應用程式安全防護

安全防護是 Google Cloud Platform 的核心功能,但您仍須採取一些步驟來保護您的 App Engine 應用程式並找出安全漏洞。

請使用下列功能,確保您的 App Engine 應用程式安全無虞。如要進一步瞭解 Google 安全性模型,以及可以採取哪些步驟來確保 GCP 專案的安全,請參閱 Google Cloud Platform 安全性

HTTPS 要求

您可以透過 HTTPS 要求,以安全的方式存取 App Engine 應用程式。視應用程式的設定方式而定,您可以使用下列幾種選項:

appspot.com 網域
  • 直接使用 https 網址前置字串,將 HTTPS 要求傳送到 GCP 專案的 default 服務,例如:
    https://[MY_PROJECT_ID].appspot.com
  • 如要指定 App Engine 應用程式中的特定資源,請使用 -dot- 語法來區隔各個目標資源,例如:

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • 提示:只要將各項資源之間的英文句點改成 -dot-,就能把 HTTP 網址轉換成 HTTPS 網址,例如:

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

如要進一步瞭解 HTTPS 網址和指定資源的相關資訊,請參閱要求的轉送方式一文。

自訂網域

如要透過自訂網域傳送 HTTPS 要求,您可以使用 App Engine 佈建的代管安全資料傳輸層 (SSL) 憑證。詳情請參閱使用安全資料傳輸層 (SSL) 保護自訂網域一文。

身分與存取權管理

您可以在 GCP 專案層級使用身分與存取權管理 (IAM) 角色來設定存取權控管。將角色指派給 GCP 專案成員或服務帳戶,即可決定 GCP 專案與其資源的存取權層級。詳情請參閱存取權控管一文。

App Engine 防火牆

App Engine 防火牆可讓您透過一組規則來允許或拒絕來自指定 IP 位址範圍的要求,藉此控管 App Engine 應用程式的存取權。您不需為防火牆封鎖的流量或頻寬支付費用。您可以透過建立防火牆的方式來進行以下作業:

只允許來自特定網路的流量
確保只有來自特定網路的某個 IP 位址範圍可存取您的應用程式。舉例來說,您可以在應用程式的測試階段建立規則,只允許來自您公司私人網路的 IP 位址範圍。接著,您可以在應用程式發布流程的各個階段建立及修改防火牆規則,只允許特定機構 (您的公司或外部機構) 存取您的應用程式,藉此控管存取權範圍,直到應用程式公開發布為止。
只允許來自特定服務的流量
確保所有連入 App Engine 應用程式的流量都已先透過特定服務進行 Proxy 處理。舉例來說,如果您使用第三方網路應用程式防火牆 (WAF) 對導向您應用程式的要求進行 Proxy 處理,您可以建立如下的防火牆規則:除了由 WAF 轉送的要求以外,所有其他要求一律拒絕。
封鎖違規 IP 位址
雖然 Google Cloud Platform 提供了許多攻擊防範機制,但您仍可以使用 App Engine 防火牆,封鎖從帶有不良意圖的 IP 位址連向應用程式的流量,或防止應用程式受到阻斷服務攻擊和類似形式的濫用。您可以將 IP 位址或子網路加入黑名單,這樣系統就會拒絕轉送來自這些位址和子網路的要求,將要求擋在 App Engine 應用程式之外。

如要進一步瞭解如何建立規則和設定防火牆,請參閱透過防火牆控管應用程式存取權一文。

Security Scanner

Google Cloud Security Scanner 會檢索您的 App Engine 應用程式、追蹤起始網址涵蓋的所有連結,並盡可能執行大量的使用者輸入內容和事件處理常式,藉此找出安全漏洞。

如要使用 Security Scanner,您必須是 GCP 專案的擁有者。如要進一步瞭解如何指派角色,請參閱授予專案存取權一文。

您可以透過 Google Cloud Platform 主控台執行安全性掃描,來找出 App Engine 應用程式中的安全漏洞。要進一步瞭解如何執行 Security Scanner,請參閱 Security Scanner 快速入門導覽課程

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Java 適用的 App Engine 標準環境