En esta página, se explican las políticas de seguridad de la puerta de enlace y cómo crearlas.
Políticas de seguridad de la puerta de enlace
Una política de seguridad de la puerta de enlace actúa como un contenedor centralizado para todas las reglas de seguridad que rigen el flujo de tráfico a través de tu instancia de Secure Web Proxy. Las políticas te permiten administrar de manera eficaz el control de acceso para el tráfico web saliente del proxy.
Puedes definir una política y asociarla con tu instancia de Secure Web Proxy. Esto ayuda a garantizar que todo el tráfico web saliente de tu red cumpla con un conjunto coherente de estándares de seguridad.
Las políticas de seguridad de la puerta de enlace se basan en los siguientes tres parámetros:
Fuente de tráfico: Secure Web Proxy identifica la fuente de tráfico con varios atributos, como cuentas de servicio, etiquetas seguras y direcciones IP.
Destino permitido: Secure Web Proxy determina los destinos permitidos con un dominio, una ruta de URL completa (si la inspección de TLS está habilitada), listas de URLs o el puerto de destino.
Detalles de la solicitud: Secure Web Proxy evalúa los atributos de la solicitud, como el protocolo, el método HTTP y los encabezados de la solicitud. Para realizar este análisis en el tráfico encriptado, debes habilitar la inspección de TLS.
Atributos de la fuente
Las políticas de Secure Web Proxy identifican la fuente del tráfico con los siguientes datos de identidad en la nube y ubicación de red:
- Cuentas de servicio: Son identidades únicas que se asignan a tus aplicaciones o cargas de trabajo. Las cuentas de servicio te permiten crear políticas basadas en la función específica de una aplicación.
- Etiquetas seguras: Son etiquetas que puedes aplicar a tus recursos de Google Cloud , como instancias de máquina virtual (VM).
Las etiquetas te permiten agrupar cargas de trabajo por función o entorno. Por ejemplo, "Permite que todos los recursos etiquetados como
Productionaccedan a los dominios aprobados". - Direcciones IP: Dirección de red del remitente. Puedes asignar las direcciones IP Google Cloud estáticas o empresariales que el Secure Web Proxy usa para el tráfico saliente.
Identidades admitidas para los atributos de origen
Secure Web Proxy usa políticas basadas en la identidad de origen, como cuentas de servicio y etiquetas seguras, para controlar el tráfico web. Estas políticas te permiten aplicar reglas basadas en la identidad de origen del tráfico, en lugar de solo la dirección IP.
En la siguiente tabla, se muestran los Google Cloud servicios que admiten políticas basadas en la identidad de origen:
| Google Cloud servicios | Asistencia para cuentas de servicio | Compatibilidad con etiquetas seguras |
|---|---|---|
| Máquina virtual (VM) de Compute Engine | ||
| Nodo de Google Kubernetes Engine (GKE) | ||
| Contenedor de Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC directa para Cloud Run | 1 | |
| Conector de Acceso a VPC sin servidores | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect en las instalaciones | 1 | 1 |
| Balanceador de cargas de aplicaciones | ||
| Balanceador de cargas de red |
2 La dirección IP de origen es única y se puede usar en su lugar.
En la siguiente tabla, se muestran las arquitecturas de nube privada virtual (VPC) que admiten políticas de seguridad basadas en la identidad de origen:
| VPC | Arquitectura de la VPC | Asistencia |
|---|---|---|
| Dentro de la VPC | Entre proyectos (VPC compartida) | |
| VPC cruzada | Vínculo de intercambio de tráfico cruzado (VPC de intercambio de tráfico) | |
| VPC cruzada | Private Service Connect entre proyectos | |
| VPC cruzada | Radios de Network Connectivity Center entre redes |
Atributos de destino
Las políticas del Secure Web Proxy determinan si un destino está aprobado analizando los siguientes atributos del sitio web o servicio de destino:
Dominio de destino: La dirección del sitio web, como
example.com.Listas de URLs: Son listas predefinidas de URLs aprobadas o bloqueadas que simplifican la administración de políticas.
Puerto de destino: Es el puerto de red al que tu instancia de Secure Web Proxy envía tráfico. Por ejemplo,
443para HTTPS.Ruta de URL completa: Es la ruta exacta del sitio web. Debes habilitar la inspección de TLS para ver todo el contenido de la página web específica.
Para el tráfico de destino HTTP y HTTPS, puedes usar el atributo de destino host y varios atributos relacionados con el destino request.*, como request.method, para tu aplicación.
Para obtener más información sobre los atributos de destino que puedes usar para el tráfico HTTP y HTTPS, consulta Atributos.
Crear una política de seguridad
Antes de crear una política de seguridad de la puerta de enlace, asegúrate de completar los siguientes pasos de configuración inicial:
- Obtén roles y permisos de Identity and Access Management (IAM)
- Crea un proyecto Google Cloud .
- Habilita la facturación para tu proyecto de Google Cloud
Después de crear una política, puedes crear reglas y agregarlas a la política. Para obtener más información sobre cómo asociar una política a tu instancia de Secure Web Proxy, consulta Configura un proxy web.
Console
En la consola de Google Cloud , ve a la página Políticas de SWP.
Haz clic en Crear una política.
Ingresa un nombre para la política que deseas crear, como
policy1.Ingresa una descripción de la política, como
My new swp policy.En la lista Regiones, selecciona la región en la que deseas crear la política, como
us-central1.Si deseas crear reglas para tu política, haz clic en Agregar regla. Para obtener más información, consulta Crea una regla de Secure Web Proxy.
Haz clic en Crear.
Cloud Shell
Usa tu editor de texto preferido para crear un archivo
policy.yaml.Agrega lo siguiente al archivo
policy.yamlque creaste:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Reemplaza lo siguiente:
PROJECT_ID: ID de tu proyectoREGION: Es la región en la que se crea tu política, comous-central1
Crea la política de Secure Web Proxy.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
¿Qué sigue?
- Reglas de seguridad
- Implementa Secure Web Proxy como un servicio de Private Service Connect
- Implementa Secure Web Proxy como próximo salto