Secure Web Proxy te ayuda a proteger todo el tráfico web saliente (HTTP y HTTPS) de la red interna de tu organización. Cuando configuras tus clientes para que utilicen explícitamente Secure Web Proxy como puerta de enlace, Secure Web Proxy es un punto de control de seguridad obligatorio para cualquier aplicación o servicio que intente acceder a un sitio web fuera de tu organización.
Beneficios
Secure Web Proxy proporciona los siguientes beneficios clave:
No requieren mantenimiento. Después de que configures tus políticas, Secure Web Proxy administrará tus servidores, las actualizaciones y el escalamiento para ajustar automáticamente la capacidad a medida que aumente tu tráfico.
Reglas flexibles y reutilizables. Con Secure Web Proxy, las políticas de seguridad están separadas del proxy en sí. Para garantizar una administración coherente, los administradores crean un conjunto de reglas de acceso y las aplican a varios proxies en diferentes partes de la organización.
Seguridad predeterminada sólida Secure Web Proxy tiene un parámetro de configuración
deny-allpredeterminado que bloquea todo el tráfico saliente hasta que lo permites de forma explícita. Google Cloud Maneja automáticamente todas las actualizaciones de software y de infraestructura, lo que minimiza el riesgo continuo de vulnerabilidades de seguridad.Control de acceso adaptado a la identidad. Debido a que Secure Web Proxy verifica desde dónde proviene una solicitud (la dirección IP) y quién la realiza (la identidad del usuario o del servicio), el acceso se basa en el rol y la necesidad del usuario, no solo en la ubicación de la red. La identidad puede ser una cuenta de servicio, una etiqueta segura o cualquier identidad proporcionada por un certificado de cliente que se verifique con mTLS de frontend. Secure Web Proxy te permite crear reglas muy específicas, como "Solo los miembros del equipo de Finanzas pueden acceder a este sitio web bancario".
Registro y auditoría unificados del tráfico Todo el tráfico web que pasa por Secure Web Proxy se registra y audita de forma centralizada en Google Cloud. Esta fuente única y clara de información para todo el acceso saliente te ayuda a hacer un seguimiento de la actividad, investigar incidentes de seguridad y cumplir con los requisitos de cumplimiento.
Inspección centralizada Secure Web Proxy consolida las solicitudes web salientes de tus cargas de trabajo en la nube y las oficinas conectadas en un solo punto de inspección para la aplicación coherente de políticas.
Administración de puertos simplificada De manera opcional, puedes escuchar en todos los puertos (del
1al65535) cuando implementes tu instancia del Proxy web seguro como próximo salto. Esta funcionalidad elimina la necesidad de enumerar puertos específicos y es útil para entornos dinámicos o servicios que usan varios puertos. Para obtener información sobre las limitaciones relacionadas con el uso de la funciónall_ports, consulta Limitaciones.
Funciones admitidas
Secure Web Proxy admite las siguientes funciones:
Ajuste de escala automático de proxies de Envoy de Secure Web Proxy: Secure Web Proxy admite el ajuste automático del tamaño del grupo de proxies de Envoy y la capacidad del grupo en una región, lo que permite un rendimiento coherente durante los períodos de alta demanda al menor costo. La función de ajuste de escala automático administra automáticamente los ajustes de capacidad en una región. Esto significa que no tienes que supervisar ni cambiar el tamaño de tu flota de proxies de forma manual, lo que garantiza un mejor rendimiento con menos tiempo operativo.
Políticas de acceso saliente modulares: Secure Web Proxy administra el tráfico saliente a través de las siguientes acciones:
- Identifica entidades de origen con etiquetas seguras, cuentas de servicio, direcciones IP o identidades de certificados de cliente que se verificaron de forma criptográfica con mTLS de frontend.
- Filtra los destinos por nombres de host o URLs cuando habilitas la inspección de TLS o usas HTTP sin encriptar.
- Evalúa los atributos de la solicitud, como métodos, encabezados o URLs, si el tráfico es HTTP sin encriptar o si la inspección de TLS está habilitada.
Esta naturaleza modular de las políticas (fuentes, destinos y solicitudes) permite que varios equipos creen y administren componentes de reglas específicos y reutilizables. Un administrador central puede definir una lista de URLs a la que varios proxies pueden hacer referencia en sus políticas distintas.
Encriptación de extremo a extremo: Los túneles de proxy-cliente pueden transitar a través de TLS. Secure Web Proxy también admite
CONNECTHTTP y HTTPS para conexiones TLS de extremo a extremo iniciadas por el cliente al servidor de destino.El servicio administra automáticamente esta medida de seguridad crucial para que el tráfico esté protegido sin necesidad de configurar o supervisar manualmente los estándares de encriptación.
