Sécurité des applications

Si la sécurité est une fonctionnalité essentielle de Google Cloud Platform, vous devez néanmoins prendre certaines mesures pour protéger votre application App Engine et détecter les failles.

Tirez parti des fonctionnalités suivantes pour assurer la sécurité de votre application App Engine. Pour en savoir plus sur le modèle de sécurité de Google et la procédure à suivre pour sécuriser vos projets GCP, consultez la page Sécurité sur Google Cloud Platform.

Requêtes HTTPS

Accédez en toute sécurité à votre application App Engine à l'aide des requêtes HTTPS. Selon la configuration de votre application, vous disposez des options suivantes :

Domaines appspot.com
  • Utilisez simplement le préfixe d'URL https pour envoyer une requête HTTPS au service default de votre projet GCP. Exemple :
    https://[MY_PROJECT_ID].appspot.com
  • Pour cibler des ressources spécifiques dans votre application App Engine, séparez chaque ressource à cibler à l'aide de la syntaxe -dot-. Exemple :

    https://[VERSION_ID]-dot-[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

  • Conseil : Vous pouvez convertir une URL HTTP en HTTPS en remplaçant simplement les points entre chaque ressource par -dot-. Exemple :

    http://[SERVICE_ID].[MY_PROJECT_ID].appspot.com
    https://[SERVICE_ID]-dot-[MY_PROJECT_ID].appspot.com

Pour en savoir plus sur les URL HTTPS et le ciblage des ressources, consultez la page Mode de routage des requêtes.

Domaines personnalisés

Pour envoyer des requêtes HTTPS avec votre domaine personnalisé, vous pouvez vous servir des certificats SSL gérés provisionnés par App Engine. Pour en savoir plus, consultez la page Sécuriser des domaines personnalisés avec SSL.

Gestion de l'authentification et des accès

Vous pouvez définir le contrôle des accès à l'aide des rôles de gestion de l'authentification et des accès (IAM) au niveau du projet GCP. Pour déterminer le niveau d'accès à votre projet GCP et à ses ressources, attribuez un rôle à un membre du projet GCP ou à un compte de service. Pour en savoir plus, consultez la page Contrôle des accès.

Pare-feu App Engine

Le pare-feu App Engine vous permet de contrôler l'accès à votre application App Engine via un ensemble de règles qui autorisent ou refusent les requêtes provenant des plages d'adresses IP spécifiées. Le trafic et la bande passante bloqués par le pare-feu ne vous sont pas facturés. Vous pouvez créer un pare-feu pour les raisons suivantes :

N'autoriser que le trafic provenant d'un réseau spécifique
Vous pouvez vous assurer que seule une plage d'adresses IP issue de réseaux spécifiques peut accéder à votre application. Par exemple, vous avez la possibilité de créer des règles n'autorisant que la plage d'adresses IP du réseau privé de votre entreprise pendant la phase de test de votre application. Vous pouvez ensuite créer et modifier les règles de pare-feu pour contrôler le champ d'accès tout au long du processus de publication. Seules certaines organisations, au sein de votre entreprise ou en externe, pourront ainsi accéder à l'application à mesure qu'elle est rendue publique.
N'autoriser que le trafic provenant d'un service spécifique
Assurez-vous que l'ensemble du trafic vers l'application App Engine est d'abord transmis par le biais d'un serveur proxy via un service spécifique. Par exemple, si vous utilisez un pare-feu d'application Web (WAF, Web Application Firewall) tiers en guise de proxy, pour les requêtes dirigées vers votre application, vous pouvez créer des règles de pare-feu pour refuser toutes les requêtes, à l'exception de celles transmises depuis votre WAF.
Bloquer les adresses IP abusives
Bien que Google Cloud Platform dispose de nombreux mécanismes pour empêcher les attaques, vous pouvez vous servir du pare-feu App Engine pour bloquer le trafic acheminé vers l'application en provenance d'adresses IP utilisées à des fins malveillantes, ou pour protéger l'application contre les attaques par déni de service et d'autres formes similaires d'abus. Vous pouvez ajouter des adresses ou des sous-réseaux IP à une liste noire, de sorte que les requêtes acheminées à partir de ces adresses et sous-réseaux soient refusées avant d'atteindre l'application App Engine.

Pour en savoir plus sur la création des règles et la configuration d'un pare-feu, consultez la page Contrôler l'accès aux applications à l'aide d'un pare-feu.

Security Scanner

Le service Google Cloud Security Scanner détecte les failles en explorant votre application App Engine, en suivant tous les liens associés à vos URL de démarrage, et en tentant de tester un maximum d'entrées utilisateur et de gestionnaires d'événements.

Pour pouvoir utiliser Security Scanner, vous devez être propriétaire du projet GCP. Pour en savoir plus sur l'attribution de rôles, consultez la page Accorder l'accès aux projets.

Vous pouvez exécuter des analyses de sécurité à partir de la console Google Cloud Platform pour détecter les failles de sécurité de votre application App Engine. Pour en savoir plus sur l'exécution de Security Scanner, consultez le guide de démarrage rapide de Security Scanner.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Environnement standard App Engine pour Python 2