Secure Web Proxy vous aide à sécuriser l'ensemble du trafic Web sortant (HTTP et HTTPS) du réseau interne de votre organisation. Lorsque vous configurez vos clients pour qu'ils utilisent explicitement Secure Web Proxy comme passerelle, Secure Web Proxy devient un point de contrôle de sécurité obligatoire pour toute application ou tout service qui tente d'accéder à un site Web en dehors de votre organisation.
Avantages
Secure Web Proxy offre les principaux avantages suivants :
Aucune maintenance nécessaire. Une fois vos règles définies, Secure Web Proxy gère vos serveurs, vos correctifs et votre scaling pour ajuster automatiquement la capacité à mesure que votre trafic augmente.
Règles flexibles et réutilisables. Avec Secure Web Proxy, les règles de sécurité sont distinctes du proxy lui-même. Pour garantir une gestion cohérente, les administrateurs créent un ensemble de règles d'accès et les appliquent à plusieurs proxys dans différentes parties de votre organisation.
Sécurité par défaut renforcée. Secure Web Proxy est doté d'un paramètre
deny-allpar défaut qui bloque tout le trafic sortant jusqu'à ce que vous l'autorisiez explicitement. Google Cloud gère automatiquement toutes les mises à jour logicielles et d'infrastructure, ce qui minimise le risque permanent de failles de sécurité.Contrôle des accès selon l'identité. Étant donné que Secure Web Proxy vérifie d'où provient une requête (l'adresse IP) et qui effectue la requête (l'identité de l'utilisateur ou du service), l'accès est basé sur le rôle et les besoins de l'utilisateur, et pas seulement sur l'emplacement réseau. L'identité peut être un compte de service, un tag sécurisé, ou toute identité fournie par un certificat client validé à l'aide de mTLS frontal. Secure Web Proxy vous permet de créer des règles très spécifiques, telles que "Seuls les membres de l'équipe Finance peuvent accéder à ce site Web bancaire".
Journalisation et audit unifiés du trafic. Tout le trafic Web qui transite par Secure Web Proxy est journalisé et audité de manière centralisée dans Google Cloud. Cette source d'information unique et claire pour tous les accès sortants vous aide à suivre l'activité, à examiner les incidents de sécurité et à répondre aux exigences de conformité.
Inspection centralisée. Secure Web Proxy consolide les requêtes Web sortantes de vos charges de travail cloud et de vos bureaux connectés en un seul point d'inspection pour une application cohérente des règles.
Gestion simplifiée des ports. Vous pouvez éventuellement écouter sur tous les ports (de
1à65535) lorsque vous déployez votre instance Secure Web Proxy en tant que saut suivant. Cette fonctionnalité élimine le besoin d'énumérer des ports spécifiques et est utile pour les environnements dynamiques ou les services qui utilisent plusieurs ports. Pour en savoir plus sur les limites liées à l'utilisation de la fonctionnalitéall_ports, consultez la section Limites.
Fonctionnalités compatibles
Secure Web Proxy est compatible avec les fonctionnalités suivantes :
Autoscaling des proxys Envoy Secure Web Proxy : Secure Web Proxy permet d'ajuster automatiquement la taille du pool de proxys Envoy et la capacité du pool dans une région, ce qui garantit des performances cohérentes pendant les périodes de forte demande au coût le plus bas. La fonctionnalité d'autoscaling gère automatiquement les ajustements de capacité dans une région. Cela signifie que vous n'avez pas à surveiller et à redimensionner manuellement votre flotte de proxys, ce qui garantit de meilleures performances avec moins de temps opérationnel.
Règles d'accès sortant modulaires : Secure Web Proxy gère le trafic sortant via les actions suivantes :
- Identifie les entités sources à l'aide de tags sécurisés, de comptes de service, d'adresses IP ou d'identités de certificats clients qui ont été vérifiées de manière cryptographique avec mTLS frontal.
- Filtre les cibles de destination par nom d'hôte ou URL lorsque vous activez l'inspection TLS ou utilisez HTTP non chiffré.
- Évalue les attributs de requête tels que les méthodes, les en-têtes ou les URL si le trafic est HTTP non chiffré ou si l'inspection TLS est activée.
Cette nature modulaire des règles (sources, destinations et requêtes) permet à différentes équipes de créer et de gérer des composants de règles spécifiques et réutilisables. Un administrateur central peut définir une liste d'URL que plusieurs proxys peuvent ensuite référencer dans leurs règles distinctes.
Chiffrement de bout en bout : les tunnels client-proxy peuvent transiter via TLS. Secure Web Proxy est également compatible avec HTTP et HTTPS
CONNECTpour les connexions TLS de bout en bout initiées par le client au serveur de destination.Cette mesure de sécurité essentielle est gérée automatiquement par le service afin que le trafic soit sécurisé sans nécessiter de configuration ni de surveillance manuelles des normes de chiffrement.
