Seguridad para aplicaciones

La seguridad es una característica central de Google Cloud Platform, pero existen algunas medidas que deberías tomar para proteger tu aplicación de App Engine y poder identificar las vulnerabilidades.

Asegúrate de que tu aplicación de App Engine sea segura a través de las siguientes características. Si quieres obtener más información sobre el modelo de seguridad de Google y los pasos que puedes seguir para proteger tus proyectos de GCP, consulta esta página sobre la seguridad de Google Cloud Platform.

Solicitudes HTTPS

Utiliza solicitudes HTTPS para acceder a tu aplicación de App Engine de manera segura. Según la configuración de tu aplicación, tienes las siguientes opciones:

Dominios appspot.com
  • Simplemente, utiliza el prefijo de URL https para enviar solicitudes HTTPS al servicio default de tu proyecto de GCP, por ejemplo:
    https://[MY_PROJECT_ID].appspot.com
  • Para orientar recursos específicos de tu aplicación de App Engine, debes usar la sintaxis -dot- a fin de separar cada recurso que quieras orientar, por ejemplo:

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • Sugerencia: Para convertir una URL HTTP en HTTPS, solo debes reemplazar los puntos entre cada recurso por -dot-, por ejemplo:

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

Para obtener más información sobre las URL HTTPS y sobre cómo orientar recursos, consulta Cómo enrutar solicitudes.

Dominios personalizados

Para enviar solicitudes HTTPS con tu dominio personalizado, puedes utilizar los certificados SSL administrados que aprovisiona App Engine. Para obtener más información, consulta Protege dominios personalizados con SSL.

Administración de identidades y accesos

Puedes configurar el control de acceso con las funciones de administración de identidades y accesos (IAM) en el nivel de proyecto de GCP. Asigna una función a un miembro de un proyecto de GCP o a una cuenta de servicio para determinar el nivel de acceso a tu proyecto de GCP y a sus recursos. Para más detalles, visita la página control de accesos.

Firewall de App Engine

El firewall de App Engine te permite controlar el acceso a la aplicación de App Engine mediante un conjunto de reglas que pueden admitir o rechazar solicitudes de rangos de direcciones IP específicos. No se te cobrará por el tráfico o el ancho de banda que sea bloqueado por el firewall. Crea un firewall con estos objetivos:

Permitir tráfico solo desde una red específica
Asegúrate de que solo un rango de direcciones IP de redes específicas pueda acceder a tu aplicación. Por ejemplo, crea reglas para permitir solo el rango de direcciones IP de la red privada de tu empresa durante la fase de prueba de la aplicación. Durante la etapa de lanzamiento, puedes crear y modificar las reglas de tu firewall para controlar el alcance de los accesos, además de permitir que solo ciertas organizaciones, internas o externas a tu empresa, accedan a tu aplicación a medida que cambia la disponibilidad pública.
Permitir tráfico solo desde un servicio específico
Asegúrate de que todo el tráfico de tu aplicación de App Engine pase primero por un proxy de servicio específico. Por ejemplo, si utilizas un firewall de aplicación web (WAF) de terceros para que las solicitudes que se dirigen a tu aplicación pasen por un proxy, puedes crear reglas de firewall y rechazar todas las solicitudes, excepto las que se reenvían desde tu WAF.
Bloquea direcciones IP maliciosas
Aunque Google Cloud Platform cuenta con muchos mecanismos de prevención de ataques, puedes utilizar el firewall de App Engine para bloquear el tráfico a tu aplicación de direcciones IP con intenciones maliciosas o proteger tu aplicación de ataques de denegación del servicio o de formas de abuso similares. Puedes crear una lista negra de direcciones IP o de subredes para que las solicitudes enviadas desde estas direcciones y subredes se rechacen antes de que alcancen tu aplicación de App Engine.

Para obtener más información sobre cómo crear reglas y configurar tu firewall, consulta Control del acceso con firewalls.

Análisis de seguridad

Google Cloud Security Scanner rastrea tu aplicación de App Engine a fin de descubrir vulnerabilidades. Para ello, sigue todos los vínculos dentro del alcance de las URL de inicio y trata de ejecutar la mayor cantidad posible de entradas de usuario y de controladores de eventos.

Para utilizar el análisis de seguridad, debes ser el propietario del proyecto de GCP. Para obtener más información sobre cómo asignar funciones, consulta Otorga acceso a proyectos.

Puedes ejecutar los análisis desde Google Cloud Platform Console para identificar las vulnerabilidades en la seguridad de tu aplicación de App Engine. A fin de obtener más información sobre cómo ejecutar el análisis de seguridad, consulta la Guía de inicio rápido de Cloud Security Scanner.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Entorno estándar de App Engine para Go