Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica di Secure Web Proxy

Secure Web Proxy ti aiuta a proteggere tutto il traffico web in uscita (HTTP e HTTPS) dalla rete interna della tua organizzazione. Quando configuri i client in modo che utilizzino esplicitamente Secure Web Proxy come gateway, Secure Web Proxy è un checkpoint di sicurezza obbligatorio per qualsiasi applicazione o servizio che tenti di accedere a un sito web al di fuori della tua organizzazione.

Vantaggi

Secure Web Proxy offre i seguenti vantaggi principali:

Nessuna manutenzione. Dopo aver impostato i criteri, Secure Web Proxy gestisce i server, le patch e lo scaling per regolare automaticamente la capacità man mano che il traffico aumenta.
Regole flessibili e riutilizzabili. Con Secure Web Proxy, i criteri di sicurezza sono separati dal proxy stesso. Per garantire una gestione coerente, gli amministratori creano un insieme di regole di accesso e lo applicano a più proxy in diverse parti dell'organizzazione.
Sicurezza predefinita efficace. Secure Web Proxy ha un'impostazione predefinita deny-all che blocca tutto il traffico in uscita finché non lo consenti esplicitamente. Google Cloud gestisce automaticamente tutti gli aggiornamenti software e dell'infrastruttura, il che riduce al minimo il rischio continuo di vulnerabilità della sicurezza.
Controllo dell'accesso basato sull'identità. Poiché Secure Web Proxy controlla sia da dove proviene una richiesta (l'indirizzo IP) sia chi sta effettuando la richiesta (l'identità dell'utente o del servizio), l'accesso si basa sul ruolo e sulle esigenze dell'utente, non solo sulla posizione di rete. Secure Web Proxy ti consente di creare regole molto specifiche, ad esempio "Solo i membri del team Finanze possono accedere a questo sito web bancario".
Logging e audit del traffico unificati. Tutto il traffico web che passa attraverso Secure Web Proxy viene registrato e sottoposto ad audit centralmente all'interno di Google Cloud. Questa singola fonte attendibile e chiara per tutti gli accessi in uscita ti aiuta a monitorare l'attività, esaminare gli incidenti di sicurezza e soddisfare i requisiti di conformità.
Controllo dell'accesso. Secure Web Proxy indirizza tutte le richieste web (ad esempio la visita di un sito web) dai computer cloud e dagli uffici connessi in modo che passino attraverso un punto di ispezione centrale.
Gestione semplificata delle porte. Puoi facoltativamente ascoltare tutte le porte (da 1 a 65535) quando esegui il deployment dell'istanza di Secure Web Proxy come hop successivo. Questa funzionalità elimina la necessità di enumerare porte specifiche ed è utile per ambienti o servizi dinamici che utilizzano più porte. Per informazioni sulle limitazioni relative all'utilizzo della funzionalità all_ports, vedi Limitazioni.

Funzionalità supportate

Secure Web Proxy supporta le seguenti funzionalità:

Proxy Envoy di Secure Web Proxy con scalabilità automatica: Secure Web Proxy supporta la regolazione automatica delle dimensioni del pool di proxy Envoy e della capacità del pool in una regione, il che consente prestazioni coerenti durante i periodi di elevata domanda al costo più basso. La funzionalità di scalabilità automatica gestisce automaticamente le regolazioni della capacità in una regione. Ciò significa che non devi monitorare e ridimensionare manualmente il parco risorse di proxy, garantendo prestazioni migliori con meno tempo operativo.
Criteri di accesso in uscita modulari: Secure Web Proxy gestisce il traffico in uscita tramite le seguenti azioni:
- Identifica le entità di origine utilizzando tag sicuri, account di servizio o indirizzi IP.
- Filtra i target di destinazione in base a nomi host o URL quando abiliti l'ispezione TLS o utilizzi HTTP non criptato.
- Valuta gli attributi della richiesta, come metodi, intestazioni o URL, se il traffico è HTTP non criptato o se l'ispezione TLS è abilitata.
Questa natura modulare dei criteri (origini, destinazioni e richieste) consente a vari team di creare e gestire componenti di regole specifici e riutilizzabili. Un amministratore centrale può definire un elenco di URL a cui più proxy possono fare riferimento nei rispettivi criteri.
Crittografia end-to-end: i tunnel client-proxy possono transitare su TLS. Secure Web Proxy supporta anche CONNECT HTTP e HTTPS per le connessioni TLS end-to-end avviate dal client al server di destinazione.

