Descripción general del Proxy web seguro

El Proxy web seguro te ayuda a proteger todo el tráfico web saliente (HTTP y HTTPS) de la red interna de tu organización. Cuando configuras tus clientes para que utilicen explícitamente Secure Web Proxy como puerta de enlace, Secure Web Proxy es un punto de control de seguridad obligatorio para cualquier aplicación o servicio que intente acceder a un sitio web fuera de tu organización.

Beneficios

El Proxy web seguro proporciona los siguientes beneficios clave:

  • No requieren mantenimiento. Después de que configures tus políticas, el proxy web seguro administrará tus servidores, las aplicaciones de parches y el ajuste de escala para adaptar automáticamente la capacidad a medida que aumente tu tráfico.

  • Reglas flexibles y reutilizables. Con el proxy web seguro, las políticas de seguridad están separadas del proxy en sí. Para garantizar una administración coherente, los administradores crean un conjunto de reglas de acceso y lo aplican a varios proxies en diferentes partes de la organización.

  • Seguridad sólida de forma predeterminada El proxy web seguro tiene un parámetro de configuración deny-allpredeterminado que bloquea todo el tráfico saliente hasta que lo permites de forma explícita. Google Cloud maneja automáticamente todas las actualizaciones de software y de infraestructura, lo que minimiza el riesgo continuo de vulnerabilidades de seguridad.

  • Control de acceso adaptado a la identidad Debido a que Secure Web Proxy verifica desde dónde proviene una solicitud (la dirección IP) y quién la realiza (la identidad del usuario o del servicio), el acceso se basa en el rol y la necesidad del usuario, no solo en la ubicación de la red. El Proxy web seguro te permite crear reglas muy específicas, como "Solo los miembros del equipo de Finanzas pueden acceder a este sitio web bancario".

  • Registro y auditoría unificados del tráfico Todo el tráfico web que pasa por el Proxy web seguro se registra y audita de forma centralizada en Google Cloud. Esta fuente única y clara de información para todo el acceso saliente te ayuda a hacer un seguimiento de la actividad, investigar incidentes de seguridad y cumplir con los requisitos de cumplimiento.

  • Control de acceso. El proxy web seguro enruta todas las solicitudes web (como visitar un sitio web) desde tus computadoras en la nube y oficinas conectadas para que pasen por un punto de inspección central.

Funciones admitidas

El Proxy web seguro admite las siguientes funciones:

  • Ajuste de escala automático de proxies de Envoy del proxy web seguro: El proxy web seguro admite el ajuste automático del tamaño del grupo de proxies de Envoy y la capacidad del grupo en una región, lo que permite un rendimiento coherente durante los períodos de alta demanda al menor costo. La función de ajuste de escala automático administra automáticamente los ajustes de capacidad en una región. Esto significa que no tienes que supervisar ni cambiar el tamaño de tu flota de proxies de forma manual, lo que garantiza un mejor rendimiento con menos tiempo operativo.

  • Políticas de acceso saliente modulares: El proxy web seguro administra el tráfico saliente a través de las siguientes acciones:

    • Identifica entidades de origen con etiquetas seguras, cuentas de servicio o direcciones IP.
    • Filtra los destinos por nombres de host o URLs cuando habilitas la inspección de TLS o usas HTTP sin encriptar.
    • Evalúa los atributos de la solicitud, como métodos, encabezados o URLs, si el tráfico es HTTP sin encriptar o si la inspección de TLS está habilitada.

    Esta naturaleza modular de las políticas (fuentes, destinos y solicitudes) permite que varios equipos creen y administren componentes de reglas específicos y reutilizables. Un administrador central puede definir una lista de URLs a la que varios proxies pueden hacer referencia en sus políticas distintas.

  • Encriptación de extremo a extremo: Los túneles de proxy de cliente pueden transitar a través de TLS. Secure Web Proxy también admite HTTP y HTTPS CONNECT para conexiones TLS de extremo a extremo iniciadas por el cliente al servidor de destino.

    El servicio administra automáticamente esta medida de seguridad crucial para que el tráfico esté protegido sin necesidad de configurar o supervisar manualmente los estándares de encriptación.

  • Integración de los registros de auditoría de Cloud y Google Cloud Observability: Con Google Cloud Observability, los registros de auditoría de Cloud registran las acciones administrativas (cambios en las políticas) y las solicitudes de acceso y las métricas (registros de transacciones de proxy) para Secure Web Proxy. Esta vista unificada integrada facilita la supervisión de la seguridad y la generación de informes de cumplimiento.

Cómo funciona el Proxy web seguro

El proxy web seguro actúa como un punto de control de seguridad obligatorio para todo el tráfico web de la red de tu organización a Internet. Las cargas de trabajo internas deben cumplir con las reglas de seguridad del proxy web seguro antes de poder acceder a Internet.

  1. Puerta de enlace centralizada: Tus cargas de trabajo, como las máquinas virtuales (VMs) y los contenedores, están configuradas para enviar todas las solicitudes web salientes a la instancia central del proxy web seguro.

  2. Aplicación de políticas: El proxy inspecciona la solicitud y aplica tus políticas de seguridad detalladas para determinar si se permite o rechaza la conexión.

  3. Protege el tráfico saliente: Si se permite la solicitud, el tráfico se enruta de forma segura a Internet a través de la infraestructura de Google Cloud, generalmente Cloud NAT. El proxy también usa Cloud DNS para resolver direcciones web externas.

Políticas del proxy web seguro

Una política de proxy web seguro define el estándar de seguridad general para una región o un conjunto de cargas de trabajo específicos, ya que es el contenedor principal que almacena todas tus instrucciones de seguridad.

