Présentation de Secure Web Proxy

Secure Web Proxy vous aide à sécuriser tout le trafic Web sortant (HTTP et HTTPS) du réseau interne de votre organisation. Lorsque vous configurez vos clients pour qu'ils utilisent explicitement Secure Web Proxy comme passerelle, Secure Web Proxy devient un point de contrôle de sécurité obligatoire pour toute application ou tout service qui tente d'accéder à un site Web en dehors de votre organisation.

Avantages

Le proxy Web sécurisé offre les principaux avantages suivants :

  • Aucune maintenance nécessaire Une fois vos règles définies, Secure Web Proxy gère vos serveurs, les correctifs et le scaling pour ajuster automatiquement la capacité à mesure que votre trafic augmente.

  • Règles flexibles et réutilisables : Avec Secure Web Proxy, les règles de sécurité sont distinctes du proxy lui-même. Pour assurer une gestion cohérente, les administrateurs créent un ensemble de règles d'accès et l'appliquent à plusieurs proxys dans différentes parties de votre organisation.

  • Sécurité par défaut renforcée : Le proxy Web sécurisé dispose d'un paramètre deny-all par défaut qui bloque tout le trafic sortant jusqu'à ce que vous l'autorisiez explicitement. Google Cloud gère automatiquement toutes les mises à jour logicielles et d'infrastructure, ce qui minimise le risque permanent de failles de sécurité.

  • Contrôle de l'accès selon l'identité Étant donné que Secure Web Proxy vérifie à la fois d'où provient une requête (l'adresse IP) et qui l'envoie (l'identité de l'utilisateur ou du service), l'accès est basé sur le rôle et les besoins de l'utilisateur, et pas seulement sur l'emplacement du réseau. Le proxy Web sécurisé vous permet de créer des règles très spécifiques, comme "Seuls les membres de l'équipe financière peuvent accéder à ce site Web bancaire".

  • Journalisation et audit du trafic unifiés : Tout le trafic Web qui transite par le proxy Web sécurisé est enregistré et audité de manière centralisée dans Google Cloud. Cette source unique et claire pour tous les accès sortants vous aide à suivre l'activité, à examiner les incidents de sécurité et à répondre aux exigences de conformité.

  • Contrôle des accès. Le proxy Web sécurisé achemine toutes les requêtes Web (comme la visite d'un site Web) de vos ordinateurs cloud et de vos bureaux connectés pour qu'elles passent par un point d'inspection central.

Fonctionnalités compatibles

Le proxy Web sécurisé est compatible avec les fonctionnalités suivantes :

  • Autoscaling des proxys Envoy Secure Web Proxy : Secure Web Proxy permet d'ajuster automatiquement la taille du pool de proxys Envoy et la capacité du pool dans une région, ce qui permet d'obtenir des performances cohérentes pendant les périodes de forte demande au coût le plus bas. La fonctionnalité d'autoscaling gère automatiquement les ajustements de capacité dans une région. Cela signifie que vous n'avez pas besoin de surveiller ni de redimensionner manuellement votre parc de proxys, ce qui garantit de meilleures performances avec moins de temps opérationnel.

  • Stratégies d'accès sortant modulaires : le proxy Web sécurisé gère le trafic sortant grâce aux actions suivantes :

    • Identifie les entités sources à l'aide de tags sécurisés, de comptes de service ou d'adresses IP.
    • Filtre les cibles de destination par nom d'hôte ou URL lorsque vous activez l'inspection TLS ou utilisez le protocole HTTP non chiffré.
    • Évalue les attributs de la requête tels que les méthodes, les en-têtes ou les URL si le trafic est HTTP non chiffré ou si l'inspection TLS est activée.

    Cette nature modulaire des règles (sources, destinations et requêtes) permet à différentes équipes de créer et de gérer des composants de règles spécifiques et réutilisables. Un administrateur central peut définir une liste d'URL que plusieurs proxys peuvent ensuite référencer dans leurs règles distinctes.

  • Chiffrement de bout en bout : les tunnels client-proxy peuvent transiter sur TLS. Secure Web Proxy est également compatible avec les CONNECT HTTP et HTTPS pour les connexions TLS de bout en bout initiées par le client au serveur de destination.

    Cette mesure de sécurité essentielle est gérée automatiquement par le service. Le trafic est ainsi sécurisé sans nécessiter de configuration ni de surveillance manuelles des normes de chiffrement.

  • Intégration de Cloud Audit Logs et de Google Cloud Observability : en utilisant Google Cloud Observability, Cloud Audit Logs enregistre à la fois les actions administratives (modifications des règles) et les demandes d'accès, ainsi que les métriques (journaux des transactions de proxy) pour Secure Web Proxy. Cette vue unifiée et intégrée facilite la surveillance de la sécurité et la création de rapports de conformité.

Fonctionnement du proxy Web sécurisé

Le proxy Web sécurisé sert de point de contrôle de sécurité obligatoire pour tout le trafic Web du réseau de votre organisation vers Internet. Les charges de travail internes doivent respecter les règles de sécurité Secure Web Proxy avant de pouvoir accéder à Internet.

  1. Passerelle centralisée : vos charges de travail, telles que les machines virtuelles (VM) et les conteneurs, sont configurées pour envoyer toutes les requêtes Web sortantes à l'instance Secure Web Proxy centrale.

  2. Application des règles : le proxy inspecte la requête et applique vos règles de sécurité précises pour déterminer s'il doit autoriser ou refuser la connexion.

  3. Sécuriser le trafic sortant : si la requête est autorisée, le trafic est acheminé de manière sécurisée vers Internet à l'aide de l'infrastructure Google Cloud, généralement Cloud NAT. Le proxy utilise également Cloud DNS pour résoudre les adresses Web externes.