Intégration de Cloud Audit Logs et de Google Cloud Observability : à l'aide de Google Cloud Observability, Cloud Audit Logs enregistre à la fois les actions administratives actions (modifications de règles) et les requêtes d'accès et métriques (journaux de transactions logs) pour Secure Web Proxy. Cette vue unifiée et intégrée facilite la surveillance de la sécurité et la création de rapports de conformité.
Fonctionnement de Secure Web Proxy
Secure Web Proxy agit comme un point de contrôle de sécurité obligatoire pour tout le trafic Web du réseau de votre organisation vers Internet. Les charges de travail internes doivent respecter les règles de sécurité de Secure Web Proxy avant de pouvoir accéder à Internet.
Passerelle centralisée : vos charges de travail, telles que les machines virtuelles (VM) et les conteneurs, sont configurées pour envoyer toutes les requêtes Web sortantes à l'instance Secure Web Proxy centrale.
Application des règles : le proxy inspecte la requête et applique vos règles de sécurité pour déterminer s'il doit autoriser ou refuser la connexion.
Trafic sortant sécurisé : si la requête est autorisée, le trafic est acheminé de manière sécurisée vers Internet à l'aide de l' Google Cloud infrastructure, généralement Cloud NAT. Le proxy utilise également Cloud DNS pour résoudre les adresses Web externes.
Règles et stratégies
Vous pouvez configurer les règles et stratégies suivantes dans votre instance Secure Web Proxy :
Règles d'autorisation : ces règles vous permettent d'établir des contrôles d'accès basés sur l'identité ou la destination lors du traitement des requêtes sortantes via votre instance Secure Web Proxy. Vous pouvez configurer des règles d'autorisation (
AuthzPolicy) pour valider l'identité d'une charge de travail ou d'un agent source qui accède à l' Internet.Règles de sécurité de la passerelle: ces règles définissent la norme de sécurité globale pour une passerelle spécifique. Une règle de sécurité de la passerelle est le conteneur principal de vos instructions de sécurité.
Règles de sécurité de la passerelle: dans chaque règle de sécurité de la passerelle, vous pouvez ajouter une ou plusieurs règles de sécurité de la passerelle. Ces règles sont les instructions individuelles qui autorisent ou refusent le trafic en fonction de différents critères.
Modes de déploiement
Vous pouvez déployer votre instance Secure Web Proxy dans l'un des modes suivants :
Mode de routage de proxy explicite : dans ce mode, vous devez configurer explicitement vos environnements de charge de travail et vos clients pour qu'ils pointent directement vers le serveur proxy. Secure Web Proxy isole ensuite vos clients d'Internet. De cette façon, Secure Web Proxy agit comme un intermédiaire, en établissant de nouvelles connexions TCP pour le client et en s'assurant que chaque connexion répond aux exigences de la règle de sécurité administrée.
Mode de rattachement de service Private Service Connect: dans ce mode, vous pouvez centraliser vos déploiements de proxy Web dans une architecture complexe à plusieurs VPC.
Mode de saut suivant : dans ce mode, vous pouvez configurer votre instance Secure Web Proxy pour qu'elle agisse comme un saut suivant pour le routage dans votre réseau. En d'autres termes, vous pouvez configurer le routage de votre réseau pour envoyer automatiquement le trafic sortant à votre instance Secure Web Proxy. Cette méthode de déploiement réduit la charge administrative de votre organisation, car vous n'avez pas à configurer manuellement chaque charge de travail ou client source pour utiliser le proxy.
Limites
Versions IP : Secure Web Proxy n'est compatible qu'avec IPv4 ; IPv6 n'est pas pris en charge.
Versions HTTP : Secure Web Proxy est compatible avec les versions HTTP/0.9, 1.0, 1.1 et 2.0. HTTP/3 n'est pas pris en charge.
Étendue du déploiement : vous ne pouvez déployer une instance Secure Web Proxy que dans un projet hôte, et non dans un projet de service.
Autres Google Cloud outils à prendre en compte
Vous pouvez intégrer Secure Web Proxy aux outils suivants Google Cloud pour améliorer la posture de sécurité globale de vos charges de travail et applications :
Utilisez mTLS frontal pour permettre à Secure Web Proxy de configurer des identités client validées dans les règles d'autorisation et d'appliquer un contrôle des accès précis pour le trafic sortant.
Utilisez Certificate Manager pour gérer les ancres de confiance (certificats racines) et les autorités de certification intermédiaires requises pour valider les certificats clients dans les connexions mTLS frontales à Secure Web Proxy.
Implémentez VPC Service Controls pour empêcher l'exfiltration de données à partir de Google Cloud services tels que Cloud Storage et BigQuery.