Questa pagina spiega le policy di sicurezza del gateway e come crearle.
Policy di sicurezza del gateway
Una policy di sicurezza del gateway funge da container centralizzato per tutte le regole di sicurezza che regolano il flusso di traffico attraverso l'istanza di Secure Web Proxy. Le policy consentono di gestire in modo efficace il controllo dell'accesso per il traffico web in uscita del proxy.
Puoi definire una policy e associarla all'istanza di Secure Web Proxy. In questo modo, tutto il traffico web in uscita dalla rete rispetta un insieme coerente di standard di sicurezza.
Le policy di sicurezza del gateway si basano sui seguenti tre parametri:
Origine del traffico: Secure Web Proxy identifica l'origine del traffico utilizzando vari attributi, come service account, tag protetti e indirizzi IP.
Destinazione consentita: Secure Web Proxy determina le destinazioni consentite utilizzando un dominio, un percorso URL completo (se l'ispezione TLS è abilitata), elenchi di URL o la porta di destinazione.
Dettagli della richiesta: Secure Web Proxy valuta gli attributi della richiesta come il protocollo, il metodo HTTP e le intestazioni della richiesta. Per eseguire questa analisi per il traffico criptato, devi abilitare l'ispezione TLS.
Attributi di origine
Le policy di Secure Web Proxy identificano l'origine del traffico utilizzando i seguenti dati di identità cloud e posizione di rete:
- Service account: identità univoche assegnate alle applicazioni o ai carichi di lavoro. I service account consentono di creare policy basate sulla funzione specifica di un'applicazione.
- Tag protetti: etichette che puoi applicare
alle tue Google Cloud risorse, come le istanze di macchine virtuali (VM).
I tag consentono di raggruppare i carichi di lavoro per funzione o ambiente. Ad esempio,
"Consenti a tutte le risorse con l'etichetta
Productiondi accedere ai domini approvati ". - Indirizzi IP: indirizzo di rete del mittente. Puoi assegnare gli indirizzi IP statici o aziendali che Secure Web Proxy utilizza per il traffico in uscita. Google Cloud
Identità supportate per gli attributi di origine
Secure Web Proxy utilizza policy basate sull'identità di origine, come service account e tag protetti, per controllare il traffico web. Queste policy consentono di applicare regole basate sull'identità di origine del traffico, anziché solo sull'indirizzo IP.
La tabella seguente mostra i Google Cloud servizi che supportano le policy basate sull'identità di origine:
| Google Cloud servizi | Supporto per i service account | Supporto per i tag protetti |
|---|---|---|
| Macchina virtuale (VM) Compute Engine | ||
| Nodo Google Kubernetes Engine (GKE) | ||
| Container Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC diretto per Cloud Run | 1 | |
| Connettore di accesso VPC serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect on premises | 1 | 1 |
| Bilanciatore del carico delle applicazioni | ||
| Bilanciatore del carico di rete |
2 L'indirizzo IP di origine è univoco e può essere utilizzato al suo posto.
La tabella seguente mostra le architetture Virtual Private Cloud (VPC) che supportano le policy di sicurezza basate sull'identità di origine:
| VPC | Architettura VPC | Assistenza |
|---|---|---|
| All'interno del VPC | Tra progetti (VPC condiviso) | |
| Tra VPC | Tra link di peering (VPC peer) | |
| Tra VPC | Tra Private Service Connect | |
| Tra VPC | Tra spoke di Network Connectivity Center |
Attributi di destinazione
Le policy di Secure Web Proxy determinano se una destinazione è approvata analizzando i seguenti attributi del sito web o del servizio di destinazione:
Dominio di destinazione: l'indirizzo del sito web, ad esempio
example.com.Elenchi di URL: elenchi predefiniti di URL approvati o bloccati che semplificano la gestione delle policy.
Porta di destinazione: porta di rete a cui l'istanza di Secure Web Proxy invia il traffico. Ad esempio,
443per HTTPS.Percorso dell'URL completo: percorso esatto del sito web. Devi abilitare l'ispezione TLS per visualizzare l'intero contenuto della pagina web specifica.
Per il traffico di destinazione HTTP e HTTPS, puoi utilizzare l'attributo di destinazione host e vari attributi correlati alla destinazione request.*, come request.method, per la tua applicazione.
Per saperne di più sugli attributi di destinazione che puoi utilizzare per il traffico HTTP e HTTPS, consulta Attributi.
Crea una policy di sicurezza
Prima di creare una policy di sicurezza del gateway, assicurati di completare i seguenti passaggi di configurazione iniziale:
- Ottieni ruoli e autorizzazioni Identity and Access Management (IAM)
- Crea un Google Cloud progetto
- Abilita la fatturazione per il tuo Google Cloud progetto
Dopo aver creato una policy, puoi creare regole e aggiungere le alla policy. Per saperne di più su come associare una policy all'istanza di Secure Web Proxy, consulta Configurare un proxy web.
Console
Nella Google Cloud console, vai alla pagina Policy SWP.
Fai clic su Crea una policy.
Inserisci un nome per la policy che vuoi creare, ad esempio
policy1.Inserisci una descrizione della policy, ad esempio
My new swp policy.Nell'elenco Regioni, seleziona la regione in cui vuoi creare la policy, ad esempio
us-central1.Se vuoi creare regole per la policy, fai clic su Aggiungi regola. Per saperne di più, consulta Creare una regola di Secure Web Proxy.
Fai clic su Crea.
Cloud Shell
Utilizza l'editor di testo che preferisci per creare un file
policy.yaml.Aggiungi quanto segue al file
policy.yamlche hai creato:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Sostituisci quanto segue:
PROJECT_ID: ID del progettoREGION: regione in cui viene creata la policy, ad esempious-central1
Crea la policy di Secure Web Proxy.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Passaggi successivi
- Regole di sicurezza
- Eseguire il deployment di Secure Web Proxy come servizio Private Service Connect
- Eseguire il deployment di Secure Web Proxy come hop successivo