Nesta página, explicamos as políticas de segurança do gateway e como criá-las.
Políticas de segurança do gateway
Uma política de segurança de gateway funciona como um contêiner centralizado para todas as regras de segurança que regem o fluxo de tráfego pela sua instância do Secure Web Proxy. Com as políticas, é possível gerenciar o controle de acesso do tráfego da Web de saída do proxy.
É possível definir uma política e associá-la à sua instância do Secure Web Proxy. Isso ajuda a garantir que todo o tráfego da Web de saída da sua rede siga um conjunto consistente de padrões de segurança.
As políticas de segurança de gateway são baseadas nos três parâmetros a seguir:
Origem do tráfego: o Secure Web Proxy identifica a origem do tráfego usando vários atributos, como contas de serviço, tags seguras e endereços IP.
Destino permitido: o Secure Web Proxy determina os destinos permitidos usando um domínio, um caminho de URL completo (se a inspeção TLS estiver ativada), listas de URLs ou a porta de destino.
Detalhes da solicitação: o Secure Web Proxy avalia atributos de solicitação, como protocolo, método HTTP e cabeçalhos de solicitação. Para realizar essa análise no tráfego criptografado, é necessário ativar a inspeção TLS.
Atributos de origem
As políticas do Secure Web Proxy identificam a origem do tráfego usando os seguintes dados de identidade na nuvem e local da rede:
- Contas de serviço: identidades exclusivas atribuídas aos seus aplicativos ou cargas de trabalho. Com as contas de serviço, é possível criar políticas com base na função específica de um aplicativo.
- Tags seguras: rótulos que podem ser aplicados aos seus recursos do Google Cloud , como instâncias de máquina virtual (VM).
Com as tags, você pode agrupar cargas de trabalho por função ou ambiente. Por exemplo, "Permitir que todos os recursos rotulados como
Productionacessem domínios aprovados". - Endereços IP: endereço de rede do remetente. É possível atribuir seus endereços IP empresariais ou estáticos Google Cloud que o Secure Web Proxy usa para o tráfego de saída.
Identidades compatíveis para atributos de origem
O Secure Web Proxy usa políticas baseadas em identidade de origem, como contas de serviço e tags seguras, para controlar o tráfego da Web. Com elas, é possível aplicar regras com base na identidade de origem do tráfego, e não apenas no endereço IP.
A tabela a seguir mostra os serviços que aceitam políticas baseadas na identidade de origem: Google Cloud
| Google Cloud serviços | Suporte para contas de serviço | Suporte a tags seguras |
|---|---|---|
| Máquina virtual (VM) do Compute Engine | ||
| Nó do Google Kubernetes Engine (GKE) | ||
| Contêiner do Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC direta para o Cloud Run | 1 | |
| Conector de acesso VPC sem servidor | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect no local | 1 | 1 |
| Balanceador de carga de aplicativo | ||
| Balanceador de carga de rede |
2 O endereço IP de origem é exclusivo e pode ser usado.
A tabela a seguir mostra as arquiteturas de nuvem privada virtual (VPC) que oferecem suporte a políticas de segurança baseadas na identidade de origem:
| VPC | Arquitetura da VPC | Suporte |
|---|---|---|
| Na VPC | Entre projetos (VPC compartilhada) | |
| Entre VPCs | Link de peering cruzado (VPC de peering) | |
| Entre VPCs | Private Service Connect entre projetos | |
| Entre VPCs | Spokes do Network Connectivity Center entre redes |
Atributos de destino
As políticas do Secure Web Proxy determinam se um destino é aprovado analisando os seguintes atributos do site ou serviço de destino:
Domínio de destino: o endereço do site, como
example.com.Listas de URLs: listas predefinidas de URLs aprovados ou bloqueados que simplificam o gerenciamento de políticas.
Porta de destino: porta de rede para onde sua instância do Secure Web Proxy envia tráfego. Por exemplo,
443para HTTPS.Caminho completo do URL: caminho exato do site. É necessário ativar a inspeção de TLS para ver todo o conteúdo da página da Web específica.
Para tráfego de destino HTTP e HTTPS, use o atributo de destino host e vários atributos relacionados ao destino request.*, como request.method, no seu aplicativo.
Para mais informações sobre os atributos de destino que podem ser usados para tráfego HTTP e HTTPS, consulte Atributos.
Criar uma política de segurança
Antes de criar uma política de segurança de gateway, conclua as etapas de configuração inicial a seguir:
- Receber papéis e permissões do Identity and Access Management (IAM)
- Criar um Google Cloud projeto
- Ative o faturamento para o projeto do Google Cloud .
Depois de criar uma política, você pode criar regras e adicioná-las à política. Para mais informações sobre como associar uma política à sua instância do Secure Web Proxy, consulte Configurar um proxy da Web.
Console
No console do Google Cloud , acesse a página Políticas de SWP.
Clique em Criar uma política.
Insira um nome para a política que você quer criar, como
policy1.Insira uma descrição da política, como
My new swp policy.Na lista Regiões, selecione a região em que você quer criar a política, como
us-central1.Se você quiser criar regras para sua política, clique em Adicionar regra. Para mais informações, consulte Criar uma regra do Secure Web Proxy.
Clique em Criar.
Cloud Shell
Use o editor de texto de sua preferência para criar um arquivo
policy.yaml.Adicione o seguinte ao arquivo
policy.yamlque você criou:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Substitua:
PROJECT_ID: ID do projetoREGION: região em que a política é criada, comous-central1
Crie a política do Secure Web Proxy.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
A seguir
- Regras de segurança
- Implantar o Secure Web Proxy como um serviço do Private Service Connect
- Implantar o Secure Web Proxy como próximo salto