Seguridad para aplicaciones

La seguridad es una característica central de Google Cloud Platform, pero existen algunas medidas que deberías tomar para proteger tu aplicación de App Engine y poder identificar sus vulnerabilidades.

Usa las siguientes características para asegurarte de que tu aplicación de App Engine sea segura. Si deseas obtener más información sobre el modelo de seguridad de Google y los pasos que puedes seguir para proteger tus proyectos de GCP, consulta Seguridad de Google Cloud Platform.

Solicitudes HTTPS

Utiliza solicitudes HTTPS para acceder a tu aplicación de App Engine de manera segura. Según la configuración de tu aplicación, tienes las siguientes opciones:

dominios appspot.com
  • Simplemente utiliza el prefijo de URL https para enviar solicitudes HTTPS al servicio default de tu proyecto de GCP, por ejemplo:
    https://[MY_PROJECT_ID].appspot.com
  • Para orientarte a recursos específicos de tu aplicación de App Engine, debes usar la sintaxis -dot- para separar cada recurso al que deseas orientarte, por ejemplo:

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • Sugerencia: Para convertir una URL HTTP en HTTPS, simplemente debes reemplazar los puntos entre cada recurso por -dot-, por ejemplo:

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

Para obtener más información sobre las URL HTTPS y sobre cómo orientarte a los recursos, consulta cómo enrutar solicitudes.

Dominios personalizados

Para enviar solicitudes HTTPS con tu dominio personalizado, puedes utilizar los certificados SSL administrados, que son aprovisionados por App Engine. Si deseas obtener más información, consulta Proteger dominios personalizados con SSL.

Administración de identidades y accesos

Puedes configurar los controles de acceso a través de las funciones de administración de identidades y accesos (IAM) en el proyecto de GCP. Asigna una función a un miembro del proyecto de GCP o a una cuenta de servicio para determinar el nivel de acceso a tu proyecto de GCP y a sus recursos. Para obtener más detalles, consulta Control de accesos.

Firewall de App Engine

El firewall de App Engine te permite controlar el acceso a tu aplicación de App Engine a través de un conjunto de reglas que se encargan de admitir o rechazar las solicitudes de los rangos de direcciones IP especificados. No se te cobrará el tráfico o el ancho de banda que el firewall bloquee. Crea un firewall para:

Permitir tráfico solo desde una red específica
Asegúrate de que solo un rango de direcciones IP de redes específicas pueda acceder a tu aplicación. Por ejemplo, durante la fase de prueba, puedes crear reglas para permitir que solo pueda acceder a tu aplicación el rango de direcciones IP de la red privada de tu empresa. Luego, puedes crear y modificar las reglas de tu firewall para controlar el alcance del acceso durante todo el proceso de lanzamiento, y permitir que solo ciertas organizaciones, internas o externas de tu empresa, accedan a tu aplicación a medida que está disponible para el público.
Permitir tráfico solo desde un servicio específico
Asegúrate de que todo el tráfico de tu aplicación de App Engine pase primero por un proxy de servicio específico. Por ejemplo, si utilizas un firewall de aplicación web (WAF) de un tercero para autorizar las solicitudes dirigidas a tu aplicación, puedes crear reglas de firewall para rechazar todas las solicitudes, excepto las que se reenvían desde tu WAF.
Bloquear direcciones IP maliciosas
Si bien Google Cloud Platform cuenta con muchos mecanismos de prevención de ataques, puedes utilizar el firewall de App Engine para bloquear el tráfico de direcciones IP que tenga intenciones maliciosas, proteger tu aplicación de ataques de denegación del servicio y otras formas de abuso similares. Puedes crear una lista negra de direcciones IP o subredes, para que las solicitudes enrutadas desde estas se rechacen antes de que lleguen a tu aplicación de App Engine.

Para obtener más información sobre cómo crear reglas y configurar tu firewall, consulta Controlar los accesos a las aplicaciones mediante firewalls.

Análisis de seguridad

Google Cloud Security Scanner rastrea tu aplicación de App Engine a fin de detectar vulnerabilidades. Para ello, sigue todos los vínculos dentro del alcance de las URL de inicio y trata de ejecutar la mayor cantidad posible de entradas de usuario y controladores de eventos.

Para utilizar el análisis de seguridad, debes ser el propietario del proyecto de GCP. Si deseas obtener más información sobre cómo asignar funciones, consulta Otorgar acceso a proyectos.

Puedes ejecutar análisis de seguridad desde Google Cloud Platform Console para identificar las vulnerabilidades de tu aplicación de App Engine. Si deseas obtener más información sobre cómo ejecutar el análisis de seguridad, consulta la Guía de inicio rápido de Cloud Security Scanner.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Entorno estándar de App Engine para Java