridad de Google Cloud Platform.

Solicitudes HTTPS

Usa solicitudes HTTPS para acceder a tu aplicación de App Engine de manera segura. Según la configuración de tu app, tienes las siguientes opciones:

Dominios appspot.com
  • Usa el prefijo de URL https para enviar una solicitud HTTPS al servicio default del proyecto de Cloud, por ejemplo:
    https://PROJECT_ID.REGION_ID.r.appspot.com
  • Para orientar recursos específicos de tu aplicación de App Engine, usa la sintaxis -dot- con el fin de separar cada recurso que quieras orientar, por ejemplo:
    https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

  • Para convertir una URL HTTP en una URL HTTPS, reemplaza los puntos entre cada recurso por -dot-, por ejemplo:
    http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
    https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

Para obtener más información sobre las URL HTTPS y sobre cómo orientar recursos, consulta Cómo enrutar solicitudes.

Dominios personalizados

Para enviar solicitudes HTTPS con tu dominio personalizado, puedes usar los certificados SSL administrados que aprovisiona App Engine. Para obtener más información, consulta Protege dominios personalizados con SSL.

Control de acceso

En cada proyecto de Cloud, configura el control de acceso para determinar quién puede acceder a los servicios dentro del proyecto, incluido App Engine. Puedes asignar diferentes funciones a diferentes cuentas a fin de asegurarte de que cada cuenta tenga solo los permisos necesarios para admitir la app. Si deseas obtener más información, consulta Configura el control de acceso.

Firewall de App Engine

El firewall de App Engine te permite controlar los accesos a tu aplicación a través de un conjunto de reglas que se encargan de admitir o rechazar las solicitudes de los rangos específicos de direcciones IP. No se te cobrará por el tráfico o el ancho de banda que sea bloqueado por el firewall. Crea un firewall para:

Permitir tráfico solo desde una red específica
Asegúrate de que solo un rango de direcciones IP de redes específicas pueda acceder a tu aplicación. Por ejemplo, crea reglas para permitir solo el rango de direcciones IP de la red privada de tu empresa durante la fase de prueba de la aplicación. Durante la etapa de lanzamiento, puedes crear y modificar las reglas de tu firewall para controlar el alcance de los accesos, además de permitir que solo ciertas organizaciones, internas o externas a tu empresa, accedan a tu aplicación a medida que cambia la disponibilidad pública.
Permitir tráfico solo desde un servicio específico
Asegúrate de que todo el tráfico de tu aplicación de App Engine pase primero por un proxy de servicio específico. Por ejemplo, si utilizas un firewall de aplicación web (WAF) de terceros para que las solicitudes que se dirigen a tu aplicación pasen por un proxy, puedes crear reglas de firewall y rechazar todas las solicitudes, excepto las que se reenvían desde tu WAF.
Bloquear direcciones IP maliciosas
Si bien Google Cloud tiene muchos mecanismos para evitar ataques, puedes usar el firewall de App Engine a fin de bloquear el tráfico hacia la app desde direcciones IP que presenten intenciones maliciosas o proteger la app contra ataques de denegación del servicio y formas similares de abuso. Puedes agregar direcciones IP o subredes a una lista de bloqueo para que las solicitudes enrutadas desde esas direcciones y subredes se rechacen antes de que alcancen la app de App Engine.

Para obtener más información sobre cómo crear reglas y configurar tu firewall, consulta Controla el acceso a las apps mediante firewalls.

Controles de entrada

En esta sección, se describe cómo usar la configuración de entrada para restringir el acceso de red a tu app de App Engine. De forma predeterminada, a nivel de la red, cualquier recurso de Internet puede acceder a tu aplicación de App Engine en su URL appspot o en un dominio personalizado configurado en App Engine. Por ejemplo, la URL appspot.com puede tener el siguiente formato: SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com.

Puedes cambiar este parámetro de configuración predeterminado si especificas uno diferente para la entrada. Todas las rutas de acceso de entrada, incluida la URL predeterminada appspot.com, están sujetas al parámetro de configuración de entrada. La entrada se configura a nivel de servicio.