Integración de los registros de auditoría de Cloud y Google Cloud Observability: Con Google Cloud Observability, los registros de auditoría de Cloud registran las acciones administrativas (cambios en las políticas) y las solicitudes de acceso y las métricas (registros de transacciones de proxy) para Secure Web Proxy. Esta vista unificada integrada facilita la supervisión de la seguridad y la generación de informes de cumplimiento.
Acceso global: Secure Web Proxy ofrece la opción de habilitar el acceso global cuando se crea una instancia de proxy. Con esta función, puedes permitir que los clientes de cualquier Google Cloud región se conecten al proxy, en lugar de solo los clientes de una región local específica. Esta función mejora la resiliencia de la infraestructura y admite casos de uso en varias regiones, como los requisitos de tráfico saliente personalizados. Para obtener más información, consulta Cómo configurar el acceso global para el Proxy web seguro.
Cómo funciona el proxy web seguro
Secure Web Proxy actúa como un punto de control de seguridad obligatorio para todo el tráfico web de la red de tu organización a Internet. Las cargas de trabajo internas deben cumplir con las reglas de seguridad de Secure Web Proxy antes de poder acceder a Internet.
Puerta de enlace centralizada: Tus cargas de trabajo, como las máquinas virtuales (VMs) y los contenedores, están configuradas para enviar todas las solicitudes web salientes a la instancia central de Secure Web Proxy.
Aplicación de políticas: El proxy inspecciona la solicitud y aplica tus políticas de seguridad para determinar si se permite o rechaza la conexión.
Protege el tráfico saliente: Si se permite la solicitud, el tráfico se enruta de forma segura a Internet a través de la infraestructura de Google Cloud, generalmente Cloud NAT. El proxy también usa Cloud DNS para resolver direcciones web externas.
Políticas y reglas
Puedes configurar las siguientes políticas y reglas en tu instancia de Secure Web Proxy:
Políticas de autorización: Estas políticas te permiten establecer verificaciones de control de acceso basadas en la identidad o el destino cuando procesas solicitudes salientes a través de tu instancia de Secure Web Proxy. Puedes configurar políticas de autorización (
AuthzPolicy) para validar la identidad de una carga de trabajo o un agente de origen que accede a Internet.Políticas de seguridad de la puerta de enlace: Estas políticas definen el estándar de seguridad general para una puerta de enlace específica. Una política de seguridad de la puerta de enlace es el contenedor principal de tus instrucciones de seguridad.
Reglas de seguridad de la puerta de enlace: En cada política de seguridad de la puerta de enlace, puedes agregar una o más reglas de seguridad de la puerta de enlace. Estas reglas son las instrucciones individuales que permiten o deniegan el tráfico según varios criterios.
Modos de Deployment
Puedes implementar tu instancia de Secure Web Proxy en cualquiera de los siguientes modos:
Modo de enrutamiento de proxy explícito: En este modo, debes configurar de forma explícita tus entornos y clientes de carga de trabajo para que apunten directamente al servidor proxy. Luego, Secure Web Proxy aísla a tus clientes de Internet. De esta manera, Secure Web Proxy actúa como intermediario, ya que establece nuevas conexiones TCP para el cliente y garantiza que cada conexión cumpla con los requisitos de la política de seguridad administrada.
Modo de adjunto de servicio de Private Service Connect: En este modo, puedes centralizar tus implementaciones de proxy web en una arquitectura compleja de varias VPC.
Modo de próximo salto: En este modo, puedes configurar tu instancia de Secure Web Proxy para que actúe como próximo salto para el enrutamiento en tu red. En otras palabras, puedes configurar el enrutamiento de tu red para que envíe automáticamente el tráfico saliente a tu instancia de Secure Web Proxy. Este método de implementación reduce la sobrecarga administrativa de tu organización, ya que no tienes que configurar manualmente cada carga de trabajo o cliente de origen para que use el proxy.
Limitaciones
Versiones de IP: Secure Web Proxy solo admite IPv4; no se admite IPv6.
Versiones de HTTP: Secure Web Proxy admite las versiones HTTP/0.9, 1.0, 1.1 y 2.0. HTTP/3 no es compatible.
Alcance de la implementación: Solo puedes implementar una instancia de Secure Web Proxy en un proyecto host, no en un proyecto de servicio.
Herramientas Google Cloud adicionales para tener en cuenta
Puedes integrar Secure Web Proxy con las siguientes Google Cloud herramientas para mejorar la postura de seguridad general de tus cargas de trabajo y aplicaciones:
Usa la TLS mutua de frontend (mTLS) para permitir que Secure Web Proxy configure identidades de cliente validadas en las políticas de autorización y aplique un control de acceso detallado para el tráfico saliente.
Usa Certificate Manager para administrar las anclas de confianza (certificados raíz) y las AC intermedias necesarias para validar los certificados de cliente en las conexiones mTLS de frontend a Secure Web Proxy.
Implementa los Controles del servicio de VPC para evitar el robo de datos de los servicios de Google Cloud , como Cloud Storage y BigQuery.