Secure Web Proxy te ayuda a proteger todo el tráfico web saliente (HTTP y HTTPS) de la red interna de tu organización. Cuando configuras tus clientes para que utilicen explícitamente Secure Web Proxy como puerta de enlace, Secure Web Proxy es un punto de control de seguridad obligatorio para cualquier aplicación o servicio que intente acceder a un sitio web fuera de tu organización.
Beneficios
Secure Web Proxy proporciona los siguientes beneficios clave:
No requieren mantenimiento. Después de que configures tus políticas, Secure Web Proxy administrará tus servidores, las actualizaciones y el escalamiento para ajustar automáticamente la capacidad a medida que aumente tu tráfico.
Reglas flexibles y reutilizables. Con Secure Web Proxy, las políticas de seguridad están separadas del proxy en sí. Para garantizar una administración coherente, los administradores crean un conjunto de reglas de acceso y lo aplican a varios proxies en diferentes partes de la organización.
Seguridad predeterminada sólida: Secure Web Proxy tiene un parámetro de configuración
deny-allpredeterminado que bloquea todo el tráfico saliente hasta que lo permites de forma explícita. Google Cloud Maneja automáticamente todas las actualizaciones de software y de infraestructura, lo que minimiza el riesgo continuo de vulnerabilidades de seguridad.Control de acceso adaptado a la identidad Debido a que Secure Web Proxy verifica desde dónde proviene una solicitud (la dirección IP) y quién la realiza (la identidad del usuario o del servicio), el acceso se basa en el rol y la necesidad del usuario, no solo en la ubicación de la red. Secure Web Proxy te permite crear reglas muy específicas, como "Solo los miembros del equipo de Finanzas pueden acceder a este sitio web bancario".
Registro y auditoría unificados del tráfico Todo el tráfico web que pasa por Secure Web Proxy se registra y audita de forma centralizada en Google Cloud. Esta fuente única y clara de información para todo el acceso saliente te ayuda a hacer un seguimiento de la actividad, investigar incidentes de seguridad y cumplir con los requisitos de cumplimiento.
Control de acceso. Secure Web Proxy enruta todas las solicitudes web (como visitar un sitio web) desde tus computadoras en la nube y oficinas conectadas para que pasen por un punto de inspección central.
Administración de puertos simplificada De manera opcional, puedes escuchar en todos los puertos (del
1al65535) cuando implementes tu instancia del Proxy web seguro como próximo salto. Esta funcionalidad elimina la necesidad de enumerar puertos específicos y es útil para entornos dinámicos o servicios que usan varios puertos. Para obtener información sobre las limitaciones relacionadas con el uso de la funciónall_ports, consulta Limitaciones.
Funciones admitidas
Secure Web Proxy admite las siguientes funciones:
Ajuste de escala automático de proxies de Envoy de Secure Web Proxy: Secure Web Proxy admite el ajuste automático del tamaño del grupo de proxies de Envoy y la capacidad del grupo en una región, lo que permite un rendimiento coherente durante los períodos de alta demanda al menor costo. La función de ajuste de escala automático administra automáticamente los ajustes de capacidad en una región. Esto significa que no tienes que supervisar ni cambiar el tamaño de tu flota de proxies de forma manual, lo que garantiza un mejor rendimiento con menos tiempo de operación.
Políticas de acceso saliente modulares: Secure Web Proxy administra el tráfico saliente a través de las siguientes acciones:
- Identifica entidades de origen con etiquetas seguras, cuentas de servicio o direcciones IP.
- Filtra los destinos por nombres de host o URLs cuando habilitas la inspección de TLS o usas HTTP sin encriptar.
- Evalúa los atributos de la solicitud, como métodos, encabezados o URLs, si el tráfico es HTTP sin encriptar o si la inspección de TLS está habilitada.
Esta naturaleza modular de las políticas (fuentes, destinos y solicitudes) permite que varios equipos creen y administren componentes de reglas específicos y reutilizables. Un administrador central puede definir una lista de URLs a la que varios proxies pueden hacer referencia en sus políticas distintas.
Encriptación de extremo a extremo: Los túneles de proxy-cliente pueden transitar a través de TLS. Secure Web Proxy también admite HTTP y HTTPS
CONNECTpara conexiones TLS de extremo a extremo iniciadas por el cliente al servidor de destino.El servicio administra automáticamente esta medida de seguridad crucial para que el tráfico esté protegido sin necesidad de configurar o supervisar manualmente los estándares de encriptación.
Integración de los registros de auditoría de Cloud y Google Cloud Observability: Con Google Cloud Observability, los registros de auditoría de Cloud registran las acciones administrativas (cambios en las políticas) y las solicitudes y métricas de acceso (registros de transacciones de proxy) para Secure Web Proxy. Esta vista unificada integrada facilita la supervisión de la seguridad y la generación de informes de cumplimiento.
Cómo funciona el Proxy web seguro
Secure Web Proxy actúa como un punto de control de seguridad obligatorio para todo el tráfico web de la red de tu organización a Internet. Las cargas de trabajo internas deben cumplir con las reglas de seguridad de Secure Web Proxy antes de poder acceder a Internet.
Puerta de enlace centralizada: Tus cargas de trabajo, como las máquinas virtuales (VMs) y los contenedores, están configuradas para enviar todas las solicitudes web salientes a la instancia central de Secure Web Proxy.
Aplicación de políticas: El proxy inspecciona la solicitud y aplica tus políticas de seguridad detalladas para determinar si se permite o rechaza la conexión.
