Seguridad para aplicaciones

La seguridad es una característica central de Google Cloud Platform, pero existen medidas adicionales que deberías tomar para proteger tu aplicación de App Engine y poder identificar sus vulnerabilidades.

Asegúrate de que tu aplicación de App Engine sea segura a través de los siguientes elementos. Si quieres obtener más información sobre el modelo de seguridad de Google y los pasos que puedes seguir para proteger tus proyectos de GCP, consulta Seguridad de Google Cloud Platform.

Solicitudes HTTPS

Utiliza solicitudes HTTPS para acceder a tu aplicación de App Engine de manera segura. Según la configuración de tu aplicación, tienes las siguientes opciones:

dominios appspot.com
  • Simplemente utiliza el prefijo de URL https para enviar solicitudes HTTPS al servicio default de tu proyecto de GCP, por ejemplo:
    https://[MY_PROJECT_ID].appspot.com
  • Para apuntar a recursos específicos de tu aplicación de App Engine, debes usar la sintaxis -dot- como separación entre cada recurso, por ejemplo:

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • Sugerencia: Para convertir una URL HTTP en HTTPS, simplemente debes reemplazar los puntos entre cada recurso por -dot-, por ejemplo:

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

Para obtener más información sobre las URL HTTPS y sobre cómo apuntar a los recursos, consulta Cómo se realiza el enrutamiento de solicitudes.

Dominios personalizados

Para enviar solicitudes HTTPS con tu dominio personalizado, puedes utilizar los certificados SSL administrados, otorgados por App Engine. Para obtener más información, consulta Cómo proteger dominios personalizados con SSL.

Administración de identidades y accesos

Puedes configurar los controles de acceso a través de las funciones de administración de identidades y accesos (IAM) en el proyecto de GCP. Asigna una función a un miembro de un proyecto de GCP o a una cuenta de servicio para determinar el nivel de acceso a tu proyecto de GCP y a sus recursos. Para más detalles, visita la página control de accesos.

Firewall de App Engine

El firewall de App Engine te permite controlar los accesos a tu aplicación a través de un conjunto de reglas que se encargan de admitir o rechazar las solicitudes de los rangos específicos de direcciones IP. No se te cobrará por el tráfico o el ancho de banda que sea bloqueado por el firewall. Crea un firewall para:

Permitir tráfico solo desde una red específica
Asegúrate de que solo un rango de direcciones IP de redes específicas puedan acceder a tu aplicación. Por ejemplo, puedes crear reglas y permitir que, durante la fase de prueba, solo pueda acceder a tu aplicación el rango de direcciones IP de la red privada de tu empresa. Durante la etapa de lanzamiento, puedes crear y modificar las reglas de tu firewall para controlar el alcance de los accesos, y permitir que solo ciertas organizaciones, internas o externas a tu empresa, accedan a tu aplicación a medida que cambia la disponibilidad pública.
Permitir tráfico solo desde un servicio específico
Asegúrate de que todo el tráfico de tu aplicación de App Engine pase primero por un proxy de servicio específico. Por ejemplo, si utilizas un firewall de aplicaciones web (WAF) de un tercero para que las solicitudes hacia tu aplicación pasen por un proxy, puedes crear reglas en el firewall y rechazar todas las solicitudes excepto las que se reenvían desde tu WAF.
Bloquea direcciones IP maliciosas
Aunque Google Cloud Platform cuenta con muchos mecanismos de prevención de ataques, puedes utilizar el firewall de App Engine para bloquear el tráfico de direcciones IP con intenciones maliciosas, y proteger tu aplicación de ataques de denegaciones de servicio o de formas de abuso similares. Puedes crear una lista negra de direcciones IP o de subredes para que las solicitudes enviadas desde estas direcciones IP se rechacen antes de que alcancen tu aplicación de App Engine.

Para obtener más información sobre cómo crear reglas y configurar tu firewall, consulta Cómo controlar los accesos a las aplicaciones mediante firewalls.

Análisis de seguridad

El análisis de seguridad de Google Cloud rastrea tu aplicación de App Engine y descubre las vulnerabilidades. Para hacerlo, esta herramienta sigue todos los vínculos dentro del alcance del comienzo de tus URL y trata de ejecutar la mayor cantidad posible de entradas de usuario y de controladores de eventos.

Para utilizar el análisis de seguridad, debes ser el propietario del proyecto de GCP. Para obtener más información sobre cómo asignar funciones, consulta Cómo otorgar accesos a proyectos.

Puedes ejecutar los análisis desde Google Cloud Platform Console para identificar las vulnerabilidades en la seguridad de tu aplicación de App Engine. Para obtener más información sobre cómo ejecutar el análisis de seguridad, consulta la Guía rápida sobre el análisis de seguridad.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

App Engine flexible environment for Go