應用程式安全防護

安全防護是 Google Cloud Platform 的核心功能,但您仍然必須採取一些步驟才能保護您的 App Engine 應用程式並找出安全漏洞。

請使用下列功能,確保您的 App Engine 應用程式安全無虞。如要進一步瞭解 Google 安全性模型,以及您可以採取哪些步驟來確保 GCP 專案的安全,請參閱 Google Cloud Platform 安全性

HTTPS 要求

您可以透過 HTTPS 要求安全地存取您的 App Engine 應用程式。視應用程式的設定方式而定,您可以使用下列幾種選項:

appspot.com 網域
  • 直接使用 https 網址前置字串將 HTTPS 要求傳送至 GCP 專案的 default 服務,例如:

    https://[MY_PROJECT_ID].appspot.com

  • 如要指定 App Engine 應用程式中的特定資源,可以使用 -dot- 語法來分隔各個目標資源,例如:

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • 提示:只要將各項資源之間的句點改成 -dot-,就能把 HTTP 網址轉換成 HTTPS 網址,例如:

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

如要進一步瞭解 HTTPS 網址和指定資源的方式,請參閱要求的轉送方式

自訂網域

如要透過自訂網域傳送 HTTPS 要求,您可以使用 App Engine 佈建的代管安全資料傳輸層 (SSL) 憑證。詳情請參閱使用安全資料傳輸層 (SSL) 保護自訂網域

身分與存取權管理

您可以在 GCP 專案層級使用身分與存取權管理 (IAM) 角色來設定存取權控管。將角色指派給 GCP 專案成員或服務帳戶,以決定 GCP 專案及其資源的存取權層級。詳情請參閱存取權控管

App Engine 防火牆

App Engine 防火牆可讓您透過一組規則來允許或拒絕來自指定 IP 位址範圍的要求,藉此控管 App Engine 應用程式的存取權。您不需為防火牆封鎖的流量或頻寬支付費用。建立防火牆後,您可以進行以下設定:

只允許來自特定網路內的流量
確保只有特定網路中某個範圍的 IP 位址可存取您的應用程式。舉例來說,您可以在應用程式的測試階段建立規則,只允許來自您公司私人網路的 IP 位址範圍。接著,您可以在應用程式發佈流程的各個階段中建立及修改防火牆規則,以只允許特定機構 (您的公司或外部機構) 存取您的應用程式,藉此控管存取權範圍,直到應用程式公開發佈為止。
只允許來自特定服務的流量
確保所有流量都先透過特定服務經由 Proxy 傳入您的 App Engine 應用程式。舉例來說,如果您使用第三方網路應用程式防火牆 (WAF) 對導向您應用程式的要求進行 Proxy 處理,則可以建立防火牆規則,除了由 WAF 轉送的要求以外,所有其他要求一律拒絕。
封鎖違規 IP 位址
雖然 Google Cloud Platform 提供許多攻擊防範機制,但您仍可以使用 App Engine 防火牆,封鎖從帶有不良意圖的 IP 位址連向您應用程式的流量,或避免讓應用程式受到阻斷服務攻擊和濫用行為的侵擾。您可以將 IP 位址或子網路加入黑名單,這樣系統就會拒絕轉送來自這些位址和子網路的要求,將要求擋在 App Engine 應用程式之外。

如要進一步瞭解如何建立規則和設定防火牆,請參閱透過防火牆控管應用程式存取權

Security scanner

Google Cloud Security Scanner 會檢索您的 App Engine 應用程式、追蹤起始網址範圍的所有連結,並儘可能執行使用者輸入內容和事件處理常式,藉此找出安全漏洞。

您必須是 GCP 專案的擁有者,才能使用 Security Scanner。如要進一步瞭解如何指派角色,請參閱授予專案存取權

您可以透過 Google Cloud Platform 主控台執行安全性掃描,找出 App Engine 應用程式中的安全漏洞。如要進一步瞭解如何執行 Security Scanner,請參閱 Security Scanner 快速入門

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Ruby 適用的 App Engine 彈性環境文件