Informazioni sul firewall di App Engine

Un firewall determina quale traffico di rete è consentito passare e quale traffico viene rifiutato. I firewall possono essere applicati al traffico in entrata (in entrata), in uscita (in uscita) o a entrambi. Per App Engine, il firewall di App Engine si applica solo al traffico in entrata instradato alla tua app o al tuo servizio.

Panoramica

Il firewall di App Engine viene controllato per tutti i tipi di richieste alla tua app, tra cui:

  • Traffico web normale instradato all'indirizzo appspot.com o al dominio personalizzato dell'app.
  • Richieste provenienti da Cloud Load Balancing.
  • Traffico proveniente da origini interne come macchine virtuali (VM) Compute Engine e Cloud Tasks.

Nei casi in cui l'app è configurata per utilizzare altri servizi o prodotti di networking, potrebbe essere necessario creare regole per controllare il traffico in entrata sia nel firewall di App Engine che nel firewall o nelle impostazioni di sicurezza di altri prodotti. Questa guida illustra il comportamento generale del firewall di App Engine e i dettagli su questi casi d'uso speciali.

Regole firewall di App Engine

Puoi configurare le regole firewall di App Engine utilizzando la console Google Cloud, Google Cloud CLI o l'API Admin specificando le regole che consentono o bloccano intervalli IP specifici.

Per impostazione predefinita, tutte le richieste che non corrispondono a una regola possono accedere alla tua app. Se devi bloccare tutte le richieste che non corrispondono a una regola specifica (escluse le richieste da servizi interni consentite per impostazione predefinita), cambia l'azione della regola default in deny.

Funzionalità firewall

Nell'ambiente standard di App Engine, il firewall di App Engine può consentire a determinato traffico interno di bypassare il firewall. Ciò significa che se imposti la regola default su deny, le richieste da parte di determinati servizi destinati all'ambiente standard di App Engine non verranno bloccate. Questi sono tutti i tipi di traffico richiesti nella configurazione dell'app o inviati dalla stessa app. Le richieste che ignorano le regole firewall in questo modo includono:

Per le app che utilizzano l'ambiente standard App Engine e i servizi in bundle con i runtime di prima generazione, anche le notifiche dell'API Mail legacy bypassano il firewall.

Consentire le richieste in arrivo dai tuoi servizi

La seguente tabella elenca gli intervalli IP e il comportamento del firewall di App Engine per i servizi comuni. L'intervallo IP da utilizzare dipende dal fatto che le richieste in entrata vengano consegnate a una versione eseguita nell'ambiente standard di App Engine o nell'ambiente flessibile.

Servizio Intervallo IP per le richieste inviate all'ambiente standard di App Engine Intervallo IP per le richieste inviate all'ambiente flessibile di App Engine
Cron di App Engine 0.1.0.1/32 o 0.1.0.2/32 ignora la regola firewall predefinita se impostata su deny 0.1.0.1/32 o 0.1.0.2/32
Istanze di Compute Engine che utilizzano Cloud NAT per le connessioni in uscita Indirizzi IP Cloud NAT configurati Indirizzi IP Cloud NAT configurati
Istanze Compute Engine con indirizzi IP esterni Indirizzo IP esterno dell'istanza Indirizzo IP esterno dell'istanza
Istanze Compute Engine senza indirizzo IP esterno 0.0.0.0/32 0.0.0.0/32
Job di Cloud Scheduler che utilizzano attività HTTP di App Engine e attività di App Engine in Cloud Tasks (incluse le code di attività di App Engine) 0.1.0.2/32, ignora la regola firewall predefinita se è impostata su deny 0.1.0.2/32
Cloud Storage o Blobstore 0.1.0.30/32 Non applicabile
Recupero URL 0.1.0.40/32 0.1.0.40/32
Richieste di riscaldamento 0.1.0.3/32, ignora la regola firewall predefinita se è impostata su deny Non applicabile

A seconda del tuo caso d'uso, queste istruzioni aggiuntive potrebbero applicarsi durante la configurazione delle regole firewall di App Engine:

  • Le richieste di cron job di App Engine appena create o aggiornate inviate all'ambiente standard o flessibile di App Engine provengono da 0.1.0.2. Per i cron job creati con versioni precedenti di gcloud (antecedenti alla 326.0.0), le richieste cron proverranno da 0.1.0.1. Per saperne di più su come identificare le richieste del servizio Cron di App Engine, vedi Convalida delle richieste cron.
  • Se la tua app interagisce con Cloud Load Balancing o è connessa a una rete VPC, consulta la sezione Interazione con altri prodotti o servizi di seguito.

Esempio di standard App Engine

L'app in esecuzione nell'ambiente standard include due servizi: frontend_service e backend_service. frontend_service utilizza Cloud Tasks con HTTP di App Engine per inviare messaggi a backend_service. Poiché la regola firewall default consente le richieste Cloud Tasks anche se è configurata su deny, non è necessario creare una regola firewall per Cloud Tasks.

Tuttavia, se vuoi limitare l'accesso alla tua app e bloccare esplicitamente le richieste Cloud Tasks, devi creare una regola firewall deny per l'intervallo IP 0.1.0.2/32.

Esempio di ambiente flessibile di App Engine

L'app in esecuzione nell'ambiente flessibile dispone di due servizi: frontend_service e backend_service e dispone di un firewall configurato per negare il traffico per impostazione predefinita. frontend_service utilizza Cloud Tasks con HTTP di App Engine per inviare messaggi a backend_service. Poiché la regola firewall default nega le richieste Cloud Tasks, devi creare una regola firewall allow per 0.1.0.2/32.

Interazione con altri prodotti o servizi

Cloud Load Balancing

Se utilizzi Cloud Load Balancing e NEG serverless, tieni presente quanto segue:

  • Il bilanciatore del carico non interferisce né interagisce con le regole firewall di App Engine. Le regole firewall di App Engine non vengono valutate finché un NEG serverless non indirizza il traffico ad App Engine.
  • Ti consigliamo di utilizzare i controlli in entrata in modo che la tua app riceva solo le richieste inviate dal bilanciatore del carico (e dal VPC, se lo utilizzi). In caso contrario, gli utenti possono utilizzare l'URL di App Engine della tua app per ignorare il bilanciatore del carico, i criteri di sicurezza di Google Cloud Armor, i certificati SSL e le chiavi private trasmesse attraverso il bilanciatore del carico.

  • Se i controlli in entrata sono impostati per ricevere traffico internal-and-cloud-load-balancing, lascia invariata la regola firewall predefinita di App Engine (allow) e utilizza le regole WAF (web application firewall) di Google Cloud Armor.

Impedire l'accesso ai contenuti memorizzati nella cache

Il firewall di App Engine è dietro a meccanismi che memorizzano nella cache i contenuti, ad esempio proxy web e browser. Quando i contenuti vengono memorizzati nella cache, vengono pubblicati pubblicamente dall'URL specifico fino alla scadenza e sono accessibili anche dopo la creazione di nuove regole firewall.

Per informazioni su come modificare la data di scadenza predefinita dei contenuti statici o su come impedire che questi vengano memorizzati nella cache, consulta Scadenza della cache.

Per impedire che l'output dei contenuti dinamici dal codice della tua app venga memorizzato nella cache, utilizza le intestazioni della risposta HTTP Cache-Control e Expires. Per ulteriori informazioni su queste intestazioni HTTP, incluso come controllare la memorizzazione nella cache, consulta Evitare la memorizzazione nella cache.

Passaggi successivi

Segui le istruzioni in Creazione di firewall per scoprire come configurare le regole firewall di App Engine.