Présentation de Secure Web Proxy

Secure Web Proxy vous aide à sécuriser l'ensemble du trafic Web sortant (HTTP et HTTPS) de votre réseau interne. Lorsque vous configurez vos clients pour qu'ils utilisent explicitement Secure Web Proxy comme passerelle, Secure Web Proxy devient un point de contrôle de sécurité obligatoire pour toute application ou tout service qui tente d'accéder à un site Web en dehors de votre organisation.

Avantages

Secure Web Proxy offre les principaux avantages suivants :

  • Aucune maintenance nécessaire. Une fois vos règles définies, Secure Web Proxy gère vos serveurs, vos correctifs et votre scaling pour ajuster automatiquement la capacité à mesure que votre trafic augmente.

  • Règles flexibles et réutilisables. Avec Secure Web Proxy, les règles de sécurité sont distinctes du proxy lui-même. Pour garantir une gestion cohérente, les administrateurs créent un ensemble de règles d'accès et l'appliquent à plusieurs proxys dans différentes parties de votre organisation.

  • Sécurité par défaut renforcée. Secure Web Proxy est doté d'un paramètre deny-all par défaut qui bloque tout le trafic sortant jusqu'à ce que vous l'autorisiez explicitement. Google Cloud gère automatiquement toutes les mises à jour logicielles et d'infrastructure, ce qui minimise le risque permanent de failles de sécurité.

  • Contrôle des accès selon l'identité. Étant donné que Secure Web Proxy vérifie à la fois d'où provient une requête (l'adresse IP) et qui la fait (l'identité de l'utilisateur ou du service), l'accès est basé sur le rôle et les besoins de l'utilisateur, et pas seulement sur l'emplacement réseau. Secure Web Proxy vous permet de créer des règles très spécifiques, telles que "Seuls les membres de l'équipe Finance peuvent accéder à ce site Web bancaire".

  • Journalisation et audit unifiés du trafic. Tout le trafic Web qui transite par Secure Web Proxy est journalisé et audité de manière centralisée dans Google Cloud. Cette source d'information unique et claire pour tous les accès sortants vous aide à suivre l'activité, à examiner les incidents de sécurité et à respecter les exigences de conformité.

  • Contrôle des accès. Secure Web Proxy achemine toutes les requêtes Web (comme la visite d'un site Web) de vos ordinateurs cloud et de vos bureaux connectés vers un point d'inspection central.

  • Gestion simplifiée des ports. Vous pouvez éventuellement écouter sur tous les ports (de 1 à 65535) lorsque vous déployez votre instance Secure Web Proxy en tant que saut suivant. Cette fonctionnalité élimine le besoin d'énumérer des ports spécifiques et est utile pour les environnements dynamiques ou les services qui utilisent plusieurs ports. Pour en savoir plus sur les limites liées à l'utilisation de la fonctionnalité all_ports, consultez la section Limites.

Fonctionnalités compatibles

Secure Web Proxy est compatible avec les fonctionnalités suivantes :

  • Autoscaling des proxys Envoy Secure Web Proxy : Secure Web Proxy permet d'ajuster automatiquement la taille du pool de proxys Envoy et la capacité du pool dans une région, ce qui garantit des performances cohérentes pendant les périodes de forte demande au coût le plus bas. La fonctionnalité d'autoscaling gère automatiquement les ajustements de capacité dans une région. Cela signifie que vous n'avez pas à surveiller et à redimensionner manuellement votre parc de proxys, ce qui garantit de meilleures performances avec moins de temps opérationnel.

  • Règles d'accès sortant modulaires : Secure Web Proxy gère le trafic sortant via les actions suivantes :

    • Identifie les entités sources à l'aide de tags sécurisés, de comptes de service ou d'adresses IP.
    • Filtre les cibles de destination par nom d'hôte ou URL lorsque vous activez l'inspection TLS ou utilisez HTTP non chiffré.
    • Évalue les attributs de requête tels que les méthodes, les en-têtes ou les URL si le trafic est HTTP non chiffré ou si l'inspection TLS est activée.

