Ringkasan keamanan aplikasi

ID region

REGION_ID adalah kode singkat yang ditetapkan Google berdasarkan region yang Anda pilih saat membuat aplikasi. Kode ini tidak sesuai dengan negara atau provinsi, meskipun beberapa ID region mungkin tampak mirip dengan kode negara dan provinsi yang umum digunakan. Untuk aplikasi yang dibuat setelah Februari 2020, REGION_ID.r disertakan dalam URL App Engine. Untuk aplikasi lama yang dibuat sebelum tanggal tersebut, ID region bersifat opsional dalam URL.

Pelajari ID region lebih lanjut.

Keamanan adalah fitur inti Google Cloud. Namun, terdapat beberapa langkah yang harus Anda lakukan untuk melindungi aplikasi App Engine dan mengidentifikasi kerentanan.

Gunakan fitur berikut untuk memastikan bahwa aplikasi App Engine Anda aman. Untuk mempelajari lebih lanjut Model Keamanan Google dan langkah-langkah tersedia yang dapat Anda ambil untuk mengamankan project Google Cloud, baca Keamanan Google Cloud Platform.

Permintaan HTTPS

Gunakan permintaan HTTPS untuk mengakses aplikasi App Engine Anda dengan aman. Tergantung pada cara aplikasi dikonfigurasi, Anda memiliki opsi berikut:

Domain appspot.com
  • Gunakan awalan URL https untuk mengirim permintaan HTTPS ke layanan default project Google Cloud Anda, misalnya:
    https://PROJECT_ID.REGION_ID.r.appspot.com
  • Untuk menargetkan resource tertentu di aplikasi App Engine Anda, gunakan sintaksis -dot- untuk memisahkan setiap resource yang ingin ditargetkan, misalnya:
    https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

  • Untuk mengonversi URL HTTP menjadi URL HTTPS, ganti titik di antara setiap resource dengan -dot-, misalnya:
    http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
    https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

Untuk informasi selengkapnya tentang URL HTTPS dan resource penargetan, baca Cara Permintaan Dirutekan.

Domain kustom

Untuk mengirim permintaan HTTPS dengan domain kustom, Anda dapat menggunakan sertifikat SSL terkelola yang disediakan oleh App Engine. Untuk informasi selengkapnya, baca Mengamankan Domain Kustom dengan SSL.

Kontrol akses

Di setiap project Google Cloud, siapkan kontrol akses untuk menentukan akun yang dapat mengakses layanan dalam project tersebut, termasuk App Engine Anda dapat menetapkan peran yang berbeda ke akun yang berbeda untuk memastikan setiap akun hanya memiliki izin yang diperlukan guna mendukung aplikasi Anda. Untuk mengetahui detailnya, baca Menyiapkan Kontrol Akses.

Firewall App Engine

Firewall App Engine memungkinkan Anda mengontrol akses ke aplikasi App Engine melalui sekumpulan aturan yang dapat mengizinkan atau menolak permintaan dari rentang alamat IP yang ditentukan. Anda tidak dikenai biaya untuk traffic atau bandwidth yang diblokir oleh firewall. Buat firewall untuk:

Hanya mengizinkan traffic dari dalam jaringan tertentu
Pastikan hanya rentang alamat IP tertentu dari jaringan tertentu yang dapat mengakses aplikasi Anda. Misalnya, buat aturan untuk hanya mengizinkan rentang alamat IP dari dalam jaringan pribadi perusahaan Anda selama fase pengujian aplikasi. Kemudian, Anda dapat membuat dan mengubah aturan firewall untuk mengontrol cakupan akses selama proses rilis, sehingga hanya organisasi tertentu yang dapat mengakses aplikasi Anda, baik di dalam maupun di luar perusahaan, saat proses rilis untuk ketersediaan publik.
Hanya mengizinkan traffic dari layanan tertentu
Pastikan semua traffic ke aplikasi App Engine Anda di-proxy terlebih dahulu melalui layanan tertentu. Misalnya, jika menggunakan Firewall Aplikasi Web (WAF) pihak ketiga untuk mem-proxy permintaan yang ditujukan ke aplikasi, Anda dapat membuat aturan firewall untuk menolak semua permintaan kecuali yang diteruskan dari WAF Anda.
Memblokir alamat IP yang melanggar
Meskipun Google Cloud menerapkan banyak mekanisme untuk mencegah serangan, Anda dapat menggunakan firewall App Engine untuk memblokir traffic ke aplikasi dari alamat IP yang menunjukkan niat jahat atau melindungi aplikasi dari serangan denial-of-service dan bentuk pelanggaran serupa. Anda dapat menambahkan alamat IP atau subnetwork ke daftar tolak, sehingga permintaan yang dirutekan dari alamat dan subnetwork tersebut ditolak sebelum mencapai aplikasi App Engine Anda.

Untuk detail tentang cara membuat aturan dan mengonfigurasi firewall, baca Mengontrol Akses Aplikasi dengan Firewall.

Kontrol masuk

Anda dapat menggunakan kontrol masuk untuk membatasi traffic masuk ke aplikasi App Engine. Secara default, aplikasi App Engine Anda menerima traffic dari semua asal jaringan. Untuk mengubah setelan default, serta mengedit dan menampilkan setelan yang tersedia, lihat Menentukan setelan masuk.

Kontrol keluar

Kontrol traffic keluar menentukan traffic yang dikirim melalui Konektor VPC Serverless. Secara default, hanya permintaan ke alamat IP pribadi yang dirutekan melalui konektor VPC Serverless. Dengan setelan kontrol Traffic keluar, Anda dapat mewajibkan semua traffic dari layanan App Engine untuk dirutekan melalui Konektor VPC yang terpasang. Untuk menentukan setelan Traffic keluar bagi aplikasi Anda, lihat Setelan keluar.

Pemindai keamanan

Web Security Scanner Google Cloud menemukan kerentanan dengan meng-crawl aplikasi App Engine Anda, mengikuti semua link tersebut dalam cakupan URL awal, dan mencoba menguji input pengguna dan pengendali peristiwa sebanyak mungkin.

Untuk menggunakan pemindai keamanan, Anda harus menjadi pemilik project Google Cloud. Untuk informasi selengkapnya tentang cara menetapkan peran, baca Menyiapkan Kontrol Akses.

Anda dapat menjalankan pemindaian keamanan dari Konsol Google Cloud untuk mengidentifikasi kerentanan keamanan di aplikasi App Engine Anda. Untuk mengetahui detail tentang cara menjalankan Security Scanner, lihat Menggunakan Web Security Scanner.

Kontrol Layanan VPC

Tidak didukung di lingkungan standar App Engine.