Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Visão geral do Secure Web Proxy

O Secure Web Proxy ajuda a proteger todo o tráfego de saída da Web (HTTP e HTTPS) da rede interna da sua organização. Quando você configura seus clientes para usar explicitamente o Secure Web Proxy como um gateway, ele se torna um checkpoint de segurança obrigatório para qualquer aplicativo ou serviço que tente acessar um site fora da sua organização.

Benefícios

O Secure Web Proxy oferece os seguintes benefícios principais:

Manutenção zero. Depois de definir suas políticas, o Secure Web Proxy gerencia seus servidores, patches e escalonamento para ajustar automaticamente a capacidade à medida que o tráfego aumenta.
Regras flexíveis e reutilizáveis. Com o Secure Web Proxy, as políticas de segurança são separadas do proxy. Para garantir um gerenciamento consistente, os administradores criam um conjunto de regras de acesso e o aplicam a vários proxies em diferentes partes da organização.
Segurança padrão forte. O Secure Web Proxy tem uma configuração padrão deny-all que bloqueia todo o tráfego de saída até que você o permita explicitamente. Google Cloud Ele processa automaticamente todas as atualizações de software e infraestrutura, o que minimiza o risco contínuo de vulnerabilidades de segurança.
Controle de acesso baseado na identidade. Como o Secure Web Proxy verifica de onde uma solicitação está vindo (o endereço IP) e quem está fazendo a solicitação (a identidade do usuário ou do serviço), o acesso é baseado na função e na necessidade do usuário, não apenas no local da rede. O Secure Web Proxy permite criar regras altamente específicas, como "Somente membros da equipe de finanças podem acessar este site bancário".
Registro e auditoria de tráfego unificados. Todo o tráfego da Web que passa pelo Secure Web Proxy é registrado e auditado centralmente no Google Cloud. Essa única fonte de verdade clara para todo o acesso de saída ajuda a rastrear atividades, investigar incidentes de segurança e atender aos requisitos de compliance.
Controle de acesso. O Secure Web Proxy encaminha todas as solicitações da Web (como visitar um site) dos computadores em nuvem e escritórios conectados para passar por um ponto de inspeção central.
Gerenciamento de portas simplificado. Você pode detectar opcionalmente todas as portas (de 1 a 65535) ao implantar a instância do Secure Web Proxy como próximo salto. Essa funcionalidade elimina a necessidade de enumerar portas específicas e é útil para ambientes dinâmicos ou serviços que usam várias portas. Para informações sobre as limitações relacionadas ao uso do recurso all_ports, consulte Limitações.

Recursos compatíveis

O Secure Web Proxy oferece suporte aos seguintes recursos:

Proxies do Envoy do Secure Web Proxy com escalonamento automático: o Secure Web Proxy oferece suporte ao ajuste automático do tamanho do pool de proxies do Envoy e da capacidade do pool em uma região, o que permite um desempenho consistente durante períodos de alta demanda com o menor custo. O recurso de escalonamento automático gerencia automaticamente os ajustes de capacidade em uma região. Isso significa que você não precisa monitorar e redimensionar manualmente sua frota de proxies, garantindo um melhor desempenho com menos tempo operacional.
Políticas de acesso de saída modulares: o Secure Web Proxy gerencia o tráfego de saída pelas seguintes ações:
- Identifica entidades de origem usando tags seguras, contas de serviço ou endereços IP.
- Filtra os destinos por nomes de host ou URLs quando você ativa a inspeção TLS ou usa HTTP não criptografado.
- Avalia atributos de solicitação, como métodos, cabeçalhos ou URLs, se o tráfego for HTTP não criptografado ou se a inspeção TLS estiver ativada.
Essa natureza modular das políticas (origens, destinos e solicitações) permite que várias equipes criem e gerenciem componentes de regras específicos e reutilizáveis. Um administrador central pode definir uma lista de URLs que vários proxies podem referenciar em suas políticas distintas.
Criptografia de ponta a ponta: os túneis de proxy do cliente podem transitar por TLS. O Secure Web Proxy também oferece suporte a CONNECT HTTP e HTTPS para conexões TLS de ponta a ponta iniciadas pelo cliente com o servidor de destino.

Essa medida de segurança crucial é gerenciada automaticamente pelo serviço para que o tráfego seja protegido sem exigir a configuração ou o monitoramento manual dos padrões de criptografia.
Integração dos Registros de auditoria do Cloud e do Google Cloud Observability: ao usar o Google Cloud Observability, os Registros de auditoria do Cloud registram ações administrativas (mudanças de política) e solicitações e métricas de acesso (registros de transações de proxy) para o Secure Web Proxy. Essa visualização unificada e integrada facilita o monitoramento de segurança e a geração de relatórios de compliance.

Como o Secure Web Proxy funciona

O Secure Web Proxy atua como um checkpoint de segurança obrigatório para todo o tráfego da Web da rede da sua organização para a Internet. As cargas de trabalho internas precisam obedecer às regras de segurança do Secure Web Proxy antes de poderem acessar a Internet.

Gateway centralizado: suas cargas de trabalho, como máquinas virtuais (VMs) e contêineres, são configuradas para enviar todas as solicitações da Web de saída para a instância central do Secure Web Proxy.
Aplicação de políticas: o proxy inspeciona a solicitação e aplica suas políticas de segurança granulares para determinar se a conexão será permitida ou negada.
Tráfego de saída seguro: se a solicitação for permitida, o tráfego será encaminhado com segurança para a Internet usando a Google Cloud infraestrutura, normalmente o Cloud NAT. O proxy também usa o Cloud DNS para resolver endereços da Web externos.

