Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Visão geral do Secure Web Proxy

O Secure Web Proxy ajuda a proteger todo o tráfego da Web de saída (HTTP e HTTPS) da rede interna da sua organização. Quando você configura seus clientes para usar explicitamente o Secure Web Proxy como um gateway, ele é um ponto de verificação de segurança obrigatório para qualquer aplicativo ou serviço que tente acessar um site fora da sua organização.

Vantagens

O Secure Web Proxy oferece os seguintes benefícios principais:

Manutenção zero. Depois de definir suas políticas, o Secure Web Proxy gerencia seus servidores, aplicando patches e escalonando para ajustar automaticamente a capacidade à medida que seu tráfego aumenta.
Regras flexíveis e reutilizáveis. Com o Secure Web Proxy, as políticas de segurança são separadas do proxy. Para garantir um gerenciamento consistente, os administradores criam um conjunto de regras de acesso e as aplicam a vários proxies em diferentes partes da organização.
Segurança padrão forte. O Secure Web Proxy tem uma configuração padrão deny-all que bloqueia todo o tráfego de saída até que você permita explicitamente. Google Cloud cuida automaticamente de todas as atualizações de software e infraestrutura, o que minimiza o risco contínuo de vulnerabilidades de segurança.
Controle de acesso baseado na identidade. Como o Secure Web Proxy verifica de onde vem uma solicitação (o endereço IP) e quem está fazendo a solicitação (o usuário ou a identidade do serviço), o acesso é baseado na função e na necessidade do usuário, não apenas na localização da rede. A identidade pode ser uma conta de serviço, uma tag segura ou qualquer identidade fornecida por um certificado de cliente verificado usando mTLS de front-end. Com o Secure Web Proxy, você pode criar regras altamente específicas, como "Somente membros da equipe financeira podem acessar este site bancário".
Registro e auditoria unificados de tráfego. Todo o tráfego da Web que passa pelo Secure Web Proxy é registrado e auditado centralmente no Google Cloud. Essa única fonte de verdade clara para todo o acesso de saída ajuda você a rastrear a atividade, investigar incidentes de segurança e atender aos requisitos de compliance.
Inspeção centralizada: o Secure Web Proxy consolida solicitações da Web de saída das suas cargas de trabalho na nuvem e escritórios conectados em um único ponto de inspeção para aplicação consistente de políticas.
Gerenciamento simplificado de portas. Você pode detectar todas as portas (de 1 a 65535) ao implantar sua instância do Secure Web Proxy como próximo salto. Essa funcionalidade elimina a necessidade de enumerar portas específicas e é útil para ambientes dinâmicos ou serviços que usam várias portas. Para informações sobre as limitações relacionadas ao uso do recurso all_ports, consulte Limitações.

Recursos compatíveis

O Secure Web Proxy é compatível com os seguintes recursos:

Escalonamento automático de proxies do Envoy do Secure Web Proxy: o Secure Web Proxy permite ajustar automaticamente o tamanho do pool de proxies do Envoy e a capacidade do pool em uma região, o que possibilita um desempenho consistente durante períodos de alta demanda com o menor custo. O recurso de escalonamento automático gerencia automaticamente os ajustes de capacidade em uma região. Isso significa que você não precisa monitorar e redimensionar manualmente sua frota de proxies, garantindo melhor desempenho com menos tempo operacional.
Políticas modulares de acesso de saída: o Secure Web Proxy gerencia o tráfego de saída com as seguintes ações:
- Identifica entidades de origem usando tags seguras, contas de serviço, endereços IP ou identidades de certificado do cliente que foram verificadas criptograficamente com mTLS de front-end.
- Filtra destinos por nomes de host ou URLs quando você ativa a inspeção TLS ou usa HTTP não criptografado.
- Avalia atributos de solicitação, como métodos, cabeçalhos ou URLs, se o tráfego for HTTP não criptografado ou se a inspeção TLS estiver ativada.
Essa natureza modular das políticas (origens, destinos e solicitações) permite que várias equipes criem e gerenciem componentes de regras específicos e reutilizáveis. Um administrador central pode definir uma lista de URLs que vários proxies podem referenciar em políticas distintas.
Criptografia de ponta a ponta: os túneis de proxy do cliente podem transitar por TLS. O Secure Web Proxy também aceita HTTP e HTTPS CONNECT para conexões TLS de ponta a ponta iniciadas pelo cliente com o servidor de destino.

