Comprensione del firewall di App Engine

Un firewall determina quale traffico di rete può essere trasmesso e quale viene rifiutato. I firewall possono essere applicati al traffico in entrata (ingress), al traffico in uscita (egress) o a entrambi. Per App Engine, viene usato solo il firewall si applica al traffico in entrata indirizzato alla tua app o al tuo servizio.

Panoramica

Il firewall di App Engine viene controllato per tutti i tipi di richieste alla tua app, tra cui:

  • Traffico web regolare indirizzato all'indirizzo appspot.com o al dominio personalizzato dell'app.
  • Richieste provenienti da Cloud Load Balancing.
  • Traffico da origini interne come le macchine virtuali (VM) Compute Engine e Cloud Tasks.

Se la tua app è configurata per usare altri servizi di rete o prodotti, potresti dover creare delle regole per controllare il traffico in entrata sia il firewall di App Engine sia le impostazioni firewall o di sicurezza prodotti di big data e machine learning. Questa guida illustra il comportamento generale del firewall di App Engine e i dettagli di questi casi d'uso speciali.

Regole firewall di App Engine

Puoi configurare le regole del firewall di App Engine utilizzando la console Google Cloud, Google Cloud CLI o l'API Admin specificando regole che consentono o bloccano intervalli IP specifici.

Per impostazione predefinita, a qualsiasi richiesta che non corrisponde a una regola è consentito l'accesso alla tua app. Se devi bloccare tutte le richieste che non corrispondono a una regola specifica (escluse le richieste provenienti da servizi interni consentiti per impostazione predefinita), imposta l'azione della regola default su deny.

Funzionalità firewall

Nell'ambiente standard di App Engine, il firewall di App Engine può consentire a determinate tipologie di traffico interno di bypassare il firewall. Ciò significa che se imposti la regola default su deny, le richieste di determinati servizi destinate all'ambiente standard di App Engine non vengono bloccate. Si tratta di tutti i tipi di traffico richiesti nella configurazione dell'app o inviati dalla stessa app. Le richieste che aggirano le regole del firewall in questo modo includono:

  • Richieste di warmup
  • Job Cloud Scheduler che utilizzano HTTP di App Engine (inclusi cron di App Engine

    Per le app che utilizzano l'ambiente standard di App Engine e i servizi in bundle con il primo di runtime, le notifiche l'API Mail legacy può anche bypassare il firewall.

    Consentire le richieste in arrivo dai tuoi servizi

    La tabella seguente elenca gli intervalli IP e il comportamento del firewall di App Engine per e i servizi più comuni. L'intervallo IP che utilizzi dipende dal fatto che le richieste in entrata vengono inviati a una versione eseguita nell'ambiente standard App Engine oppure un ambiente flessibile.

    Servizio Intervallo IP per le richieste inviate all'ambiente standard di App Engine Intervallo IP per le richieste inviate all'ambiente flessibile di App Engine
    Cloud Storage o Blobstore 0.1.0.30/32 Non applicabile
    Job Cloud Scheduler che utilizzano attività HTTP e App Engine in Cloud Tasks (incluse le code di attività App Engine) 0.1.0.2/32, ignora la regola firewall predefinita se impostata su negazione 0.1.0.2/32
    Cron di App Engine 0.1.0.1/32 o 0.1.0.2/32, aggira la regola firewall predefinita se impostata su Rifiuta 0.1.0.1/32 o 0.1.0.2/32
    Recupero URL 0.1.0.40/32 0.1.0.40/32
    Istanze di Compute Engine con l'accesso privato Google abilitato 0.0.0.0/32 0.0.0.0/32

    A seconda del caso d'uso, queste istruzioni aggiuntive potrebbero essere applicabili quando configurazione delle regole firewall di App Engine:

    • Le richieste dei cron job di App Engine appena creati o aggiornati inviati all'ambiente standard o flessibile di App Engine provengono da 0.1.0.2. Per i cron job creati con versioni precedenti di gcloud (precedenti alla 326.0.0), le richieste di Cron provengono da 0.1.0.1. Per scoprire di più su come identificare le richieste dal servizio App Engine Cron, consulta Convalida delle richieste cron.
    • Se la tua app interagisce con Cloud Load Balancing o è connessa a una rete VPC, consulta la sezione Interazione con altri prodotti o servizi di seguito.

    Esempio standard di App Engine

    L'app in esecuzione nell'ambiente standard ha due servizi: frontend_service e backend_service. frontend_service utilizza Cloud Tasks con HTTP App Engine per inviare messaggi a backend_service. Poiché la regola firewall default consente le richieste di Cloud Tasks anche se configurata su deny, non è necessario creare una regola firewall per Cloud Tasks.

    Tuttavia, se vuoi limitare l'accesso alla tua app e bloccare esplicitamente le richieste di Cloud Tasks, devi creare una regola firewall deny per l'intervallo IP 0.1.0.2/32.

    Esempio di utilizzo dell'ambiente flessibile di App Engine

    L'app in esecuzione nell'ambiente flessibile ha due servizi: frontend_service e backend_service e ha un firewall configurato per rifiutare per impostazione predefinita. frontend_service utilizza Cloud Tasks con HTTP App Engine per inviare messaggi a backend_service. Dal default una regola firewall nega le richieste Cloud Tasks, devi creare Regola firewall allow per 0.1.0.2/32.

    Interazione con altri prodotti o servizi

    Cloud Load Balancing

    Se utilizzi Cloud Load Balancing e NEG serverless, tieni presente quanto segue:

    • Il bilanciatore del carico non interferisce né interagisce con le regole firewall di App Engine. Le regole firewall di App Engine non vengono valutate finché un NEG serverless non indirizza il traffico ad App Engine.

    • Ti consigliamo di utilizzare i controlli in entrata in modo che la tua app riceva solo le richieste inviate dal bilanciatore del carico. (e il VPC, se lo usi). In caso contrario, gli utenti possono utilizzare l'URL App Engine della tua app per bypassare il bilanciatore del carico, i criteri di sicurezza di Google Cloud Armor, i certificati SSL e le chiavi private trasmessi tramite il bilanciatore del carico.

    • Se i controlli in entrata sono impostati per ricevere traffico internal-and-cloud-load-balancing, lascia invariata la regola firewall predefinita di App Engine (allow) e utilizza le regole WAF (Web Application Firewall) di Google Cloud Armor.

    Impedire l'accesso ai contenuti memorizzati nella cache

    Il firewall di App Engine è protetto da meccanismi che memorizzano nella cache i contenuti, ad esempio proxy web e browser. Quando i contenuti vengono memorizzati nella cache, vengono pubblicati pubblicamente dall'URL specifico fino alla scadenza e possono essere accessibili anche dopo la creazione di nuove regole firewall.

    Per informazioni sulla modifica della scadenza predefinita per i contenuti statici o impedire la memorizzazione nella cache di contenuti statici, consulta Scadenza della cache.

    Per impedire che l'output di contenuti dinamici del codice della tua app venga memorizzato nella cache, usa le intestazioni delle risposte HTTP Cache-Control e Expires. Per ulteriori informazioni a queste intestazioni HTTP, incluso come controllare la memorizzazione nella cache, vedi Evitare la memorizzazione nella cache.

    Passaggi successivi

    Segui le istruzioni riportate in Creazione di firewall per scoprire come configurare le regole firewall di App Engine.