アプリのセキュリティの概要

セキュリティは Google Cloud の中核機能ですが、App Engine アプリの保護や脆弱性の特定には、他にも行うべきことがいくつかあります。

以下の機能を使用して、App Engine アプリのセキュリティを確保します。Google セキュリティ モデルと Cloud プロジェクトを保護する方法については、Google Cloud Platform のセキュリティをご覧ください。

HTTPS リクエスト

App Engine アプリに安全にアクセスするには HTTPS リクエストを使用します。アプリの構成に応じて、次のオプションがあります。

appspot.com のドメイン

• Cloud プロジェクトの default サービスに HTTPS リクエストを送信するには、https の URL 接頭辞を使用します。次に例を示します。
  https://PROJECT_ID.REGION_ID.r.appspot.com

• App Engine アプリで特定のリソースを対象とするには、-dot- 構文を使用して対象とする各リソースを区切ります。次に例を示します。
  https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

• HTTP URL を HTTPS URL に変換するには、各リソース間のピリオドを -dot- に置き換えます。次に例を示します。
  http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

HTTPS URL と対象とするリソースの詳細については、リクエストのルーティング方法をご覧ください。

カスタム ドメイン

カスタム ドメインで HTTPS リクエストを送信する場合は、App Engine によってプロビジョニングされたマネージド SSL 証明書を使用します。詳細については、SSL によるカスタム ドメインの保護をご覧ください。

アクセス制御

各 Cloud プロジェクトで、App Engine など、プロジェクト内のサービスにアクセスできるユーザーを決定するアクセス制御を設定します。アカウントごとに異なるロールを割り当てて、各アカウントにアプリをサポートするために必要な権限のみを付与できます。詳細については、アクセス制御の設定をご覧ください。

App Engine ファイアウォール

App Engine ファイアウォールでは、指定した範囲の IP アドレスからのリクエストを許可または拒否する一連のルールを使用して、App Engine アプリへのアクセスを制御できます。ファイアウォールでブロックされたトラフィックまたは帯域幅に対しては課金されません。ファイアウォールを作成すると、次のことを行うことができます。

特定のネットワーク内のトラフィックのみを許可する

特定のネットワークの特定の IP アドレス範囲にのみアプリへのアクセスを許可します。たとえば、アプリのテスト段階で、会社のプライベート ネットワーク内の IP アドレス範囲のみを許可するルールを作成します。その後アプリのリリース プロセスが一般公開に向けて進む過程でファイアウォール ルールを随時作成、変更し、社内または外部の特定の組織にのみアプリへのアクセスを許可できます。

特定のサービスからのトラフィックのみを許可する

App Engine アプリに対するすべてのトラフィックが特定のサービス経由でプロキシ送信されるように設定します。たとえば、サードパーティのウェブ アプリケーション ファイアウォール（WAF）を使用してアプリに対するリクエストをプロキシ処理する場合、WAF から転送されてきたリクエスト以外をすべて拒否するようなファイアウォール ルールを作成できます。

不正な IP アドレスをブロックする

Google Cloud には攻撃を防ぐさまざまなメカニズムが用意されています。App Engine ファイアウォールを使用すると、悪意のある行動を示す IP アドレスからアプリに向けられたトラフィックをブロックできます。サービス拒否攻撃などの不正行為からアプリを保護することもできます。IP アドレスまたはサブネットワークを拒否リストに追加すると、それらのアドレスやサブネットワークからルーティングされたリクエストを App Engine アプリに到達する前に拒否できます。

ルールの作成とファイアウォールの構成の詳細については、ファイアウォールによるアクセスの制御をご覧ください。

上り（内向き）制御

デフォルトでは、App Engine アプリは appspot URL またはアプリ用に構成したカスタム ドメインに送信されるすべての HTTP リクエストを受信します。

ネットワークの上り（内向き）制御を使用してトラフィックを制限することで、アプリが特定の送信元からの HTTP リクエストのみを受信するようにできます。

• すべて: デフォルト。アプリはインターネットから送信された直接リクエストを含むすべてのトラフィックを受信します。

• 内部ロード バランシングと Cloud Load Balancing: アプリは Cloud Load Balancing 経由でルーティングされたリクエスト、または同じプロジェクト内の VPC ネットワークから送信されたリクエストのみを受信します（サーバーレス VPC アクセス コネクタまたは共有 VPC を使用している場合）。他のすべてのリクエストは、403 エラーで拒否されます。

• 内部専用: アプリは同じプロジェクト内の VPC ネットワークから送信されたリクエストのみを受信します。他のすべてのリクエストは、403 エラーで拒否されます。

上り（内向き）設定を表示する

gcloud app services describe SERVICE

gcloud app services describe default

上り（内向き）設定を編集する

gcloud app services update SERVICE --ingress=INGRESS

Security Scanner

Google Cloud の Web Security Scanner は、App Engine アプリをクロールし、開始 URL の範囲内にあるすべてのリンクを追跡して、できるだけ多くのユーザー入力とイベント ハンドラを実行します。

Security Scanner を使用するには、Cloud プロジェクトのオーナーである必要があります。ロールを割り当てる方法の詳細については、アクセス制御の設定をご覧ください。

Google Cloud コンソールからセキュリティ スキャンを実行することで、App Engine アプリのセキュリティの脆弱性を特定できます。Security Scanner の実行方法については、Security Scanner クイックスタートをご覧ください。