Políticas do Secure Web Proxy

Uma política do Secure Web Proxy define o padrão de segurança geral para uma região específica ou um conjunto de cargas de trabalho, porque é o contêiner principal que armazena todas as instruções de segurança.

Confira os principais recursos de uma política do Secure Web Proxy:

A configuração padrão de uma política é negar todo o tráfego de saída, o que garante que nenhuma solicitação da Web saia da sua rede, a menos que você permita especificamente.
É possível criar uma única política e reutilizá-la em várias instâncias do Secure Web Proxy, o que mantém as regras de segurança consistentes e eficientes.

Para mais informações sobre as políticas do Secure Web Proxy, consulte Visão geral das políticas.

Regras do Secure Web Proxy

Em cada política do Secure Web Proxy, há uma ou mais regras do Secure Web Proxy. Essas regras são as instruções individuais que determinam exatamente qual tráfego será permitido, negado ou registrado.

Confira os principais recursos das regras do Secure Web Proxy:

Cada regra é uma instrução if-then altamente específica que verifica uma solicitação da Web em relação a vários critérios:
- Quem está perguntando: a identidade de origem, como uma VM ou conta de serviço específica
- Para onde eles estão tentando ir: o URL de destino ou domínio, como trusted-partner.com
- Qual ação precisa ser realizada: permitir ou negar o tráfego
As regras do Secure Web Proxy oferecem controle granular, permitindo que você aplique diferentes padrões de segurança para diferentes partes da sua organização usando definições claras e estruturadas.

Para mais informações sobre as regras do Secure Web Proxy, consulte Visão geral das regras.

Modos de implantação

Esta seção descreve os vários modos em que você pode implantar o Secure Web Proxy.

Modo de roteamento de proxy explícito

Nesse modo, você precisa configurar explicitamente os ambientes e clientes de carga de trabalho para apontar diretamente para o servidor proxy. O Secure Web Proxy isola seus clientes da Internet. Dessa forma, o Secure Web Proxy atua como um intermediário, estabelecendo novas conexões TCP para o cliente e garantindo que cada conexão atenda aos requisitos da política de segurança administrada. Para mais informações sobre como implantar o modo de roteamento de proxy explícito, consulte Criar e implantar uma instância do Secure Web Proxy.

O diagrama a seguir mostra o papel do Secure Web Proxy como um gateway centralizado, obrigatório para o tráfego que sai do Google Cloud ambiente:

Implante o Secure Web Proxy no modo de roteamento de proxy explícito. — Implante o Secure Web Proxy no modo de roteamento de proxy explícito (clique para ampliar).

Modo de anexo de serviço do Private Service Connect

Com esse modo, é possível centralizar as implantações de proxy da Web em uma arquitetura complexa de várias nuvens privadas virtuais (VPCs). Para centralizar a implantação do Secure Web Proxy quando há várias redes, use Network Connectivity Center.

Ao tentar escalonar a implantação com o Network Connectivity Center, há alguns limites. Ao implantar o Secure Web Proxy como um anexo de serviço do Private Service Connect, é possível resolver essas limitações relacionadas ao escalonamento.

Conforme mostrado no diagrama a seguir, esse modo de implantação cria um padrão de hub e spoke. Nessa implantação, o Secure Web Proxy (o hub) gerencia o tráfego de saída para cargas de trabalho em todas as redes VPC conectadas (os spokes). Para mais informações, consulte Implantar o Secure Web Proxy como um anexo de serviço.

Implante o Secure Web Proxy como um anexo de serviço do Private Service Connect. — Implante o Secure Web Proxy como um anexo de serviço do Private Service Connect (clique para ampliar).

Modo de próximo salto

Nesse modo, é possível configurar a implantação do Secure Web Proxy para atuar como um próximo salto para o roteamento na sua rede. Em outras palavras, é possível configurar o roteamento de rede para enviar automaticamente o tráfego de saída para a instância do Secure Web Proxy. Esse método de implantação reduz a sobrecarga administrativa da sua organização porque não é necessário configurar manualmente cada carga de trabalho ou cliente de origem para usar o proxy.

Para mais informações, consulte Implantar o Secure Web Proxy como próximo salto.

Limitações

Versões de IP: o Secure Web Proxy oferece suporte apenas a IPv4. O IPv6 não é compatível.
Versões HTTP: o Secure Web Proxy oferece suporte às versões HTTP/0.9, 1.0, 1.1 e 2.0. O HTTP/3 não é compatível.
Escopo de implantação: as instâncias do Secure Web Proxy só podem ser implantadas em um projeto host, não em um projeto de serviço.

Outras Google Cloud ferramentas a serem consideradas

É possível integrar o Secure Web Proxy com as seguintes Google Cloud ferramentas para melhorar a postura geral de segurança das cargas de trabalho e aplicativos:

Use Google Cloud Armor para proteger Google Cloud implantações contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques a aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique regras de firewall da VPC para proteger conexões de ou para suas instâncias de VM.
Implemente o VPC Service Controls para evitar a exfiltração de dados de Google Cloud serviços, como o Cloud Storage e o BigQuery.
Use Cloud NAT para ativar a conectividade de saída não segura da Internet para determinados Google Cloud recursos sem um endereço IP externo.

Visão geral do Secure Web Proxy Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.