    Cette nature modulaire des règles (sources, destinations et requêtes) permet à différentes équipes de créer et de gérer des composants de règles spécifiques et réutilisables. Un administrateur central peut définir une liste d'URL que plusieurs proxys peuvent ensuite référencer dans leurs règles distinctes.

  • Chiffrement de bout en bout : les tunnels client-proxy peuvent transiter via TLS. Secure Web Proxy est également compatible avec HTTP et HTTPS CONNECT pour les connexions TLS de bout en bout initiées par le client vers le serveur de destination.

    Cette mesure de sécurité essentielle est gérée automatiquement par le service afin que le trafic soit sécurisé sans nécessiter de configuration ou de surveillance manuelle des normes de chiffrement.

  • Intégration de Cloud Audit Logs et de Google Cloud Observability : à l'aide de Google Cloud Observability, Cloud Audit Logs enregistre à la fois les actions administratives actions (modifications de règles) et les requêtes d'accès et métriques (journaux de transactions logs) pour Secure Web Proxy. Cette vue unifiée et intégrée facilite la surveillance de la sécurité et la création de rapports de conformité.

Fonctionnement de Secure Web Proxy

Secure Web Proxy agit comme un point de contrôle de sécurité obligatoire pour tout le trafic Web provenant du réseau de votre organisation vers Internet. Les charges de travail internes doivent respecter les règles de sécurité de Secure Web Proxy avant de pouvoir accéder à Internet.

  1. Passerelle centralisée : vos charges de travail, telles que les machines virtuelles (VM) et les conteneurs, sont configurées pour envoyer toutes les requêtes Web sortantes à l'instance Secure Web Proxy centrale.

  2. Application des règles : le proxy inspecte la requête et applique vos règles de sécurité précises pour déterminer s'il doit autoriser ou refuser la connexion.

  3. Trafic sortant sécurisé : si la requête est autorisée, le trafic est acheminé de manière sécurisée vers Internet à l'aide de l' Google Cloud infrastructure, généralement Cloud NAT. Le proxy utilise également Cloud DNS pour résoudre les adresses Web externes.

Règles Secure Web Proxy

Une règle Secure Web Proxy définit la norme de sécurité globale pour une région ou un ensemble de charges de travail spécifiques, car il s'agit du conteneur principal qui stocke toutes vos instructions de sécurité.

Voici les principales caractéristiques d'une règle Secure Web Proxy :

  • Le paramètre par défaut d'une règle consiste à refuser tout le trafic sortant, ce qui garantit qu'aucune requête Web ne quitte votre réseau, sauf si vous l'autorisez spécifiquement.

  • Vous pouvez créer une seule règle et la réutiliser sur plusieurs instances Secure Web Proxy, ce qui garantit la cohérence et l'efficacité de vos règles de sécurité.

Pour en savoir plus sur les règles Secure Web Proxy, consultez la section Présentation des règles.

Règles Secure Web Proxy

Chaque règle Secure Web Proxy contient une ou plusieurs règles Secure Web Proxy. Ces règles sont les instructions individuelles qui déterminent exactement le trafic à autoriser, à refuser ou à journaliser.

Voici les principales caractéristiques des règles Secure Web Proxy :

  • Chaque règle est une instruction if-then très spécifique qui vérifie une requête Web par rapport à plusieurs critères :

    • Qui demande : l'identité source, telle qu'une VM ou un compte de service spécifique

    • Où essaie-t-il d'aller : l'URL de destination ou le domaine, comme trusted-partner.com

    • Quelle action doit être effectuée : autoriser ou refuser le trafic

  • Les règles Secure Web Proxy offrent un contrôle précis, ce qui vous permet d'appliquer différentes normes de sécurité à différentes parties de votre organisation à l'aide de définitions claires et structurées.

Pour en savoir plus sur les règles Secure Web Proxy, consultez la section Présentation des règles.

