Règles de sécurité

Cette page explique les règles de sécurité de passerelle et comment les créer.

Règles de sécurité de passerelle

Une règle de sécurité de passerelle sert de conteneur centralisé pour toutes les règles de sécurité qui régissent le flux de trafic via votre instance Secure Web Proxy. Les règles vous permettent de gérer efficacement le contrôle des accès pour le trafic Web sortant du proxy.

Vous pouvez définir une règle et l'associer à votre instance Secure Web Proxy. Cela permet de garantir que tout le trafic Web sortant de votre réseau respecte un ensemble cohérent de normes de sécurité.

Les règles de sécurité de passerelle sont basées sur les trois paramètres suivants :

  • Source du trafic : Secure Web Proxy identifie la source du trafic à l'aide de différents attributs tels que les comptes de service, les tags sécurisés et les adresses IP.

  • Destination autorisée : le Secure Web Proxy détermine les destinations autorisées à l'aide d'un domaine, d'un chemin de l'URL complet (si l'inspection TLS est activée), de listes d'URL ou du port de destination.

  • Détails de la requête : Secure Web Proxy évalue les attributs de la requête tels que le protocole, la méthode HTTP et les en-têtes de requête. Pour effectuer cette analyse pour le trafic chiffré, vous devez activer l'inspection TLS.

Attributs sources

Les règles de Secure Web Proxy identifient la source du trafic à l'aide des données d'identité cloud et d'emplacement réseau suivantes :

  • Comptes de service : identités uniques attribuées à vos applications ou charges de travail. Les comptes de service vous permettent de créer des règles basées sur une fonction spécifique d'une application.
  • Tags sécurisés : libellés que vous pouvez appliquer à vos Google Cloud ressources, telles que les instances de machines virtuelles (VM). Les tags vous permettent de regrouper les charges de travail par fonction ou par environnement. Par exemple, "Autoriser toutes les ressources libellées Production à accéder aux domaines approuvés domaines."
  • Adresses IP : adresse réseau de l'expéditeur. Vous pouvez attribuer à votre entreprise des adresses IP statiques Google Cloud que le proxy Web sécurisé utilise pour le trafic sortant.

Identités compatibles pour les attributs sources

Le proxy Web sécurisé utilise des règles basées sur l'identité source, telles que les comptes de service et les tags sécurisés, pour contrôler le trafic Web. Ces règles vous permettent d'appliquer des règles basées sur l'identité source du trafic, et pas seulement sur l'adresse IP.

Le tableau suivant présente les Google Cloud services compatibles avec les règles basées sur l'identité source :

Google Cloud services Compatibilité avec les comptes de service Compatibilité avec les tags sécurisés
Machine virtuelle (VM) Compute Engine
Nœud Google Kubernetes Engine (GKE)
Conteneur Google Kubernetes Engine (GKE) 1 1
VPC direct pour Cloud Run 1
Connecteur d'accès au VPC sans serveur 2 2
Cloud VPN 1 1
Cloud Interconnect sur site 1 1
Équilibreur de charge d'application
Équilibreur de charge réseau
1 Non compatible avec Google Cloud.
2 L'adresse IP source est unique et peut être utilisée à la place.

Le tableau suivant présente les architectures de cloud privé virtuel (VPC) compatibles avec les règles de sécurité basées sur l'identité source :

VPC Architecture VPC Compatibilité
Dans le VPC Entre projets (VPC partagé)
Entre VPC Entre liens d'appairage (VPC appairé)
Entre VPC Entre Private Service Connect
Entre VPC Entre rayons Network Connectivity Center

Attributs de destination

Les règles de Secure Web Proxy déterminent si une destination est approuvée en analysant les attributs suivants du site Web ou du service cible :

  • Domaine de destination : adresse du site Web, par exemple example.com.

  • Listes d'URL : listes prédéfinies d'URL approuvées ou bloquées qui simplifient la gestion des règles.

  • Port de destination : port réseau vers lequel votre instance de Secure Web Proxy envoie le trafic. Par exemple, 443 pour HTTPS.

  • Chemin de l'URL complet : chemin exact du site Web. Vous devez activer l'inspection TLS pour afficher l'intégralité du contenu de la page Web spécifique.

Pour le trafic de destination HTTP et HTTPS, vous pouvez utiliser l'attribut de destination host et différents attributs liés à la destination request.*, tels que request.method, pour votre application.

Pour en savoir plus sur les attributs de destination que vous pouvez utiliser pour le trafic HTTP et HTTPS, consultez la section Attributs.

Créer une règle de sécurité

Avant de créer une règle de sécurité de passerelle, assurez-vous d'effectuer les étapes de configuration initiale suivantes :

Après avoir créé une règle, vous pouvez créer des règles et ajouter les à la règle. Pour en savoir plus sur l'association d'une règle à votre instance de Secure Web Proxy, consultez la section Configurer un proxy Web.

Console

  1. Dans la Google Cloud console, accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur Créer une règle.

  3. Saisissez un nom pour la règle que vous souhaitez créer, par exemple policy1.

  4. Saisissez une description de la règle, par exemple My new swp policy.

  5. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle, par exemple us-central1.

  6. Si vous souhaitez créer des règles pour votre règle, cliquez sur Ajouter une règle. Pour en savoir plus, consultez la section Créer une règle Secure Web Proxy.

  7. Cliquez sur Créer.

Cloud Shell

  1. Utilisez l'éditeur de texte de votre choix pour créer un fichier policy.yaml.

  2. Ajoutez les éléments suivants au fichier policy.yaml que vous avez créé :

    description: basic Secure Web Proxy policy
    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION: région dans laquelle votre règle est créée, par exemple us-central1
  3. Créez la règle de proxy Web sécurisé.

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Étape suivante