Políticas de seguridad

En esta página, se explican las políticas de seguridad de la puerta de enlace y cómo crearlas.

Políticas de seguridad de la puerta de enlace

Una política de seguridad de la puerta de enlace actúa como un contenedor centralizado para todas las reglas de seguridad que rigen el flujo de tráfico a través de tu instancia de Secure Web Proxy. Las políticas te permiten administrar de manera eficaz el control de acceso para el tráfico web saliente del proxy.

Puedes definir una política y asociarla con tu instancia de Secure Web Proxy. Esto ayuda a garantizar que todo el tráfico web saliente de tu red cumpla con un conjunto coherente de estándares de seguridad.

Las políticas de seguridad de la puerta de enlace se basan en los siguientes tres parámetros:

Atributos de la fuente

Las políticas de Secure Web Proxy identifican la fuente del tráfico con los siguientes datos de identidad en la nube y ubicación de red:

  • Cuentas de servicio: Son identidades únicas que se asignan a tus aplicaciones o cargas de trabajo. Las cuentas de servicio te permiten crear políticas basadas en la función específica de una aplicación.
  • Etiquetas seguras: Son etiquetas que puedes aplicar a tus recursos de Google Cloud , como instancias de máquina virtual (VM). Las etiquetas te permiten agrupar cargas de trabajo por función o entorno. Por ejemplo, "Permite que todos los recursos etiquetados como Production accedan a los dominios aprobados".
  • Direcciones IP: Dirección de red del remitente. Puedes asignar las direcciones IP Google Cloud estáticas o empresariales que el Secure Web Proxy usa para el tráfico saliente.

Identidades admitidas para los atributos de origen

Secure Web Proxy usa políticas basadas en la identidad de origen, como cuentas de servicio y etiquetas seguras, para controlar el tráfico web. Estas políticas te permiten aplicar reglas basadas en la identidad de origen del tráfico, en lugar de solo la dirección IP.

En la siguiente tabla, se muestran los Google Cloud servicios que admiten políticas basadas en la identidad de origen:

Google Cloud servicios Asistencia para cuentas de servicio Compatibilidad con etiquetas seguras
Máquina virtual (VM) de Compute Engine
Nodo de Google Kubernetes Engine (GKE)
Contenedor de Google Kubernetes Engine (GKE) 1 1
VPC directa para Cloud Run 1
Conector de Acceso a VPC sin servidores 2 2
Cloud VPN 1 1
Cloud Interconnect en las instalaciones 1 1
Balanceador de cargas de aplicaciones
Balanceador de cargas de red
1 No es compatible con Google Cloud.
2 La dirección IP de origen es única y se puede usar en su lugar.

En la siguiente tabla, se muestran las arquitecturas de nube privada virtual (VPC) que admiten políticas de seguridad basadas en la identidad de origen:

VPC Arquitectura de la VPC Asistencia
Dentro de la VPC Entre proyectos (VPC compartida)
VPC cruzada Vínculo de intercambio de tráfico cruzado (VPC de intercambio de tráfico)
VPC cruzada Private Service Connect entre proyectos
VPC cruzada Radios de Network Connectivity Center entre redes

Atributos de destino

Las políticas del Secure Web Proxy determinan si un destino está aprobado analizando los siguientes atributos del sitio web o servicio de destino:

  • Dominio de destino: La dirección del sitio web, como example.com.

  • Listas de URLs: Son listas predefinidas de URLs aprobadas o bloqueadas que simplifican la administración de políticas.

  • Puerto de destino: Es el puerto de red al que tu instancia de Secure Web Proxy envía tráfico. Por ejemplo, 443 para HTTPS.

  • Ruta de URL completa: Es la ruta exacta del sitio web. Debes habilitar la inspección de TLS para ver todo el contenido de la página web específica.

Para el tráfico de destino HTTP y HTTPS, puedes usar el atributo de destino host y varios atributos relacionados con el destino request.*, como request.method, para tu aplicación.

Para obtener más información sobre los atributos de destino que puedes usar para el tráfico HTTP y HTTPS, consulta Atributos.

Crear una política de seguridad

Antes de crear una política de seguridad de la puerta de enlace, asegúrate de completar los siguientes pasos de configuración inicial:

Después de crear una política, puedes crear reglas y agregarlas a la política. Para obtener más información sobre cómo asociar una política a tu instancia de Secure Web Proxy, consulta Configura un proxy web.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de SWP.

    Ir a Políticas de SWP

  2. Haz clic en Crear una política.

  3. Ingresa un nombre para la política que deseas crear, como policy1.

  4. Ingresa una descripción de la política, como My new swp policy.

  5. En la lista Regiones, selecciona la región en la que deseas crear la política, como us-central1.

  6. Si deseas crear reglas para tu política, haz clic en Agregar regla. Para obtener más información, consulta Crea una regla de Secure Web Proxy.

  7. Haz clic en Crear.

Cloud Shell

  1. Usa tu editor de texto preferido para crear un archivo policy.yaml.

  2. Agrega lo siguiente al archivo policy.yaml que creaste:

    description: basic Secure Web Proxy policy
    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    

    Reemplaza lo siguiente:

    • PROJECT_ID: ID de tu proyecto
    • REGION: Es la región en la que se crea tu política, como us-central1
  3. Crea la política de Secure Web Proxy.

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

¿Qué sigue?