Opciones de configuración de entrada disponibles

Podrás configurar los siguientes parámetros:

Configuración Descripción
Interno Más restrictivo. Permite solicitudes de recursos conectados a las redes de VPC del proyecto, como:
Las solicitudes de estas fuentes permanecen dentro de la red de Google, incluso si acceden a tu servicio en la URL appspot.com Las solicitudes de otras fuentes, incluido Internet, no pueden llegar a tu servicio en la URL appspot.com ni en dominios personalizados. No hay asistencia para multiusuarios, es decir, múltiples dominios de confianza dentro del mismo proyecto.
Balanceo de cargas interno y en la nube Permite solicitudes de los siguientes recursos:
  • Recursos permitidos por el parámetro de configuración interna más restrictiva
  • Balanceador de cargas HTTP(S) externo
Usa el parámetro de configuración del balanceo de cargas interno y de Cloud Load Balancing para aceptar solicitudes de un balanceador de cargas HTTP(S) externo, pero no directamente desde Internet. Las solicitudes a la URL appspot.com omiten el balanceador de cargas HTTP(S) externo, por lo que este parámetro de configuración evita que las solicitudes externas lleguen a la URL appspot.com.
Todas Menos restrictivo. Permite todas las solicitudes, incluidas las solicitudes directas desde Internet a la URL appspot.com.

Accede a servicios internos

Se aplican las siguientes consideraciones:

  • Para las solicitudes de una VPC compartida, el tráfico solo se considera interno si la app de App Engine se implementa en el proyecto host de VPC compartida. Si la aplicación de App Engine se implementa en un proyecto de servicio de VPC compartida, solo el tráfico de las redes que pertenecen al proyecto de la aplicación es interno. El resto del tráfico, incluido el de otras VPC compartidas, es externo.

  • Cuando accedes a los servicios internos, llámalos como lo harías con sus URLs públicas, ya sea la URL appspot.com predeterminada o un dominio personalizado configurado en App Engine.

  • Para solicitudes de instancias de VM de Compute Engine o de algún otro recurso que se ejecute dentro de una red de VPC en el mismo proyecto, no se requiere ninguna configuración adicional.

  • Para solicitudes de otros servicios de App Engine o de Cloud Run o Cloud Functions en el mismo proyecto, conecta el servicio o la función a una red de VPC y enruta todo el tráfico de salida a través del conector, como se describe en Conéctate a una red de VPC compartida.

  • Las solicitudes de recursos dentro de una red de VPC en el mismo proyecto se clasifican como internas incluso si el recurso desde el que se originan tiene una dirección IP pública.

  • Las solicitudes de recursos locales conectados a la red de VPC mediante Cloud VPN se consideran internal.

Ver configuración de entrada

Console

  1. Ve a la página de Servicios de App Engine.

    Ir a la página Servicios

  2. Ubica la columna Ingress. Para cada servicio, el valor de esta columna muestra la configuración de entrada como una de Todo (predeterminado), Internas y de balanceo de cargas, o Internas.

gcloud

Para ver la configuración de entrada de un servicio mediante la CLI de gcloud, sigue estos pasos:

gcloud app services describe SERVICE

SERVICE por el nombre del servicio

Por ejemplo, para ver la configuración de entrada y otra información sobre el servicio predeterminado, ejecuta lo siguiente:

gcloud app services describe default

Editar configuración de entrada

Console

  1. Ve a la página de Servicios de App Engine.

    Ir a la página Servicios

  2. Selecciona el servicio que deseas editar.

  3. Haz clic en Editar configuración de entrada.

  4. Selecciona en el menú la configuración de entrada que quieras y haz clic en Guardar.

gcloud

Para actualizar de entrada de un servicio mediante la CLI de gcloud, sigue estos pasos:

gcloud app services update SERVICE --ingress=INGRESS

Reemplaza lo siguiente:

  • SERVICE: el nombre del servicio
  • INGRESS: el control de entrada que deseas aplicar Es uno de los siguientes: all, internal-only o internal-and-cloud-load-balancing.

