Descripción general de la seguridad de las apps

La seguridad es una característica central de Google Cloud, pero debes seguir algunos pasos para proteger la app de App Engine y, luego, identificar las vulnerabilidades.

Asegúrate de que tu app de App Engine sea segura a través de las siguientes características. Si deseas obtener más información sobre el modelo de seguridad de Google y los pasos disponibles que puedes seguir para proteger los proyectos de Google Cloud, consulta Seguridad de Google Cloud Platform.

Solicitudes HTTPS

Usa solicitudes HTTPS para acceder a tu aplicación de App Engine de manera segura. Según la configuración de tu app, tienes las siguientes opciones:

Dominios appspot.com

• Usa el prefijo de URL https para enviar una solicitud HTTPS al servicio default del proyecto de Google Cloud, por ejemplo:
  https://PROJECT_ID.REGION_ID.r.appspot.com

• Para orientar recursos específicos de tu aplicación de App Engine, usa la sintaxis -dot- para separar cada recurso que quieras orientar, por ejemplo:
  https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

• Para convertir una URL HTTP en una URL HTTPS, reemplaza los puntos entre cada recurso por -dot-, por ejemplo:
  http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

Para obtener más información sobre las URL HTTPS y sobre cómo orientar recursos, consulta Cómo enrutar solicitudes.

Dominios personalizados

Para enviar solicitudes HTTPS con tu dominio personalizado, puedes usar los certificados SSL administrados que aprovisiona App Engine. Para obtener más información, consulta Protege dominios personalizados con SSL.

Control de acceso

En cada proyecto de Google Cloud, configura el control de acceso para determinar quién puede acceder a los servicios dentro del proyecto, incluido App Engine. Puedes asignar diferentes funciones a diferentes cuentas para asegurarte de que cada cuenta tenga solo los permisos necesarios para admitir la app. Si deseas obtener más información, consulta Configura el control de acceso.

Firewall de App Engine

El firewall de App Engine te permite controlar los accesos a tu aplicación a través de un conjunto de reglas que se encargan de admitir o rechazar las solicitudes de los rangos específicos de direcciones IP. No se te cobrará por el tráfico o el ancho de banda que sea bloqueado por el firewall. Crea un firewall para:

Permitir tráfico solo desde una red específica

Asegúrate de que solo un rango de direcciones IP de redes específicas pueda acceder a tu aplicación. Por ejemplo, crea reglas para permitir solo el rango de direcciones IP de la red privada de tu empresa durante la fase de prueba de la aplicación. Durante la etapa de lanzamiento, puedes crear y modificar las reglas de tu firewall para controlar el alcance de los accesos, además de permitir que solo ciertas organizaciones, internas o externas a tu empresa, accedan a tu aplicación a medida que cambia la disponibilidad pública.

Permitir tráfico solo desde un servicio específico

Asegúrate de que todo el tráfico de tu aplicación de App Engine pase primero por un proxy de servicio específico. Por ejemplo, si utilizas un firewall de aplicación web (WAF) de terceros para que las solicitudes que se dirigen a tu aplicación pasen por un proxy, puedes crear reglas de firewall y rechazar todas las solicitudes, excepto las que se reenvían desde tu WAF.

Bloquear direcciones IP maliciosas

Si bien Google Cloud tiene muchos mecanismos para evitar ataques, puedes usar el firewall de App Engine para bloquear el tráfico hacia la app desde direcciones IP que presenten intenciones maliciosas o proteger la app contra ataques de denegación del servicio y formas similares de abuso. Puedes agregar direcciones IP o subredes a una lista de bloqueo para que las solicitudes enrutadas desde esas direcciones y subredes se rechacen antes de que alcancen la app de App Engine.

Para obtener más información sobre cómo crear reglas y configurar tu firewall, consulta Controla el acceso a las apps a través de firewalls.

Controles de entrada

Puedes usar los controles de Ingress para restringir el tráfico entrante a tu app de App Engine. De forma predeterminada, tu app de App Engine acepta tráfico de todos los orígenes de red. Para modificar la configuración predeterminada, y editar y ver la configuración disponible, consulta Especifica la configuración de entrada.

Controles de salida

Los controles de salida determinan qué tráfico se envía a través de los conectores de VPC sin servidores. De forma predeterminada, solo las solicitudes a las direcciones IP privadas se enrutan a través de un conector de VPC sin servidores. Con la configuración del control de salida, puedes requerir que todo el tráfico de tus servicios de App Engine se enrute a través del conector de VPC conectado. Para especificar la configuración de salida para tu app, consulta Configuración de salida.

Análisis de seguridad

Web Security Scanner de Google Cloud rastrea las vulnerabilidades a través del rastreo de tu aplicación de App Engine, siguiendo todos los vínculos dentro del alcance de las URL de inicio y trata de ejecutar la mayor cantidad de entradas de usuarios y controladores de eventos.

Para usar el análisis de seguridad, debes ser propietario del proyecto de Google Cloud. Para obtener más información sobre cómo asignar funciones, consulta Configura el control de acceso.

Puedes ejecutar análisis de seguridad desde la consola de Google Cloud para identificar vulnerabilidades de seguridad en la app de App Engine. Para obtener detalles sobre cómo ejecutar Security Scanner, consulta Usa Web Security Scanner.

Controles del servicio de VPC

No es compatible con el entorno estándar de App Engine.