Protege el tráfico saliente: Si se permite la solicitud, el tráfico se enruta de forma segura a Internet a través de la infraestructura de Google Cloud, generalmente Cloud NAT. El proxy también usa Cloud DNS para resolver direcciones web externas.
Políticas del proxy web seguro
Una política de Secure Web Proxy define el estándar de seguridad general para una región o un conjunto de cargas de trabajo específicos, ya que es el contenedor principal que almacena todas tus instrucciones de seguridad.
Estas son las características clave de una política de Secure Web Proxy:
El parámetro de configuración predeterminado de una política es rechazar todo el tráfico saliente, lo que garantiza que ninguna solicitud web salga de tu red, a menos que lo permitas de forma específica.
Puedes crear una sola política y reutilizarla en varias instancias de Secure Web Proxy, lo que mantiene tus reglas de seguridad coherentes y eficientes.
Para obtener más información sobre las políticas de Secure Web Proxy, consulta la Descripción general de las políticas.
Reglas del Secure Web Proxy
Dentro de cada política de Secure Web Proxy, hay una o más reglas de Secure Web Proxy. Estas reglas son las instrucciones individuales que determinan exactamente qué tráfico se debe permitir, rechazar o registrar.
Estas son las funciones clave de las reglas de Secure Web Proxy:
Cada regla es una instrucción
if-thenmuy específica que verifica una solicitud web según varios criterios:Quién realiza la pregunta: La identidad de la fuente, como una VM o una cuenta de servicio específicas
A dónde intentan ir: la URL o el dominio de destino, como
trusted-partner.comQué acción se debe tomar: permitir o rechazar el tráfico
Las reglas de Secure Web Proxy proporcionan un control detallado, lo que te permite aplicar diferentes estándares de seguridad para diferentes partes de tu organización con definiciones claras y estructuradas.
Para obtener más información sobre las reglas de Secure Web Proxy, consulta la Descripción general de las reglas.
Modos de Deployment
En esta sección, se describen los distintos modos en los que puedes implementar Secure Web Proxy.
Modo de enrutamiento de proxy explícito
En este modo, debes configurar de forma explícita tus entornos y clientes de carga de trabajo para que apunten directamente al servidor proxy. Luego, Secure Web Proxy aísla a tus clientes de Internet. De esta manera, Secure Web Proxy actúa como intermediario, ya que establece nuevas conexiones TCP para el cliente y garantiza que cada conexión cumpla con los requisitos de la política de seguridad administrada. Para obtener más información sobre cómo implementar el modo de enrutamiento de proxy explícito, consulta Crea e implementa una instancia de Secure Web Proxy.
En el siguiente diagrama, se muestra el rol de Secure Web Proxy como una puerta de enlace centralizada y obligatoria para el tráfico que sale del entorno de Google Cloud :
Modo de adjunto del servicio de Private Service Connect
Con este modo, puedes centralizar tus implementaciones de proxy web en una arquitectura compleja de varias nubes privadas virtuales (VPC). Para centralizar tu implementación de Secure Web Proxy cuando hay varias redes, usa Network Connectivity Center.
Cuando intentas escalar tu implementación con Network Connectivity Center, existen algunos límites. Si implementas Secure Web Proxy como un adjunto de servicio de Private Service Connect, puedes resolver esas limitaciones relacionadas con el ajuste de escala.
Como se muestra en el siguiente diagrama, este modo de implementación crea un patrón de centro y radios. En esta implementación, Secure Web Proxy (el concentrador) administra el tráfico saliente de las cargas de trabajo en todas las redes de VPC conectadas (los radios). Para obtener más información, consulta Implementa el proxy web seguro como una vinculación de servicio.
Modo de próximo salto
En este modo, puedes configurar tu implementación de Secure Web Proxy para que actúe como próximo salto para el enrutamiento en tu red. En otras palabras, puedes configurar el enrutamiento de tu red para que envíe automáticamente el tráfico saliente a tu instancia de Secure Web Proxy. Este método de implementación reduce la sobrecarga administrativa de tu organización, ya que no tienes que configurar manualmente cada carga de trabajo o cliente de origen para que use el proxy.
Para obtener más información, consulta Implementa Secure Web Proxy como próximo salto.
Limitaciones
Versiones de IP: Secure Web Proxy solo admite IPv4, no IPv6.
Versiones de HTTP: Secure Web Proxy admite las versiones HTTP/0.9, 1.0, 1.1 y 2.0. No se admite HTTP/3.
Alcance de la implementación: Las instancias de Secure Web Proxy solo se pueden implementar en un proyecto host, no en un proyecto de servicio.
Herramientas Google Cloud adicionales para tener en cuenta
Puedes integrar Secure Web Proxy con las siguientes Google Cloud herramientas para mejorar la postura de seguridad general de tus cargas de trabajo y aplicaciones:
Usa Google Cloud Armor para proteger las implementaciones deGoogle Cloud contra varias amenazas, incluidos los ataques de denegación de servicio distribuido (DSD) y los ataques de aplicaciones, como las secuencia de comandos entre sitios (XSS) y la inyección de SQL (SQLi).
Especifica reglas de firewall de VPC para proteger las conexiones hacia o desde tus instancias de VM.
Implementa los Controles del servicio de VPC para evitar el robo de datos de los servicios de Google Cloud , como Cloud Storage y BigQuery.
Usa Cloud NAT para habilitar la conectividad saliente no segura a Internet para ciertos recursos Google Cloud sin una dirección IP externa.