Por ejemplo:

  • Actualiza el servicio predeterminado de una app de App Engine para aceptar tráfico solo desde Cloud Load Balancing y redes de VPC que estén en el mismo proyecto:

    gcloud app services update default --ingress=internal-and-cloud-load-balancing
  • A fin de actualizar un servicio llamado “internal-requests” para aceptar tráfico solo de las redes de VPC que se encuentren en el mismo proyecto, realiza lo siguiente:

    gcloud app services update internal-requests --ingress=internal-only

Análisis de seguridad

Web Security Scanner de Google Cloud rastrea las vulnerabilidades mediante el rastreo de tu aplicación de App Engine, siguiendo todos los vínculos dentro del alcance de las URL de inicio y trata de ejecutar la mayor cantidad de entradas de usuarios y controladores de eventos.

Para usar Security Scanner, debes ser propietario del proyecto de Cloud. Para obtener más información sobre cómo asignar funciones, consulta Configura el control de acceso.

Puedes ejecutar análisis de seguridad desde Google Cloud Console a fin de identificar vulnerabilidades de seguridad en la app de App Engine. Para obtener detalles sobre cómo ejecutar Security Scanner, consulta la Guía de inicio rápido de Security Scanner.

Proveedor de protección de datos ASP.Net Core

La pila de protección de datos ASP.NET Core usa encriptación para proteger datos de aplicaciones web, como cookies y tokens anti CSRF.

El IDataProtectionProvider predeterminado almacena las claves de encriptación de forma local en la máquina que ejecuta el servidor web, que no es compatible con App Engine y hace que se muestren mensajes de error.

Puedes usar Google.Cloud.AspNetCore.DataProtection.Storage y Google.Cloud.AspNetCore.DataProtection.Kms para resolver este problema. Puedes usar estas bibliotecas mediante los siguientes pasos:

  1. Crea un depósito de Cloud Storage.

  2. Crea un llavero de claves de Cloud Key Management Service y una clave:

    gcloud kms keyrings create dataprotectionprovider --location global
    gcloud kms keys create key --location global --keyring \
        dataprotectionprovider --purpose=encryption
    
  3. Configura el permiso de tu cuenta de servicio para que utilice tu llavero de claves:

    gcloud kms keyrings add-iam-policy-binding dataprotectionprovider \
        --location 'global' \
        --member serviceAccount:my-project-id@appspot.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    
  4. Agrega las bibliotecas al .csproj de tu aplicación:

    dotnet add package Google.Cloud.AspNetCore.DataProtection.Kms
    dotnet add package Google.Cloud.AspNetCore.DataProtection.Storage
    
  5. Agrega los nombres del depósito y el objeto (nombre de archivo) en el que se almacenarán las claves y el nombre de tu clave KMS al archivo appsettings.json de tu aplicación:

    {
      "Logging": {
        "LogLevel": {
          "Default": "Warning"
        }
      },
      "AllowedHosts": "*",
      "DataProtection": {
        "Bucket": "YOUR-BUCKET",
        "Object": "DataProtectionProviderKeys.xml",
        "KmsKeyName": "projects/YOUR-PROJECT-ID/locations/global/keyRings/dataprotectionprovider/cryptoKeys/key"
      }
    }
    
  6. Puedes configurar la pila de protección de datos de ASP.NET Core a fin de usar las bibliotecas de Google. Para ello, agrega lo siguiente a tu archivo Startup.cs:

    
    using Google.Cloud.AspNetCore.DataProtection.Kms;
    using Google.Cloud.AspNetCore.DataProtection.Storage;
        public class Startup
        {
            public void ConfigureServices(IServiceCollection services)
            {
                // Antiforgery tokens require data protection.
                services.AddDataProtection()
                    // Store keys in Cloud Storage so that multiple instances
                    // of the web application see the same keys.
                    .PersistKeysToGoogleCloudStorage(
                        Configuration["DataProtection:Bucket"],
                        Configuration["DataProtection:Object"])
                    // Protect the keys with Google KMS for encryption and fine-
                    // grained access control.
                    .ProtectKeysWithGoogleKms(
                        Configuration["DataProtection:KmsKeyName"]);
    

Puedes descargar un ejemplo ejecutable con una secuencia de comandos de configuración desde el repositorio de GitHub de Google Cloud.