Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica di Secure Web Proxy

Secure Web Proxy ti aiuta a proteggere tutto il traffico web in uscita, HTTP e HTTPS, dalla rete interna della tua organizzazione. Quando configuri i client per utilizzare esplicitamente Secure Web Proxy come gateway, Secure Web Proxy è un punto di controllo di sicurezza obbligatorio per qualsiasi applicazione o servizio che tenta di accedere a un sito web al di fuori della tua organizzazione.

Vantaggi

Secure Web Proxy offre i seguenti vantaggi principali:

Nessuna manutenzione. Dopo aver impostato i criteri, Secure Web Proxy gestisce i server, le patch e la scalabilità per regolare automaticamente la capacità man mano che il traffico aumenta.
Regole flessibili e riutilizzabili. Con Secure Web Proxy, le norme di sicurezza sono separate dal proxy stesso. Per garantire una gestione coerente, gli amministratori creano un insieme di regole di accesso e le applicano a più proxy in diverse parti dell'organizzazione.
Sicurezza predefinita efficace. Secure Web Proxy ha un'impostazione deny-all predefinita che blocca tutto il traffico in uscita finché non lo consenti esplicitamente. Google Cloud Gestisce automaticamente tutti gli aggiornamenti software e dell'infrastruttura, il che riduce al minimo il rischio continuo di vulnerabilità della sicurezza.
Controllo dell'accesso basato sull'identità. Poiché Secure Web Proxy controlla da dove proviene una richiesta (l'indirizzo IP) e chi la sta effettuando (l'identità dell'utente o del servizio), l'accesso si basa sul ruolo e sulle esigenze dell'utente, non solo sulla posizione di rete. L'identità può essere un service account, un tag sicuro o qualsiasi identità fornita da un certificato client verificato tramite mTLS frontend. Secure Web Proxy consente di creare regole molto specifiche, ad esempio "Solo i membri del team Finanze possono accedere a questo sito web bancario".
Logging e controllo del traffico unificati. Tutto il traffico web che passa attraverso Secure Web Proxy viene registrato e controllato centralmente in Google Cloud. Questa unica e chiara fonte attendibile per tutti gli accessi in uscita ti aiuta a monitorare l'attività, esaminare gli incidenti di sicurezza e soddisfare i requisiti di conformità.
Ispezione centralizzata. Secure Web Proxy consolida le richieste web in uscita dai tuoi workload cloud e dagli uffici connessi in un unico punto di ispezione per l'applicazione coerente dei criteri.
Gestione semplificata delle porte. Se vuoi, puoi ascoltare su tutte le porte (da 1 a 65535) quando esegui il deployment dell'istanza di Secure Web Proxy come hop successivo. Questa funzionalità elimina la necessità di enumerare porte specifiche ed è utile per ambienti dinamici o servizi che utilizzano più porte. Per informazioni sulle limitazioni relative all'utilizzo della funzionalità all_ports, vedi Limitazioni.

Funzionalità supportate

Secure Web Proxy supporta le seguenti funzionalità:

Proxy Envoy Secure Web Proxy con scalabilità automatica: Secure Web Proxy supporta la regolazione automatica delle dimensioni del pool di proxy Envoy e della capacità del pool in una regione, il che consente prestazioni coerenti durante i periodi di forte domanda al costo più basso. La funzionalità di scalabilità automatica gestisce automaticamente gli aggiustamenti della capacità in una regione. Ciò significa che non devi monitorare e ridimensionare manualmente il parco risorse di proxy, garantendo prestazioni migliori con meno tempo operativo.
Policy di accesso in uscita modulari: Secure Web Proxy gestisce il traffico in uscita tramite le seguenti azioni:
- Identifica le entità di origine utilizzando tag sicuri, service account, indirizzi IP o identità dei certificati client verificati crittograficamente con mTLS frontend.
- Filtra le destinazioni in base ai nomi host o agli URL quando abiliti l'ispezione TLS o utilizzi HTTP non criptato.
- Valuta gli attributi della richiesta, come metodi, intestazioni o URL, se il traffico è HTTP non criptato o se l'ispezione TLS è abilitata.
Questa natura modulare dei criteri (origini, destinazioni e richieste) consente a vari team di creare e gestire componenti di regole specifici e riutilizzabili. Un amministratore centrale può definire un elenco di URL a cui più proxy possono fare riferimento nei loro criteri distinti.
Crittografia end-to-end: i tunnel client-proxy possono transitare su TLS. Secure Web Proxy supporta anche HTTP e HTTPS CONNECT per connessioni TLS end-to-end avviate dal client al server di destinazione.

