Información general sobre la seguridad de las aplicaciones

La seguridad es una función principal de Google Cloud, pero aún así debes tomar medidas para proteger tu aplicación de App Engine e identificar vulnerabilidades.

Usa las siguientes funciones para asegurarte de que tu aplicación de App Engine sea segura. Para obtener más información sobre el modelo de seguridad de Google y los pasos que puedes seguir para proteger tus Google Cloud proyectos, consulta Seguridad de Google Cloud Platform.

Solicitudes HTTPS

Usa solicitudes HTTPS para acceder de forma segura a tu aplicación de App Engine. En función de cómo esté configurada tu aplicación, tienes las siguientes opciones:

Dominios de appspot.com

• Usa el prefijo de URL https para enviar solicitudes HTTPS al servicio default de tu proyecto. Por ejemplo:
  https://PROJECT_ID.REGION_ID.r.appspot.com Google Cloud

• Para orientar los anuncios a recursos específicos de tu aplicación de App Engine, usa la sintaxis -dot- para separar cada recurso al que quieras orientar los anuncios. Por ejemplo:
  https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

• Para convertir una URL de HTTP en una URL de HTTPS, sustituye los puntos entre cada recurso por -dot-. Por ejemplo:
  http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

Para obtener más información sobre las URLs HTTPS y los recursos de segmentación, consulta Cómo se enrutan las solicitudes.

Dominios personalizados

Para enviar solicitudes HTTPS con tu dominio personalizado, puedes usar los certificados SSL gestionados que proporciona App Engine. Para obtener más información, consulta el artículo Proteger dominios personalizados con SSL.

Control de acceso

En cada Google Cloud proyecto, configura el control de acceso para determinar quién puede acceder a los servicios del proyecto, incluido App Engine. Puedes asignar diferentes roles a diferentes cuentas para asegurarte de que cada cuenta solo tenga los permisos que necesita para admitir tu aplicación. Para obtener más información, consulta Configurar el control de acceso.

Cortafuegos de App Engine

El cortafuegos de App Engine te permite controlar el acceso a tu aplicación de App Engine mediante un conjunto de reglas que pueden permitir o denegar solicitudes de los intervalos de direcciones IP especificados. No se te cobra por el tráfico ni el ancho de banda que bloquea el cortafuegos. Crea un cortafuegos para:

Permitir solo el tráfico de una red específica

Asegúrate de que solo pueda acceder a tu aplicación un intervalo de direcciones IP de redes específicas. Por ejemplo, crea reglas para permitir solo el intervalo de direcciones IP de la red privada de tu empresa durante la fase de pruebas de la aplicación. Después, puedes crear y modificar tus reglas de firewall para controlar el ámbito del acceso durante todo el proceso de lanzamiento, de forma que solo determinadas organizaciones, ya sean de tu empresa o externas, puedan acceder a tu aplicación a medida que se acerca la fecha de lanzamiento público.

Permitir solo el tráfico de un servicio específico

Asegúrate de que todo el tráfico de tu aplicación de App Engine se envíe primero a través de un servicio específico. Por ejemplo, si utilizas un cortafuegos de aplicaciones web (WAF) de terceros para proxy las solicitudes dirigidas a tu aplicación, puedes crear reglas de cortafuegos para denegar todas las solicitudes, excepto las que se reenvían desde tu WAF.

Bloquear direcciones IP abusivas

Aunque Google Cloud tiene muchos mecanismos para evitar ataques, puedes usar el cortafuegos de App Engine para bloquear el tráfico a tu aplicación desde direcciones IP que presenten intenciones maliciosas o proteger tu aplicación frente a ataques de denegación de servicio y otras formas de abuso similares. Puedes añadir direcciones IP o subredes a una lista de denegación para que se rechacen las solicitudes procedentes de esas direcciones y subredes antes de que lleguen a tu aplicación de App Engine.

Para obtener más información sobre cómo crear reglas y configurar tu cortafuegos, consulta el artículo Controlar el acceso a aplicaciones con cortafuegos.

Controles de entrada

Puedes usar los controles de entrada para restringir el tráfico entrante a tu aplicación de App Engine. De forma predeterminada, tu aplicación de App Engine acepta tráfico de todos los orígenes de red. Para modificar los ajustes predeterminados, así como editar y ver los ajustes disponibles, consulta Especificar ajustes de entrada.

Controles de salida

Los controles de salida determinan qué tráfico se envía a través de los conectores de VPC sin servidor. De forma predeterminada, solo las solicitudes a direcciones IP privadas se enrutan a través de un conector VPC sin servidor. Con los ajustes de control de salida, puedes requerir que todo el tráfico de tus servicios de App Engine se dirija a través del conector VPC adjunto. Para especificar los ajustes de salida de tu aplicación, consulta Configuración de salida.

Security Scanner

Google Cloud Web Security Scanner descubre vulnerabilidades rastreando tu aplicación de App Engine, siguiendo todos los enlaces dentro del alcance de tus URLs de inicio e intentando ejecutar la máxima cantidad posible de acciones de usuario y de controladores de eventos.

Para usar el análisis de seguridad, debes ser propietario delGoogle Cloud proyecto. Para obtener más información sobre cómo asignar roles, consulta el artículo sobre cómo configurar el control de acceso.

Puedes ejecutar análisis de seguridad desde la Google Cloud consola para identificar vulnerabilidades de seguridad en tu aplicación de App Engine. Para obtener más información sobre cómo ejecutar Security Scanner, consulta el artículo Usar Web Security Scanner.

Controles de Servicio de VPC

No se admite en el entorno estándar de App Engine.