アプリケーションのセキュリティ

セキュリティは Google Cloud Platform の中核機能ですが、App Engine アプリを保護し、脆弱性を特定する方法は他にもあります。

次の機能を使用して、App Engine アプリが確実に安全になるようにします。Google セキュリティ モデルと GCP プロジェクトを保護する方法については、Google Cloud Platform のセキュリティをご覧ください。

HTTPS リクエスト

HTTPS リクエストを使用して、App Engine アプリに安全にアクセスできます。アプリの構成に応じて、次のオプションを利用できます。

appspot.com ドメイン
  • https URL 接頭辞を使用して、GCP プロジェクトの default サービスに HTTPS リクエストを送信します。次に例を示します。

    https://[MY_PROJECT_ID].appspot.com

  • App Engine アプリで特定のリソースをターゲットにするには、-dot- 構文を使用してターゲットにする各リソースを区切ります。次に例を示します。

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • ヒント: 各リソース間のピリオドを -dot- で置き換えるだけで、HTTP URL が HTTPS に変換されます。次に例を示します。

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

HTTPS URL とリソースのターゲット指定については、リクエストのルーティング方法をご覧ください。

カスタム ドメイン

カスタム ドメインで HTTPS リクエストを送信する場合は、App Engine によってプロビジョニングされたマネージド SSL 証明書を使用できます。詳細については、SSL によるカスタム ドメインの保護をご覧ください。

Identity and Access Management

GCP プロジェクト レベルで Identity and Access Management(IAM)役割を使用して、アクセス制御を設定できます。GCP のプロジェクト メンバーやサービス アカウントに役割を割り当てることで、GCP プロジェクトとそのリソースへのアクセスレベルを決定します。詳細については、アクセス制御をご覧ください。

App Engine ファイアウォール

App Engine ファイアウォールにより、指定した範囲の IP アドレスからのリクエストを許可または拒否する一連のルールを使用して、App Engine アプリへのアクセスを制御できます。ファイアウォールでブロックされたトラフィックまたは帯域幅については課金されません。ファイアウォールを作成すると、次のことを行うことができます。

特定のネットワークからのトラフィックのみを許可する
特定のネットワークの特定の IP アドレス範囲にのみアプリへのアクセスを許可します。たとえば、アプリのテスト段階で、会社のプライベート ネットワーク内の IP アドレス範囲のみを許可するルールを作成します。一般公開に向けた、アプリのリリース プロセス中にファイアウォール ルールを作成および変更し、社内または外部の特定の組織にのみアプリへのアクセスが許可されるように、全体のアクセスを制御できます。
特定のサービスからのトラフィックのみを許可する
App Engine アプリに対するすべてのトラフィックが特定のサービスを経由するように設定します。たとえば、サードパーティのウェブ アプリケーション ファイアウォール(WAF)を使用してアプリに対するリクエストのプロキシ処理を行う場合、WAF からのリクエスト以外をすべて拒否するように、ファイアウォール ルールを作成します。
不正な IP アドレスをブロックする
Google Cloud Platform には攻撃を防ぐさまざまなメカニズムが用意されており、App Engine ファイアウォールを使用すると、悪意のある IP アドレスからアプリへのトラフィックをブロックできます。また、DoS 攻撃などの不正行為からアプリを防御できます。IP アドレスやサブネットワークをブラックリストに登録することで、それらのアドレスやサブネットワークからルーティングされたリクエストが App Engine アプリに到達する前に拒否されるようにすることができます。

ルールの作成とファイアウォールの構成の詳細については、ファイアウォールでアプリに対するアクセスを制御するをご覧ください。

Security Scanner

Google Cloud Security Scanner は、App Engine アプリをクロールし、開始 URL の範囲内ですべてのリンクを追跡し、できるだけ多くのユーザー入力とイベント ハンドラを実行しようとすることで、脆弱性を探し出します。

Security Scanner を使用するには、GCP プロジェクトのオーナーである必要があります。役割の割り当ての詳細については、プロジェクト アクセス権の付与をご覧ください。

Google Cloud Platform Console からセキュリティ スキャンを実行し、App Engine アプリの脆弱性を特定できます。Security Scanner の実行方法については、Security Scanner クイックスタートをご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Go の App Engine スタンダード環境