Questa importante misura di sicurezza viene gestita automaticamente dal servizio in modo che il traffico sia protetto senza richiedere la configurazione manuale o il monitoraggio degli standard di crittografia.
Integrazione di Cloud Audit Logs e Google Cloud Observability: utilizzando Google Cloud Observability, Cloud Audit Logs registra sia le azioni amministrative (modifiche alle norme) sia le richieste di accesso e le metriche (log delle transazioni proxy) per Secure Web Proxy. Questa visualizzazione unificata e integrata facilita il monitoraggio della sicurezza e la generazione di report di conformità.
Accesso globale: Secure Web Proxy offre la possibilità di attivare l'accesso globale quando crei un'istanza proxy. Utilizzando questa funzionalità, puoi consentire ai client di qualsiasi Google Cloud regione di connettersi al proxy anziché solo ai client di una regione locale specifica. Questa funzionalità migliora la resilienza dell'infrastruttura e supporta i casi d'uso tra regioni, ad esempio i requisiti di traffico in uscita personalizzati. Per maggiori informazioni, vedi Configurare l'accesso globale per Secure Web Proxy.

Come funziona Secure Web Proxy

Secure Web Proxy funge da checkpoint di sicurezza obbligatorio per tutto il traffico web dalla rete della tua organizzazione a internet. I workload interni devono rispettare le regole di sicurezza di Secure Web Proxy prima di poter raggiungere internet.

Gateway centralizzato: i tuoi carichi di lavoro, come macchine virtuali (VM) e container, sono configurati per inviare tutte le richieste web in uscita all'istanza centrale di Secure Web Proxy.
Applicazione dei criteri: il proxy esamina la richiesta e applica i criteri di sicurezza per determinare se consentire o negare la connessione.
Traffico in uscita sicuro: se la richiesta è consentita, il traffico viene instradato in modo sicuro a internet utilizzando l'infrastruttura Google Cloud, in genere Cloud NAT. Il proxy utilizza anche Cloud DNS per risolvere gli indirizzi web esterni.

Norme e regole

Puoi configurare le seguenti policy e regole nell'istanza di Secure Web Proxy:

Policy di autorizzazione: queste policy ti consentono di stabilire controlli di accesso basati sull'identità o sulla destinazione durante l'elaborazione delle richieste in uscita tramite l'istanza Secure Web Proxy. Puoi configurare le norme di autorizzazione (AuthzPolicy) per convalidare l'identità di un workload o di un agente di origine che accede a internet.
Criteri di sicurezza del gateway: questi criteri definiscono lo standard di sicurezza complessivo per un gateway specifico. Un criterio di sicurezza del gateway è il contenitore principale per le tue istruzioni di sicurezza.
Regole di sicurezza del gateway: all'interno di ogni policy di sicurezza del gateway, puoi aggiungere una o più regole di sicurezza del gateway. Queste regole sono le singole istruzioni che consentono o negano il traffico in base a vari criteri.

Modalità di deployment

Puoi eseguire il deployment dell'istanza di Secure Web Proxy in una delle seguenti modalità:

Modalità di routing proxy esplicito: in questa modalità, devi configurare esplicitamente gli ambienti e i client dei tuoi workload in modo che puntino direttamente al server proxy. Secure Web Proxy isola quindi i client da internet. In questo modo, Secure Web Proxy funge da intermediario, stabilendo nuove connessioni TCP per il client e garantendo che ogni connessione soddisfi i requisiti della policy di sicurezza gestita.
Modalità di collegamento del servizio Private Service Connect: in questa modalità, puoi centralizzare i deployment del proxy web in un'architettura multi-VPC complessa.
Modalità hop successivo: in questa modalità, puoi configurare l'istanza di Secure Web Proxy in modo che funga da hop successivo per il routing nella tua rete. In altre parole, puoi configurare il routing di rete in modo da inviare automaticamente il traffico in uscita all'istanza Secure Web Proxy. Questo metodo di deployment riduce il sovraccarico amministrativo della tua organizzazione perché non devi configurare manualmente ogni workload o client di origine per utilizzare il proxy.

Limitazioni

Versioni IP: Secure Web Proxy supporta solo IPv4; IPv6 non è supportato.
Versioni HTTP: Secure Web Proxy supporta le versioni HTTP/0.9, 1.0, 1.1 e 2.0. HTTP/3 non è supportato.
Ambito di deployment: puoi eseguire il deployment di un'istanza di Secure Web Proxy solo in un progetto host, non in un progetto di servizio.

Altri Google Cloud strumenti da considerare

Puoi integrare Secure Web Proxy con i seguenti strumenti Google Cloud per migliorare la postura di sicurezza complessiva dei tuoi carichi di lavoro e delle tue applicazioni:

Utilizza mutual TLS frontend (mTLS) per consentire a Secure Web Proxy di configurare identità client convalidate nei criteri di autorizzazione e applicare controllo dell'accesso granulare per il traffico in uscita.
Utilizza Certificate Manager per gestire i trust anchor (certificati radice) e le CA intermedie richieste per convalidare i certificati client nelle connessioni mTLS frontend a Secure Web Proxy.
Implementa i Controlli di servizio VPC per impedire l'esfiltrazione di dati dai servizi Google Cloud , come Cloud Storage e BigQuery.

Panoramica di Secure Web Proxy Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.