Questa misura di sicurezza cruciale viene gestita automaticamente dal servizio in modo che il traffico sia protetto senza richiedere la configurazione o il monitoraggio manuale degli standard di crittografia.
Integrazione di Cloud Audit Logs e Google Cloud Observability: utilizzando Google Cloud Observability, Cloud Audit Logs registra sia le azioni amministrative (modifiche dei criteri) sia le richieste di accesso e le metriche (log delle transazioni proxy) per Secure Web Proxy. Questa visualizzazione unificata e integrata facilita il monitoraggio della sicurezza e la generazione di report di conformità.

Come funziona Secure Web Proxy

Secure Web Proxy funge da checkpoint di sicurezza obbligatorio per tutto il traffico web dalla rete della tua organizzazione a internet. I carichi di lavoro interni devono rispettare le regole di sicurezza di Secure Web Proxy prima di poter raggiungere internet.

Gateway centralizzato: i carichi di lavoro, come le macchine virtuali (VM) e i container, sono configurati per inviare tutte le richieste web in uscita all'istanza centrale di Secure Web Proxy.
Applicazione dei criteri: il proxy ispeziona la richiesta e applica i criteri di sicurezza granulari per determinare se consentire o negare la connessione.
Traffico in uscita sicuro: se la richiesta è consentita, il traffico viene indirizzato in modo sicuro a internet utilizzando l' Google Cloud infrastruttura, in genere Cloud NAT. Il proxy utilizza anche Cloud DNS per risolvere gli indirizzi web esterni.

Criteri di Secure Web Proxy

Un criterio Secure Web Proxy definisce lo standard di sicurezza generale per una regione specifica o un insieme di carichi di lavoro, poiché è il container principale che memorizza tutte le istruzioni di sicurezza.

Ecco le funzionalità principali di un criterio Secure Web Proxy:

L'impostazione predefinita di un criterio è di negare tutto il traffico in uscita, il che garantisce che nessuna richiesta web lasci la rete a meno che tu non lo consenta in modo specifico.
Puoi creare un singolo criterio e riutilizzarlo in più istanze di Secure Web Proxy, il che garantisce la coerenza e l'efficienza delle regole di sicurezza.

Per ulteriori informazioni sui criteri di Secure Web Proxy, vedi Panoramica dei criteri.

Regole di Secure Web Proxy

All'interno di ogni criterio Secure Web Proxy sono presenti una o più regole Secure Web Proxy. Queste regole sono le singole istruzioni che determinano esattamente il traffico da consentire, negare o registrare.

Ecco le funzionalità principali delle regole di Secure Web Proxy:

Ogni regola è un'istruzione if-then molto specifica che controlla una richiesta web in base a più criteri:
- Chi sta chiedendo: l'identità di origine, ad esempio una VM o un account di servizio specifico
- Dove sta cercando di andare: l'URL o il dominio di destinazione, ad esempio trusted-partner.com
- Quale azione deve essere eseguita: consentire o negare il traffico
Le regole di Secure Web Proxy forniscono un controllo granulare, consentendoti di applicare standard di sicurezza diversi per diverse parti della tua organizzazione utilizzando definizioni chiare e strutturate.

Per ulteriori informazioni sulle regole di Secure Web Proxy, vedi Panoramica delle regole.

Modalità di deployment

Questa sezione descrive le varie modalità in cui puoi eseguire il deployment di Secure Web Proxy.

