Panoramica sulla sicurezza delle app

La sicurezza è una funzionalità fondamentale di Google Cloud, ma devi comunque intraprendere dei passaggi per proteggere la tua app App Engine e identificare le vulnerabilità.

Utilizza le seguenti funzionalità per garantire che la tua app App Engine sia sicura. Per saperne di più sul modello di sicurezza di Google e sui passaggi disponibili per proteggere i tuoi progetti Google Cloud, consulta Sicurezza della piattaforma Google Cloud.

Richieste HTTPS

Utilizza le richieste HTTPS per accedere alla tua app App Engine in modo sicuro. A seconda di come è configurata la tua app, hai a disposizione le seguenti opzioni:

Domini appspot.com

• Utilizza il prefisso URL https per inviare una richiesta HTTPS al servizio default del tuo progetto Google Cloud, ad esempio:
  https://PROJECT_ID.REGION_ID.r.appspot.com

• Per scegliere come target risorse specifiche nella tua app App Engine, utilizza la sintassi -dot- per separare ogni risorsa che vuoi scegliere come target, ad esempio:
  https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

• Per convertire un URL HTTP in un URL HTTPS, sostituisci i punti tra ogni risorsa con -dot-, ad esempio:
  http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

Per ulteriori informazioni sugli URL HTTPS e sulle risorse di targeting, consulta la sezione Modalità di routing delle richieste.

Domini personalizzati

Per inviare richieste HTTPS con il tuo dominio personalizzato, puoi utilizzare i certificati SSL gestiti di cui viene eseguito il provisioning da App Engine. Per ulteriori informazioni, consulta la sezione Protezione dei domini personalizzati con SSL.

Controllo dell'accesso

In ogni progetto Google Cloud, configura controllo dell'accesso per determinare chi può accedere ai servizi all'interno del progetto, incluso App Engine. Puoi assegnare ruoli diversi a diversi account per assicurarti che ogni account disponga solo delle autorizzazioni necessarie per supportare la tua app. Per maggiori dettagli, consulta Configurare il controllo dell'accesso.

Firewall di App Engine

Il firewall di App Engine consente di controllare l'accesso all'app App Engine tramite un insieme di regole che possono consentire o negare le richieste provenienti da intervalli di indirizzi IP specificati. Non ti verrà addebitato il traffico o la larghezza di banda bloccati dal firewall. Crea un firewall per:

Consenti solo il traffico dall'interno di una rete specifica

Assicurati che solo un determinato intervallo di indirizzi IP di reti specifiche possa accedere alla tua app. Ad esempio, crea regole per consentire solo l'intervallo di indirizzi IP dall'interno della rete privata della tua azienda durante la fase di test dell'app. Puoi quindi creare e modificare le regole firewall per controllare l'ambito di accesso durante il processo di rilascio, consentendo solo a determinate organizzazioni, all'interno o all'esterno dell'azienda, di accedere alla tua app mentre diventa disponibile pubblica.

Consenti solo il traffico da un servizio specifico

Assicurati che tutto il traffico verso la tua app App Engine sia prima trasferito al proxy tramite un servizio specifico. Ad esempio, se utilizzi un web application firewall (WAF) di terze parti per inviare un proxy alle richieste indirizzate alla tua app, puoi creare regole firewall per rifiutare tutte le richieste tranne quelle inoltrate dal tuo WAF.

Blocca indirizzi IP illeciti

Sebbene Google Cloud disponga di molti meccanismi per prevenire gli attacchi, puoi utilizzare il firewall di App Engine per bloccare il traffico verso la tua app proveniente da indirizzi IP che presentano intenzioni dannose o che proteggono la tua app da attacchi denial of service e simili forme di abuso. Puoi aggiungere indirizzi IP o subnet a una lista bloccata in modo che le richieste instradate da tali indirizzi e subnet vengano rifiutate prima che raggiungano l'app App Engine.

Per maggiori dettagli sulla creazione di regole e sulla configurazione del firewall, consulta Controllo dell'accesso delle app con i firewall.

Controlli Ingress

Puoi utilizzare i controlli Ingress per limitare il traffico in entrata alla tua app App Engine. Per impostazione predefinita, l'app App Engine accetta il traffico da tutte le origini di rete. Per modificare le impostazioni predefinite e modificare e visualizzare le impostazioni disponibili, consulta la sezione Specificare le impostazioni di traffico in entrata.

Controlli in uscita

I controlli in uscita determinano quale traffico viene inviato tramite i connettori VPC serverless. Per impostazione predefinita, solo le richieste agli indirizzi IP privati vengono instradate tramite un connettore VPC serverless. Con le impostazioni di controllo del traffico in uscita, puoi richiedere che tutto il traffico proveniente dai servizi App Engine venga instradato attraverso il connettore VPC collegato. Per specificare le impostazioni del traffico in uscita per la tua app, consulta Impostazioni del traffico in uscita.

Security Scanner

Il Web Security Scanner di Google Cloud rileva le vulnerabilità eseguendo la scansione dell'app App Engine, seguendo tutti i link nell'ambito degli URL di avvio e provando a utilizzare il maggior numero possibile di input utente e gestori di eventi.

Per utilizzare lo scanner di sicurezza, devi essere un proprietario del progetto Google Cloud. Per ulteriori informazioni sull'assegnazione dei ruoli, consulta la pagina relativa alla configurazione del controllo dell'accesso.

Puoi eseguire scansioni di sicurezza dalla console Google Cloud per identificare le vulnerabilità di sicurezza nell'app App Engine. Per maggiori dettagli sull'esecuzione di Security Scanner, consulta l'articolo sull'utilizzo di Web Security Scanner.

Controlli di servizio VPC

Non supportato nell'ambiente standard di App Engine.