Présentation de Secure Web Proxy

Secure Web Proxy vous aide à sécuriser tout le trafic Web sortant (HTTP et HTTPS) du réseau interne de votre organisation. Lorsque vous configurez vos clients pour qu'ils utilisent explicitement Secure Web Proxy comme passerelle, Secure Web Proxy devient un point de contrôle de sécurité obligatoire pour toute application ou tout service qui tente d'accéder à un site Web en dehors de votre organisation.

Avantages

Secure Web Proxy offre les principaux avantages suivants :

  • Aucune maintenance nécessaire Une fois vos règles définies, Secure Web Proxy gère vos serveurs, les correctifs et le scaling pour ajuster automatiquement la capacité à mesure que votre trafic augmente.

  • Règles flexibles et réutilisables : Avec Secure Web Proxy, les règles de sécurité sont distinctes du proxy lui-même. Pour assurer une gestion cohérente, les administrateurs créent un ensemble de règles d'accès et les appliquent à plusieurs proxys dans différentes parties de votre organisation.

  • Sécurité par défaut renforcée : Le proxy Web sécurisé dispose d'un paramètre deny-all par défaut qui bloque tout le trafic sortant jusqu'à ce que vous l'autorisiez explicitement. Google Cloud gère automatiquement toutes les mises à jour logicielles et d'infrastructure, ce qui minimise le risque permanent de failles de sécurité.

  • Contrôle de l'accès selon l'identité : Étant donné que Secure Web Proxy vérifie d'où provient une requête (l'adresse IP) et qui l'effectue (l'identité de l'utilisateur ou du service), l'accès est basé sur le rôle et les besoins de l'utilisateur, et pas seulement sur l'emplacement du réseau. L'identité peut être un compte de service, un tag sécurisé ou toute identité fournie par un certificat client validé à l'aide de mTLS frontend. Secure Web Proxy vous permet de créer des règles très spécifiques, par exemple "Seuls les membres de l'équipe Finance peuvent accéder à ce site Web bancaire".

  • Journalisation et audit du trafic unifiés : Tout le trafic Web qui transite par Secure Web Proxy est enregistré et audité de manière centralisée dans Google Cloud. Cette source unique et claire pour tous les accès sortants vous aide à suivre l'activité, à examiner les incidents de sécurité et à respecter les exigences de conformité.

  • Inspection centralisée : Le proxy Web sécurisé consolide les requêtes Web sortantes de vos charges de travail cloud et de vos bureaux connectés en un seul point d'inspection pour une application cohérente des règles.

  • Gestion simplifiée des ports Vous pouvez éventuellement écouter sur tous les ports (de 1 à 65535) lorsque vous déployez votre instance de Secure Web Proxy en tant que prochain saut. Cette fonctionnalité vous dispense d'énumérer des ports spécifiques. Elle est utile pour les environnements dynamiques ou les services qui utilisent plusieurs ports. Pour en savoir plus sur les limites liées à l'utilisation de la fonctionnalité all_ports, consultez Limites.

Fonctionnalités compatibles

Secure Web Proxy est compatible avec les fonctionnalités suivantes :

  • Autoscaling des proxys Envoy Secure Web Proxy : Secure Web Proxy permet d'ajuster automatiquement la taille du pool de proxys Envoy et la capacité du pool dans une région, ce qui permet d'obtenir des performances cohérentes pendant les périodes de forte demande au coût le plus bas. La fonctionnalité d'autoscaling gère automatiquement les ajustements de capacité dans une région. Cela signifie que vous n'avez pas besoin de surveiller ni de redimensionner manuellement votre parc de proxys, ce qui garantit de meilleures performances avec moins de temps opérationnel.

  • Stratégies d'accès sortant modulaires : Secure Web Proxy gère le trafic sortant grâce aux actions suivantes :

    • Identifie les entités sources à l'aide de tags sécurisés, de comptes de service, d'adresses IP ou d'identités de certificat client qui ont été vérifiées de manière cryptographique avec mTLS de l'interface.
    • Filtre les cibles de destination par nom d'hôte ou URL lorsque vous activez l'inspection TLS ou utilisez le protocole HTTP non chiffré.
    • Évalue les attributs de la requête tels que les méthodes, les en-têtes ou les URL si le trafic est HTTP non chiffré ou si l'inspection TLS est activée.

    Cette nature modulaire des règles (sources, destinations et requêtes) permet à différentes équipes de créer et de gérer des composants de règles spécifiques et réutilisables. Un administrateur central peut définir une liste d'URL que plusieurs proxys peuvent ensuite référencer dans leurs différentes règles.

  • Chiffrement de bout en bout : les tunnels client-proxy peuvent transiter sur TLS. Secure Web Proxy est également compatible avec les CONNECT HTTP et HTTPS pour les connexions TLS de bout en bout initiées par le client au serveur de destination.

    Cette mesure de sécurité essentielle est gérée automatiquement par le service. Le trafic est ainsi sécurisé sans nécessiter de configuration ni de surveillance manuelles des normes de chiffrement.

  • Intégration de Cloud Audit Logs et de Google Cloud Observability : en utilisant Google Cloud Observability, Cloud Audit Logs enregistre à la fois les actions administratives (modifications des règles) et les demandes d'accès, ainsi que les métriques (journaux des transactions de proxy) pour Secure Web Proxy. Cette vue unifiée et intégrée facilite la surveillance de la sécurité et la création de rapports de conformité.