Modalità di routing proxy esplicito

In questa modalità, devi configurare esplicitamente gli ambienti e i client dei carichi di lavoro in modo che puntino direttamente al server proxy. Secure Web Proxy isola quindi i client da internet. In questo modo, Secure Web Proxy funge da intermediario, stabilendo nuove connessioni TCP per il client e garantendo che ogni connessione soddisfi i requisiti della policy di sicurezza gestita. Per ulteriori informazioni su come eseguire il deployment della modalità di routing proxy esplicito, vedi Creare ed eseguire il deployment di un'istanza di Secure Web Proxy.

Il seguente diagramma mostra il ruolo di Secure Web Proxy come gateway centralizzato, obbligatorio per il traffico in uscita dall' Google Cloud ambiente:

Esegui il deployment di Secure Web Proxy in modalità di routing proxy esplicito. — Esegui il deployment di Secure Web Proxy in modalità di routing proxy esplicito (fai clic per ingrandire).

Modalità di collegamento del servizio Private Service Connect

Con questa modalità, puoi centralizzare i deployment del proxy web in un'architettura complessa e multi-virtual private cloud (VPC). Per centralizzare il deployment di Secure Web Proxy quando sono presenti più reti, utilizza Network Connectivity Center.

Quando provi a scalare il deployment con Network Connectivity Center, esistono alcuni limiti. Eseguendo il deployment di Secure Web Proxy come collegamento del servizio Private Service Connect, puoi risolvere queste limitazioni relative allo scaling.

Come mostrato nel seguente diagramma, questa modalità di deployment crea un pattern hub-and-spoke. In questo deployment, Secure Web Proxy (l'hub) gestisce il traffico in uscita per i carichi di lavoro in tutte le reti VPC connesse (gli spoke). Per ulteriori informazioni, vedi Eseguire il deployment di Secure Web Proxy come collegamento del servizio.

Esegui il deployment di Secure Web Proxy come collegamento di servizio Private Service Connect. — Esegui il deployment di Secure Web Proxy come collegamento del servizio Private Service Connect (fai clic per ingrandire).

Modalità hop successivo

In questa modalità, puoi configurare il deployment di Secure Web Proxy in modo che funga da hop successivo per il routing nella rete. In altre parole, puoi configurare il routing di rete in modo che invii automaticamente il traffico in uscita all'istanza di Secure Web Proxy. Questo metodo di deployment riduce il sovraccarico amministrativo della tua organizzazione perché non devi configurare manualmente ogni carico di lavoro o client di origine per utilizzare il proxy.

Per ulteriori informazioni, vedi Eseguire il deployment di Secure Web Proxy come hop successivo.

Limitazioni

Versioni IP: Secure Web Proxy supporta solo IPv4, IPv6 non è supportato.
Versioni HTTP: Secure Web Proxy supporta le versioni HTTP/0.9, 1.0, 1.1 e 2.0 versioni. HTTP/3 non è supportato.
Ambito di deployment: le istanze di Secure Web Proxy possono essere sottoposte a deployment solo in un progetto host, non in un progetto di servizio.

Altri Google Cloud strumenti da considerare

Puoi integrare Secure Web Proxy con i seguenti Google Cloud strumenti per migliorare la postura di sicurezza complessiva dei carichi di lavoro e delle applicazioni:

Utilizza Google Cloud Armor per proteggere Google Cloud i deployment da più minacce, inclusi attacchi DDoS (distributed denial of service) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi).
Specifica le regole firewall VPC per proteggere le connessioni da o verso le istanze VM.
Implementa i Controlli di servizio VPC per impedire l'esfiltrazione di dati da Google Cloud servizi come Cloud Storage e BigQuery.
Utilizza Cloud NAT per abilitare la connettività internet in uscita non protetta per determinate Google Cloud risorse senza indirizzo IP esterno.

Panoramica di Secure Web Proxy Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.