Essa medida de segurança crucial é gerenciada automaticamente pelo serviço para que o tráfego seja protegido sem exigir a configuração manual ou o monitoramento de padrões de criptografia.
Integração dos registros de auditoria do Cloud e da Observabilidade do Google Cloud: ao usar a Observabilidade do Google Cloud, os registros de auditoria do Cloud registram ações administrativas (mudanças de política) e solicitações de acesso e métricas (registros de transações de proxy) para o Secure Web Proxy. Essa visualização unificada e integrada facilita o monitoramento de segurança e a geração de relatórios de compliance.

Como o Secure Web Proxy funciona

O Secure Web Proxy funciona como um checkpoint de segurança obrigatório para todo o tráfego da Web da rede da sua organização para a Internet. As cargas de trabalho internas precisam obedecer às regras de segurança do Secure Web Proxy antes de acessar a Internet.

Gateway centralizado: suas cargas de trabalho, como máquinas virtuais (VMs) e contêineres, são configuradas para enviar todas as solicitações da Web de saída à instância central do Secure Web Proxy.
Aplicação de políticas: o proxy inspeciona a solicitação e aplica suas políticas de segurança para determinar se a conexão deve ser permitida ou negada.
Proteja o tráfego de saída: se a solicitação for permitida, o tráfego será encaminhado com segurança para a Internet usando a infraestrutura Google Cloud, normalmente o Cloud NAT. O proxy também usa o Cloud DNS para resolver endereços da Web externos.

Políticas e regras

É possível configurar as seguintes políticas e regras na sua instância do Secure Web Proxy:

Políticas de autorização: essas políticas permitem estabelecer verificações de controle de acesso com base em identidade ou destino ao processar solicitações de saída pela instância do Secure Web Proxy. É possível configurar políticas de autorização (AuthzPolicy) para validar a identidade de uma carga de trabalho ou um agente de origem que acessa a Internet.
Políticas de segurança de gateway: definem o padrão geral de segurança para um gateway específico. Uma política de segurança de gateway é o principal contêiner para suas instruções de segurança.
Regras de segurança do gateway: em cada política de segurança do gateway, é possível adicionar uma ou mais regras de segurança do gateway. Essas regras são as instruções individuais que permitem ou negam o tráfego com base em vários critérios.

Modos de implantação

É possível implantar a instância do Secure Web Proxy em um dos seguintes modos:

Modo de roteamento de proxy explícito: nesse modo, é necessário configurar explicitamente os ambientes e clientes de carga de trabalho para apontar diretamente para o servidor proxy. O Secure Web Proxy isola seus clientes da Internet. Dessa forma, o Secure Web Proxy atua como um intermediário, estabelecendo novas conexões TCP para o cliente e garantindo que cada conexão atenda aos requisitos da política de segurança administrada.
Modo de anexo de serviço do Private Service Connect: nesse modo, é possível centralizar as implantações de proxy da Web em uma arquitetura complexa de várias VPCs.
Modo de próximo salto: nesse modo, é possível configurar a instância do Secure Web Proxy para atuar como um próximo salto para o roteamento na sua rede. Em outras palavras, é possível configurar o roteamento de rede para enviar automaticamente o tráfego de saída à instância do Secure Web Proxy. Esse método de implantação reduz a sobrecarga administrativa da sua organização porque não é necessário configurar manualmente cada carga de trabalho ou cliente de origem para usar o proxy.

Limitações

Versões de IP: o Secure Web Proxy é compatível apenas com IPv4. O IPv6 não é compatível.
Versões do HTTP: o Secure Web Proxy é compatível com as versões HTTP/0.9, 1.0, 1.1 e 2.0. O HTTP/3 não é compatível.
Escopo da implantação: é possível implantar uma instância do Secure Web Proxy apenas em um projeto host, não em um projeto de serviço.

Outras ferramentas do Google Cloud para considerar

É possível integrar o Secure Web Proxy às seguintes ferramentas Google Cloud para melhorar a postura geral de segurança das suas cargas de trabalho e aplicativos:

Use o TLS mútuo de front-end (mTLS) para permitir que o Secure Web Proxy configure identidades de clientes validadas em políticas de autorização e aplique o controle de acesso granular ao tráfego de saída.
Use o Certificate Manager para gerenciar as âncoras de confiança (certificados raiz) e as ACs intermediárias necessárias para validar certificados de cliente em conexões mTLS de front-end com o Secure Web Proxy.
Implemente o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud , como Cloud Storage e BigQuery.

Visão geral do Secure Web Proxy Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.