  • Accès mondial : Secure Web Proxy permet d'activer l'accès mondial lors de la création d'une instance de proxy. Cette fonctionnalité vous permet d'autoriser les clients de n'importe quelle région Google Cloud à se connecter au proxy, et pas seulement ceux d'une région locale spécifique. Cette fonctionnalité améliore la résilience de l'infrastructure et prend en charge les cas d'utilisation multirégionaux, tels que les exigences personnalisées en matière de trafic sortant. Pour en savoir plus, consultez Configurer l'accès mondial pour Secure Web Proxy.

Fonctionnement du proxy Web sécurisé

Le proxy Web sécurisé sert de point de contrôle de sécurité obligatoire pour tout le trafic Web du réseau de votre organisation vers Internet. Les charges de travail internes doivent respecter les règles de sécurité Secure Web Proxy avant de pouvoir accéder à Internet.

  1. Passerelle centralisée : vos charges de travail, telles que les machines virtuelles (VM) et les conteneurs, sont configurées pour envoyer toutes les requêtes Web sortantes à l'instance Secure Web Proxy centrale.

  2. Application des règles : le proxy inspecte la requête et applique vos règles de sécurité pour déterminer s'il doit autoriser ou refuser la connexion.

  3. Sécuriser le trafic sortant : si la requête est autorisée, le trafic est acheminé de manière sécurisée vers Internet à l'aide de l'infrastructure Google Cloud, généralement Cloud NAT. Le proxy utilise également Cloud DNS pour résoudre les adresses Web externes.

Règles et consignes

Vous pouvez configurer les règles et les stratégies suivantes dans votre instance Secure Web Proxy :

  • Règles d'autorisation : ces règles vous permettent d'établir des contrôles d'accès basés sur l'identité ou la destination lorsque vous traitez des requêtes sortantes via votre instance de proxy Web sécurisé. Vous pouvez configurer des règles d'autorisation (AuthzPolicy) pour valider l'identité d'une charge de travail ou d'un agent source qui accède à Internet.

  • Règles de sécurité de la passerelle : ces règles définissent la norme de sécurité globale pour une passerelle spécifique. Une règle de stratégie de sécurité de la passerelle est le conteneur principal de vos instructions de sécurité.

  • Règles de sécurité de la passerelle : vous pouvez ajouter une ou plusieurs règles de sécurité de la passerelle à chaque stratégie de sécurité de la passerelle. Ces règles sont les instructions individuelles qui autorisent ou interdisent le trafic en fonction de différents critères.

Modes de déploiement

Vous pouvez déployer votre instance Secure Web Proxy dans l'un des modes suivants :

  • Mode de routage de proxy explicite : dans ce mode, vous devez configurer explicitement vos environnements et clients de charge de travail pour qu'ils pointent directement vers le serveur proxy. Secure Web Proxy isole ensuite vos clients d'Internet. Ainsi, Secure Web Proxy agit comme un intermédiaire, en établissant de nouvelles connexions TCP pour le client et en veillant à ce que chaque connexion réponde aux exigences de la stratégie de sécurité administrée.

  • Mode de rattachement de service Private Service Connect : ce mode vous permet de centraliser vos déploiements de serveurs proxy Web dans une architecture multi-VPC complexe.

  • Mode de prochain saut : dans ce mode, vous pouvez configurer votre instance de Secure Web Proxy pour qu'elle serve de prochain saut pour le routage dans votre réseau. En d'autres termes, vous pouvez configurer le routage de votre réseau pour envoyer automatiquement le trafic sortant vers votre instance Secure Web Proxy. Cette méthode de déploiement réduit les frais administratifs de votre organisation, car vous n'avez pas besoin de configurer manuellement chaque charge de travail ou client source pour utiliser le proxy.

Limites

  • Versions IP : Secure Web Proxy n'est compatible qu'avec IPv4. IPv6 n'est pas pris en charge.

  • Versions HTTP : Secure Web Proxy est compatible avec les versions HTTP/0.9, 1.0, 1.1 et 2.0. Le protocole HTTP/3 n'est pas compatible.

  • Champ d'application du déploiement : vous ne pouvez déployer une instance Secure Web Proxy que dans un projet hôte, et non dans un projet de service.

Autres outils Google Cloud à envisager

Vous pouvez intégrer Secure Web Proxy aux outils Google Cloud suivants pour améliorer la stratégie de sécurité globale de vos charges de travail et applications :

  • Utilisez le TLS mutuel frontal (mTLS) pour permettre au proxy Web sécurisé de configurer des identités client validées dans les règles d'autorisation et d'appliquer un contrôle des accès précis pour le trafic sortant.

  • Utilisez Certificate Manager pour gérer les ancres de confiance (certificats racines) et les autorités de certification intermédiaires requises pour valider les certificats clients dans les connexions mTLS de l'interface utilisateur à Secure Web Proxy.

  • Implémentez VPC Service Controls pour empêcher l'exfiltration de données à partir de services Google Cloud , tels que Cloud Storage et BigQuery.

Étapes suivantes