應用程式安全性總覽

區域 ID

REGION_ID 是 Google 根據您在建立應用程式時選取的地區所指派的簡寫代碼。雖然某些區域 ID 可能看起來與常用的國家/地區代碼相似,但此代碼並非對應國家/地區或省份。如果是 2020 年 2 月後建立的應用程式,App Engine 網址會包含 REGION_ID.r。如果是在此日期之前建立的現有應用程式,網址中則可選擇加入地區 ID。

進一步瞭解區域 ID

安全防護是 Google Cloud的核心功能,但您仍須採取一些步驟來保護您的 App Engine 應用程式並找出安全漏洞。

請使用下列功能,確保您的 App Engine 應用程式安全無虞。如要進一步瞭解 Google 安全性模型,以及可以採取哪些步驟來保護 Google Cloud 專案,請參閱「Google Cloud Platform 安全性」一文。

HTTPS 要求

您可以透過 HTTPS 要求,以安全的方式存取 App Engine 應用程式。視應用程式的設定方式而定,您可以使用下列幾種選項:

appspot.com 網域
  • 使用 https 網址前置字串,將 HTTPS 要求傳送至 Google Cloud 專案的 default 服務,例如:
    https://PROJECT_ID.REGION_ID.r.appspot.com

  • 如要指定 App Engine 應用程式中的特定資源,請使用 -dot- 語法來區隔您要指定的每項資源,例如:
    https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

  • 如要將 HTTP 網址轉換為 HTTPS 網址,請將各項資源之間的半形句號改為 -dot-,例如:
    http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
    https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com

如要進一步瞭解 HTTPS 網址和指定資源的相關資訊,請參閱要求的轉送方式一文。

自訂網域

如要透過自訂網域傳送 HTTPS 要求,您可以使用 App Engine 佈建的代管安全資料傳輸層 (SSL) 憑證。詳情請參閱使用安全資料傳輸層 (SSL) 保護自訂網域一文。

存取權控管

在每個 Google Cloud 專案中設定存取權控管,以決定哪些使用者可以存取專案中的服務,包括 App Engine。您可以為不同的帳戶指派不同的角色,確保每個帳戶僅具備支援應用程式所需的權限。詳情請參閱「設定存取權控管」。

App Engine 防火牆

App Engine 防火牆可讓您透過一組規則來允許或拒絕來自指定 IP 位址範圍的要求,藉此控管 App Engine 應用程式的存取權。您不必為防火牆封鎖的流量或頻寬支付費用。建立防火牆之後,您就可以套用下列設定:

只允許來自特定網路的流量
確保只有特定網路中的某個 IP 位址範圍可以存取您的應用程式。舉例來說,您可以在應用程式測試階段建立規則,只允許公司私人網路中的 IP 位址範圍。接著,您可以在應用程式發布流程的各個階段中建立及修改防火牆規則,只允許特定機構 (您的公司或外部機構) 存取您的應用程式,藉此控管存取權範圍,直到應用程式公開發布為止。
只允許來自特定服務的流量
確保所有連入 App Engine 應用程式的流量都已先透過特定服務的 Proxy 進行處理。舉例來說,如果您使用第三方網頁應用程式防火牆 (WAF) 將導向應用程式的要求傳送至 Proxy,您可以建立如下的防火牆規則:除了由 WAF 轉送的要求以外,所有其他要求一律拒絕。
封鎖違規 IP 位址
雖然 Google Cloud 提供了許多攻擊防範機制,但您仍可以使用 App Engine 防火牆,封鎖從帶有不良意圖的 IP 位址連向應用程式的流量,或防止應用程式受到阻斷服務攻擊和類似形式的濫用行為。您可以將 IP 位址或子網路新增至拒絕清單,這樣系統就會拒絕轉送來自這些位址和子網路的要求,將要求阻隔在 App Engine 應用程式之外。

如要進一步瞭解如何建立規則和設定防火牆,請參閱透過防火牆控管應用程式存取權一文。

輸入控管

您可以使用 Ingress 控制項限制 App Engine 應用程式的入站流量。根據預設,App Engine 應用程式會接受來自所有網路來源的流量。如要修改預設設定,以及編輯及查看可用的設定,請參閱「指定入口設定」。

輸出控制項

輸出控制項可決定透過 無伺服器虛擬私有雲連接器傳送的流量。根據預設,只有傳送至私人 IP 位址的要求會透過 Serverless VPC 連接器轉送。您可以使用輸出控管設定,要求將 App Engine 服務的所有流量都經由已連結的 VPC 連接器轉送。如要為應用程式指定輸出設定,請參閱「輸出設定」。

Security Scanner

Google Cloud Web Security Scanner 會檢索您的 App Engine 應用程式、追蹤起始網址涵蓋的所有連結,並盡可能執行大量的使用者輸入內容和事件處理常式,藉此找出安全漏洞。

如要使用 Security Scanner,您必須是Google Cloud 專案的擁有者。如要進一步瞭解如何指派角色,請參閱「設定存取權控管」。

您可以透過 Google Cloud 主控台執行安全性掃描,找出 App Engine 應用程式中的安全漏洞。如要進一步瞭解如何執行 Security Scanner,請參閱「使用 Web Security Scanner」。

VPC Service Controls

不支援 App Engine 標準環境。