Segurança para aplicativos

A segurança é um recurso essencial do Google Cloud Platform, mas há outras etapas necessárias para proteger seu aplicativo do Google App Engine e identificar vulnerabilidades.

Use os recursos a seguir para garantir a segurança do seu aplicativo do App Engine. Para saber mais sobre o modelo de segurança do Google e as medidas disponíveis que você pode tomar para proteger os projetos do GCP, consulte a página Segurança do Google Cloud Platform.

Solicitações HTTPS

Use solicitações HTTPS para acessar seu aplicativo do Google App Engine com segurança. Dependendo de como seu app está configurado, você tem as seguintes opções:

Domínios appspot.com
  • Basta usar o prefixo de URL https para enviar uma solicitação HTTPS ao serviço default do seu projeto do GCP, por exemplo:

    https://[MY_PROJECT_ID].appspot.com

  • Para segmentar recursos específicos no seu aplicativo do Google App Engine, use a sintaxe -dot- a fim de separar cada recurso que você quer segmentar, por exemplo:

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • Dica: para converter um URL HTTP em HTTPS, basta substituir os pontos entre cada recurso por -dot-, por exemplo:

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

Para ver mais informações sobre URLs HTTPS e recursos de segmentação, consulte Como as solicitações são roteadas.

Domínios personalizados

Para enviar solicitações HTTPS com seu domínio personalizado, use os certificados SSL gerenciados provisionados pelo App Engine. Para mais informações, consulte Como proteger domínios personalizados com SSL.

Gerenciamento de identidade e acesso

Você pode definir o controle de acesso usando papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) no nível de projeto do GCP. Atribua um papel a um membro de projeto do GCP ou a uma conta de serviço para determinar o nível de acesso ao projeto do GCP e respectivos recursos. Para mais detalhes, consulte Controle de acesso.

Firewall do App Engine

Com o firewall do App Engine, é possível controlar o acesso ao seu aplicativo do App Engine por meio de um grupo de regras que podem permitir ou negar solicitações feitas por endereços IP dentro de intervalos especificados. Você não será cobrado pela largura de banda ou pelo tráfego bloqueados pelo firewall. Crie um firewall para fazer o seguinte:

Permitir somente o tráfego de dentro de uma rede específica
Garanta que apenas endereços IP de um determinado intervalo de redes específicas possam acessar seu app. Por exemplo, crie regras para autorizar o acesso apenas dos endereços IP dentro do intervalo pertencente à rede privada da sua empresa durante a fase de testes do seu aplicativo. Em seguida, você pode criar e modificar as regras do firewall para controlar o escopo do acesso ao longo do processo de lançamento, permitindo que apenas determinadas organizações, internas ou externas à empresa, acessem seu app, até que ele esteja disponível para o público em geral.
Permitir somente o tráfego de um serviço específico
Garanta que todo o tráfego encaminhado ao seu app seja primeiramente intermediado por um serviço específico. Por exemplo, se você usar um firewall de aplicativos da Web (WAF, na sigla em inglês) de terceiros para intermediar as solicitações direcionadas ao seu app, poderá criar regras para negar todas as solicitações, exceto aquelas encaminhadas a partir do seu WAF.
Bloquear endereços IP abusivos
O Google Cloud Platform tem muitos mecanismos para evitar ataques, mas você também pode usar o firewall do App Engine para bloquear no seu app o tráfego vindo de endereços IP maliciosos ou também para proteger seu app de ataques de negação de serviço e outras formas semelhantes de abuso. Você pode criar uma lista negra de endereços IP ou sub-redes para que as solicitações encaminhadas a partir desses pontos sejam negadas antes de chegarem ao seu aplicativo do App Engine.

Para saber mais sobre como criar regras e configurar o firewall, consulte Como controlar o acesso a apps com firewalls.

Security Scanner

O Google Cloud Security Scanner é um verificador de segurança que detecta vulnerabilidades por meio do rastreamento do seu aplicativo do App Engine, seguindo todos os links dentro do escopo dos URLs iniciais e tentando exercer o máximo possível de entradas de usuários e gerenciadores de eventos.

Para usar o verificador de segurança, é preciso ser proprietário do projeto do GCP. Para mais informações sobre atribuição de papéis, consulte Como conceder acesso a projetos.

Você pode executar verificações de segurança a partir do Console do Google Cloud Platform para identificar as vulnerabilidades de segurança no seu aplicativo do App Engine. Para saber mais sobre como executar o Security Scanner, consulte o Guia de início rápido do Google Cloud Security Scanner.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentos do ambiente flexível do App Engine para Python