Blog

App Engine için güvenlik duvarı artık genel olarak mevcut

Bulutta uygulamaları güven altına almak, güvenilir kaynaklara erişimi kısıtlamak, kullanıcı verilerini korumak ve DoS saldırısı karşısında uygulamanızın bant genişliği kullanımını sınırlamak çeşitli nedenlerle kritik öneme sahiptir. App Engine’de uygulamalarınız için artık güvenlik duvarı üzerinden kuralları tanımlayabileceksiniz.

Bu sürümde, geliştiricilerin uygulamalarını değiştirmesini gerektirmek yerine, daha kapsamlı güvenlik politikaları uygulamak için App Engine güvenlik duvarında ki IPv4 ve IPv6 adres filtreleme özelliklerini kullanabilirler.

Reblaze ve Cloudflare gibi App Engine güvenlik duvarının sağladığı güvenlik konusunda müşterilerimizden ve ortaklarımızdan çok sayıda geri bildirim aldık;

“Yeni çıkan App Engine güvenlik duvarı sayesinde Reblaze, en yetenekli bilgisayar korsanının bile ağ geçitlerimizi atlamasını ve müşterilerimizin App Engine uygulamalarına doğrudan erişmesini önleyebilir.Bu yeni özellik müşterilerimizin Reblaze’ın uygulama motorunda ki kapsamlı web güvenliğinden (DDoS koruması, WAF / IPS, bot hafifletme, tam uzaktan yönetim, vb. dahil olmak üzere) yararlanmasını sağlar”

-Tzury Bar Yochay, CTO – Reblaze Technologies

“App Engine’in güvenlik duvarı ile müşterilerimiz uygulamalarını sadece Cloudflare IP’lerden gelen trafiği kabul etmeleri için yapılandırabilirler. Cloudflare bir ters proxy sunucusu kullandığından, bu entegrasyon ile uygulamanın orijinal sunucularına doğrudan erişimini engeller”

-Travis Perkins, Head of Alliances at Cloudflare

Basit ve etkili

App Engine güvenlik duvarını yapılandırmak kolaydır. Kuralları Google Cloud Platform Konsolu’ndan, App Engine Yönetim API’sından veya gcloud CLI ile ayarlayabilirsiniz.

Örneğin, sahte bir ağdaki birkaç adres tarafından saldırıya uğramış bir uygulamanız olduğunu varsayalım. Önce, uygulamanızın istek günlüklerinden IP adreslerini alın. Ardından, sahte ağa güvenlik duvarına bir deny kuralı ekleyin. Varsayılan kuralın izin vermek üzere ayarlandığından emin olun, böylece diğer kullanıcılar hala uygulamaya erişebilir.

Ve işte bu kadar! Uygulamayı değiştirmeye ve yeniden dağıtmaya gerek yoktur. Erişim artık beyaz listeye eklenen IP adreslerinizle sınırlandırılmıştır. Bir deny kuralı ile eşleşen IP adresleri, uygulamanıza ulaşmadan önce bir HTTP 403 isteği alacaktır; bu, uygulamanızın başka örnekler döndürmeyeceği veya talebin işleme konması için ücret alınmayacağı anlamına gelir.

Herhangi bir IP için kuralları doğrulama

Bazı uygulamaların, bir IP’nin izin verileceğini veya reddedileceğini belirlemesini zorlaştıran karmaşık kural setleri olabilir. Cloud Konsolu’nda, IP’yi test et sekmesi bir IP girmenizi ve güvenlik duvarınızın isteği kabul edip etmeyeceğini görmenizi sağlar.

Burada, dahili bir geliştirici IP’sine izin verildiğinden emin olmak istiyoruz. Bununla birlikte, IP’yi test ettiğimizde “sahte ağ” engelleme kuralının öncelik taşıdığını görebiliriz.

Kurallar ilk uygulanacağı sırada öncelik sırasına göre değerlendirilir. Dolayısıyla, geliştirici IP’nin içinde bulunduğu engellenmiş ağdan daha düşük önceliğe sahip bir değere sahip olmasını sağlayarak bunu düzeltebiliriz.

Kontrol ettiğimiz de bunun planlandığı gibi çalıştığını görebiliriz.