Estas son las características clave de una política del Proxy web seguro:

  • El parámetro de configuración predeterminado de una política es rechazar todo el tráfico saliente, lo que garantiza que ninguna solicitud web salga de tu red, a menos que lo permitas específicamente.

  • Puedes crear una sola política y reutilizarla en varias instancias del proxy web seguro, lo que mantiene tus reglas de seguridad coherentes y eficientes.

Para obtener más información sobre las políticas de Secure Web Proxy, consulta la Descripción general de las políticas.

Reglas del proxy web seguro

En cada política del Proxy web seguro, hay una o más reglas del Proxy web seguro. Estas reglas son las instrucciones individuales que determinan exactamente qué tráfico se debe permitir, rechazar o registrar.

Estas son las funciones clave de las reglas del Proxy web seguro:

  • Cada regla es una instrucción if-then muy específica que verifica una solicitud web en función de varios criterios:

    • Quién realiza la solicitud: Es la identidad de la fuente, como una VM o una cuenta de servicio específicas.

    • A dónde intentan ir: la URL o el dominio de destino, como trusted-partner.com

    • Qué acción se debe tomar: permitir o rechazar el tráfico

  • Las reglas del proxy web seguro proporcionan un control detallado, lo que te permite aplicar diferentes estándares de seguridad para diferentes partes de tu organización con definiciones claras y estructuradas.

Para obtener más información sobre las reglas de Secure Web Proxy, consulta Descripción general de las reglas.

Modos de Deployment

En esta sección, se describen los distintos modos en los que puedes implementar Secure Web Proxy.

Modo de enrutamiento de proxy explícito

En este modo, debes configurar de forma explícita tus entornos y clientes de carga de trabajo para que apunten directamente al servidor proxy. Luego, el proxy web seguro aísla a tus clientes de Internet. De esta manera, el Proxy web seguro actúa como intermediario, ya que establece nuevas conexiones TCP para el cliente y garantiza que cada conexión cumpla con los requisitos de la política de seguridad administrada. Para obtener más información sobre cómo implementar el modo de enrutamiento de proxy explícito, consulta Crea e implementa una instancia de Secure Web Proxy.

En el siguiente diagrama, se muestra el rol del proxy web seguro como una puerta de enlace centralizada y obligatoria para el tráfico que sale del entorno de Google Cloud :

Implementa Secure Web Proxy en el modo de enrutamiento de proxy explícito.
Implementa Secure Web Proxy en el modo de enrutamiento de proxy explícito (haz clic para ampliar).

Modo de adjunto del servicio de Private Service Connect

Con este modo, puedes centralizar tus implementaciones de proxy web en una arquitectura compleja de varias nubes privadas virtuales (VPC). Para centralizar tu implementación del Proxy web seguro cuando hay varias redes, usa Network Connectivity Center.

Cuando intentas escalar tu implementación con Network Connectivity Center, existen algunos límites. Si implementas el Proxy web seguro como un adjunto de servicio de Private Service Connect, puedes resolver esas limitaciones relacionadas con el ajuste de escala.

Como se muestra en el siguiente diagrama, este modo de implementación crea un patrón de centro y radios. En esta implementación, Secure Web Proxy (el concentrador) administra el tráfico saliente de las cargas de trabajo en todas las redes de VPC conectadas (los radios). Para obtener más información, consulta Implementa el proxy web seguro como una vinculación de servicio.

Implementa el proxy web seguro como un adjunto de servicio de Private Service Connect.
Implementa Secure Web Proxy como una vinculación de servicio de Private Service Connect (haz clic para ampliar).

Modo de próximo salto

En este modo, puedes configurar tu implementación de Secure Web Proxy para que actúe como un próximo salto para el enrutamiento en tu red. En otras palabras, puedes configurar el enrutamiento de tu red para que envíe automáticamente el tráfico saliente a tu instancia de Proxy web seguro. Este método de implementación reduce la sobrecarga administrativa de tu organización, ya que no tienes que configurar manualmente cada carga de trabajo o cliente de origen para que use el proxy.

Para obtener más información, consulta Implementa Secure Web Proxy como próximo salto.

Limitaciones

  • Versiones de IP: El proxy web seguro solo admite IPv4, no IPv6.

  • Versiones de HTTP: Secure Web Proxy admite las versiones HTTP/0.9, 1.0, 1.1 y 2.0. HTTP/3 no es compatible.

  • Alcance de la implementación: Las instancias de Secure Web Proxy solo se pueden implementar en un proyecto host, no en un proyecto de servicio.

Herramientas Google Cloud adicionales para tener en cuenta

Puedes integrar el proxy web seguro con las siguientes Google Cloud herramientas para mejorar la postura de seguridad general de tus cargas de trabajo y aplicaciones:

  • Usa Google Cloud Armor para proteger las implementaciones deGoogle Cloud contra varias amenazas, incluidos los ataques de denegación de servicio distribuido (DSD) y los ataques de aplicaciones, como las secuencia de comandos entre sitios (XSS) y la inyección de SQL (SQLi).

  • Especifica reglas de firewall de VPC para proteger las conexiones hacia o desde tus instancias de VM.

  • Implementa los Controles del servicio de VPC para evitar el robo de datos de los servicios de Google Cloud , como Cloud Storage y BigQuery.

  • Usa Cloud NAT para habilitar la conectividad saliente no segura a Internet para ciertos recursos Google Cloud sin una dirección IP externa.

¿Qué sigue?