Modes de déploiement

Cette section décrit les différents modes dans lesquels vous pouvez déployer Secure Web Proxy.

Mode de routage de proxy explicite

Dans ce mode, vous devez configurer explicitement vos environnements et clients de charge de travail pour qu'ils pointent directement vers le serveur proxy. Secure Web Proxy isole ensuite vos clients d'Internet. De cette façon, Secure Web Proxy agit comme un intermédiaire, en établissant de nouvelles connexions TCP pour le client et en veillant à ce que chaque connexion réponde aux exigences de la règle de sécurité administrée. Pour en savoir plus sur le déploiement du mode de routage de proxy explicite, consultez la section Créer et déployer une instance Secure Web Proxy.

Le schéma suivant illustre le rôle de Secure Web Proxy en tant que passerelle centralisée et obligatoire pour le trafic sortant de l' Google Cloud environnement :

Déployez Secure Web Proxy en mode de routage de proxy explicite.
Déployer Secure Web Proxy en mode de routage de proxy explicite (cliquez pour agrandir)

Mode de rattachement de service Private Service Connect

Avec ce mode, vous pouvez centraliser vos déploiements de proxy Web dans une architecture complexe à plusieurs clouds privés virtuels (VPC). Pour centraliser votre déploiement Secure Web Proxy lorsque plusieurs réseaux sont présents, utilisez Network Connectivity Center.

Lorsque vous essayez de faire évoluer votre déploiement avec Network Connectivity Center, certaines limites s'appliquent. En déployant Secure Web Proxy en tant que rattachement de service Private Service Connect, vous pouvez résoudre ces limites liées au scaling.

Comme illustré dans le diagramme suivant, ce mode de déploiement crée un modèle en étoile. Dans ce déploiement, Secure Web Proxy (le hub) gère le trafic sortant des charges de travail dans tous les réseaux VPC connectés (les spokes). Pour en savoir plus, consultez la section Déployer Secure Web Proxy en tant que rattachement de service.

Déployez Secure Web Proxy en tant que rattachement de service Private Service Connect.
Déployer Secure Web Proxy en tant que rattachement de service Private Service Connect (cliquez pour agrandir).

Mode de saut suivant

Dans ce mode, vous pouvez configurer votre déploiement Secure Web Proxy pour qu'il agisse comme un saut suivant pour le routage dans votre réseau. En d'autres termes, vous pouvez configurer le routage de votre réseau pour envoyer automatiquement le trafic sortant à votre instance Secure Web Proxy. Cette méthode de déploiement réduit la charge administrative de votre organisation, car vous n'avez pas à configurer manuellement chaque charge de travail ou client source pour qu'il utilise le proxy.

Pour en savoir plus, consultez la section Déployer Secure Web Proxy en tant que saut suivant.

Limites

  • Versions IP : Secure Web Proxy n'est compatible qu'avec IPv4, et non avec IPv6.

  • Versions HTTP : Secure Web Proxy est compatible avec les versions HTTP/0.9, 1.0, 1.1 et 2.0. HTTP/3 n'est pas compatible.

  • Étendue du déploiement : les instances Secure Web Proxy ne peuvent être déployées que dans un projet hôte, et non dans un projet de service.

Autres Google Cloud outils à envisager

Vous pouvez intégrer Secure Web Proxy aux outils suivants Google Cloud pour améliorer la sécurité globale de vos charges de travail et applications :

  • Utilisez Google Cloud Armor pour protéger Google Cloud les déploiements contre plusieurs menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et l'injection SQL (SQLi).

  • Spécifiez des règles de pare-feu VPC pour sécuriser les connexions vers ou depuis vos instances de VM.

  • Implémentez VPC Service Controls pour empêcher l'exfiltration de données à partir de Google Cloud services tels que Cloud Storage et BigQuery.

  • Utilisez Cloud NAT pour activer la connectivité Internet sortante non sécurisée pour certaines Google Cloud ressources sans adresse IP externe.

Étape suivante