Règles du proxy Web sécurisé

Une stratégie de proxy Web sécurisé définit la norme de sécurité globale pour une région ou un ensemble de charges de travail spécifiques, car il s'agit du conteneur principal qui stocke toutes vos instructions de sécurité.

Voici les principales caractéristiques d'une règle Secure Web Proxy :

  • Le paramètre par défaut d'une règle consiste à refuser tout le trafic sortant, ce qui garantit qu'aucune requête Web ne quitte votre réseau, sauf si vous l'autorisez spécifiquement.

  • Vous pouvez créer une seule stratégie et la réutiliser dans plusieurs instances de proxy Web sécurisé, ce qui permet de maintenir la cohérence et l'efficacité de vos règles de sécurité.

Pour en savoir plus sur les règles Secure Web Proxy, consultez la présentation des règles.

Règles du proxy Web sécurisé

Chaque stratégie Secure Web Proxy contient une ou plusieurs règles Secure Web Proxy. Ces règles sont les instructions individuelles qui déterminent exactement le trafic à autoriser, à refuser ou à consigner.

Voici les principales caractéristiques des règles de proxy Web sécurisé :

  • Chaque règle est une instruction if-then très spécifique qui vérifie une requête Web par rapport à plusieurs critères :

    • Qui demande : identité de la source, telle qu'une VM ou un compte de service spécifique

    • Où essaient-ils d'aller ? L'URL ou le domaine de destination, comme trusted-partner.com

    • Action à effectuer : autoriser ou refuser le trafic

  • Les règles de proxy Web sécurisé offrent un contrôle précis. Elles vous permettent d'appliquer différentes normes de sécurité à différentes parties de votre organisation à l'aide de définitions claires et structurées.

Pour en savoir plus sur les règles Secure Web Proxy, consultez Présentation des règles.

Modes de déploiement

Cette section décrit les différents modes de déploiement du Secure Web Proxy.

Mode de routage de proxy explicite

Dans ce mode, vous devez configurer explicitement vos environnements et clients de charge de travail pour qu'ils pointent directement vers le serveur proxy. Le proxy Web sécurisé isole ensuite vos clients d'Internet. Ainsi, le proxy Web sécurisé agit comme un intermédiaire, en établissant de nouvelles connexions TCP pour le client et en veillant à ce que chaque connexion réponde aux exigences de la stratégie de sécurité administrée. Pour en savoir plus sur le déploiement du mode de routage de proxy explicite, consultez Créer et déployer une instance Secure Web Proxy.

Le schéma suivant illustre le rôle du proxy Web sécurisé en tant que passerelle centralisée et obligatoire pour le trafic sortant de l'environnement Google Cloud  :

Déployez Secure Web Proxy en mode de routage de proxy explicite.
Déployer le proxy Web sécurisé en mode de routage de proxy explicite (cliquez pour agrandir)

Mode de rattachement de service Private Service Connect

Ce mode vous permet de centraliser vos déploiements de serveurs proxy Web dans une architecture complexe à plusieurs clouds privés virtuels (VPC). Pour centraliser votre déploiement de proxy Web sécurisé lorsque plusieurs réseaux sont présents, utilisez Network Connectivity Center.

Lorsque vous essayez de faire évoluer votre déploiement avec Network Connectivity Center, certaines limites s'appliquent. En déployant Secure Web Proxy en tant que rattachement de service Private Service Connect, vous pouvez résoudre ces limites liées à la mise à l'échelle.

Comme le montre le schéma suivant, ce mode de déploiement crée un modèle hub-and-spoke. Dans ce déploiement, Secure Web Proxy (le hub) gère le trafic sortant des charges de travail dans tous les réseaux VPC connectés (les spokes). Pour en savoir plus, consultez Déployer Secure Web Proxy en tant que pièce jointe de service.

Déployez Secure Web Proxy en tant que rattachement de service Private Service Connect.
Déployer Secure Web Proxy en tant qu'association de service Private Service Connect (cliquez pour agrandir).

Mode du saut suivant

Dans ce mode, vous pouvez configurer votre déploiement Secure Web Proxy pour qu'il serve de prochain saut pour le routage dans votre réseau. En d'autres termes, vous pouvez configurer le routage de votre réseau pour envoyer automatiquement le trafic sortant vers votre instance Secure Web Proxy. Cette méthode de déploiement réduit la charge administrative de votre organisation, car vous n'avez pas à configurer manuellement chaque charge de travail ou client source pour utiliser le proxy.

Pour en savoir plus, consultez Déployer Secure Web Proxy comme prochain saut.

Limites

  • Versions IP : Secure Web Proxy n'est compatible qu'avec IPv4. IPv6 n'est pas pris en charge.

  • Versions HTTP : Secure Web Proxy est compatible avec les versions HTTP/0.9, 1.0, 1.1 et 2.0. Le protocole HTTP/3 n'est pas compatible.

  • Champ d'application du déploiement : les instances Secure Web Proxy ne peuvent être déployées que dans un projet hôte, et non dans un projet de service.

Autres outils Google Cloud à envisager

Vous pouvez intégrer Secure Web Proxy aux outils Google Cloud suivants pour améliorer la sécurité globale de vos charges de travail et applications :

  • Utilisez Google Cloud Armor pour protéger les déploiementsGoogle Cloud contre différents types de menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et l'injection SQL (SQLi).

  • Spécifiez des règles de pare-feu VPC pour sécuriser les connexions vers ou depuis vos instances de VM.

  • Implémentez VPC Service Controls pour empêcher l'exfiltration de données à partir des services Google Cloud , tels que Cloud Storage et BigQuery.

  • Utilisez Cloud NAT pour activer la connectivité Internet sortante non sécurisée pour certaines ressources Google Cloud sans adresse IP externe.

Étapes suivantes