Security 安全地允许Google App Engine为Google App脚本访问公司内部网络/服务器

众所周知，谷歌应用程序脚本运行在谷歌应用程序引擎服务器上，这些服务器无法访问公司的内部网络/服务器：

根据文档，如果您希望Google应用程序脚本项目能够访问内部网络/服务器，则必须将Google的IP列入白名单。但我们都知道这不是最安全的选择。事实上，文件甚至说：

请注意，使用静态IP地址过滤被认为不是一种安全有效的保护手段。例如，攻击者可以设置恶意应用程序引擎应用程序，该应用程序可能与您的应用程序共享相同的IP地址范围。相反，我们建议您采用使用和的方法

问题是，我找不到任何文档、参考资料或文章来说明一个组织应该如何最好地执行它的建议

---

因此，我的问题是，使用G-Suite Enterprise的组织如何安全地允许Google应用程序脚本项目访问公司内部网络？

该文档非常清楚地表明，由于应用程序脚本在共享应用程序引擎实例上运行，因此不可能使用IP进行限制，这也意味着网络能力将非常有限（即没有VPC对等网络或类似网络）。因此，正如在突出显示的块中一样，他们建议仅通过IP限制实现身份验证

除了身份验证之外，应用程序脚本还支持（）。这将保护连接在通过Internet发送时不被窃听

此外，您还可以实现一种“半IP限制”机制，技术上称为，其工作原理如下：

首先创建一个特殊端点，需要身份验证，接受IP地址作为输入。当被请求时，您打开防火墙，在有限的时间内（例如5分钟）接受从该IP到内部网络的连接

在应用程序脚本中，使用URL Fetch请求该端点，以便临时允许脚本实例访问您的网络

---

当然，这并不完美，因为一个应用程序引擎实例同时运行多个脚本，并且白名单会在设定的时间内打开，但这仍然比持续向所有Google（应用程序引擎）IP打开端口要好得多。

文档中明确指出，由于应用程序脚本是在共享的应用程序引擎实例上运行的，因此不可能使用IP进行限制，这也意味着网络功能将非常有限（即没有VPC对等或类似功能）。因此，正如在突出显示的块中一样，他们建议仅通过IP限制实现身份验证

除了身份验证之外，应用程序脚本还支持（）。这将保护连接在通过Internet发送时不被窃听

此外，您还可以实现一种“半IP限制”机制，技术上称为，其工作原理如下：

首先创建一个特殊端点，需要身份验证，接受IP地址作为输入。当被请求时，您打开防火墙，在有限的时间内（例如5分钟）接受从该IP到内部网络的连接

在应用程序脚本中，使用URL Fetch请求该端点，以便临时允许脚本实例访问您的网络

---

当然，这并不完美，因为一个应用程序引擎实例同时运行多个脚本，并且白名单会在设定的时间内打开，但这仍然比持续向所有Google（应用程序引擎）开放端口要好得多IPs。

当您使用G套件服务时，应用程序脚本是简化任务的一个很好的工具，不幸的是，您试图实现的功能不可用。另外，请记住，应用程序脚本不是基于应用程序引擎构建的，它是一个完全不同的产品

---

因此，如果文档中显示的内容不能满足您的要求，请检查其他谷歌替代方案，如或，而不是。

应用程序脚本是一个伟大的工具，可以在您使用G Suite服务时简化任务。，不幸的是，您试图实现的功能不可用。另外，请记住，应用程序脚本不是基于应用程序引擎构建的，它是一个完全不同的产品

---

因此，如果文档中显示的内容不能满足您的要求，请检查其他谷歌替代方案，如或，而不是。

加密和身份验证链接用于连接数据库。我们不想连接到数据库。我们希望对内部服务器进行API调用。我知道端口敲击系统可以工作，但仍然不安全。我很惊讶谷歌没有官方的方式来支持这一点。加密和认证链接是用来连接数据库的。我们不想连接到数据库。我们希望对内部服务器进行API调用。我知道端口敲击系统可以工作，但仍然不安全。我很惊讶谷歌没有一个官方的方式来支持这一点。