Secure Web Proxy ti aiuta a proteggere tutto il traffico web in uscita, HTTP e HTTPS, dalla rete interna della tua organizzazione. Quando configuri i client per utilizzare esplicitamente Secure Web Proxy come gateway, Secure Web Proxy è un punto di controllo di sicurezza obbligatorio per qualsiasi applicazione o servizio che tenta di accedere a un sito web al di fuori della tua organizzazione.
Vantaggi
Secure Web Proxy offre i seguenti vantaggi principali:
Nessuna manutenzione. Dopo aver impostato i criteri, Secure Web Proxy gestisce i server, le patch e la scalabilità per regolare automaticamente la capacità man mano che il traffico aumenta.
Regole flessibili e riutilizzabili. Con Secure Web Proxy, i criteri di sicurezza sono separati dal proxy stesso. Per garantire una gestione coerente, gli amministratori creano un insieme di regole di accesso e lo applicano a più proxy in diverse parti dell'organizzazione.
Sicurezza predefinita efficace. Secure Web Proxy ha un'impostazione
deny-allpredefinita che blocca tutto il traffico in uscita finché non lo consenti esplicitamente. Google Cloud gestisce automaticamente tutti gli aggiornamenti software e dell'infrastruttura, il che riduce al minimo il rischio continuo di vulnerabilità della sicurezza.Controllo dell'accesso basato sull'identità. Poiché Secure Web Proxy controlla sia da dove proviene una richiesta (l'indirizzo IP) sia chi la sta effettuando (l'identità dell'utente o del servizio), l'accesso si basa sul ruolo e sulle esigenze dell'utente, non solo sulla posizione di rete. Secure Web Proxy consente di creare regole molto specifiche, ad esempio "Solo i membri del team Finanze possono accedere a questo sito web bancario".
Logging e controllo del traffico unificati. Tutto il traffico web che passa attraverso Secure Web Proxy viene registrato e controllato centralmente all'interno di Google Cloud. Questa unica e chiara fonte attendibile per tutti gli accessi in uscita ti aiuta a monitorare l'attività, esaminare gli incidenti di sicurezza e soddisfare i requisiti di conformità.
Controllo dell'accesso. Il proxy web sicuro indirizza tutte le richieste web (ad esempio la visita di un sito web) dai tuoi computer cloud e dagli uffici connessi in modo che passino attraverso un punto di ispezione centrale.
Funzionalità supportate
Secure Web Proxy supporta le seguenti funzionalità:
Proxy Envoy Secure Web Proxy con scalabilità automatica: Secure Web Proxy supporta la regolazione automatica delle dimensioni del pool di proxy Envoy e della capacità del pool in una regione, il che consente prestazioni coerenti durante i periodi di forte domanda al costo più basso. La funzionalità di scalabilità automatica gestisce automaticamente gli aggiustamenti della capacità in una regione. Ciò significa che non devi monitorare e ridimensionare manualmente la flotta di proxy, garantendo prestazioni migliori con meno tempo operativo.
Policy di accesso in uscita modulari: Secure Web Proxy gestisce il traffico in uscita tramite le seguenti azioni:
- Identifica le entità di origine utilizzando tag sicuri, service account o indirizzi IP.
- Filtra le destinazioni in base ai nomi host o agli URL quando abiliti l'ispezione TLS o utilizzi HTTP non criptato.
- Valuta gli attributi della richiesta, come metodi, intestazioni o URL, se il traffico è HTTP non criptato o se l'ispezione TLS è abilitata.
Questa natura modulare dei criteri (origini, destinazioni e richieste) consente a vari team di creare e gestire componenti di regole specifici e riutilizzabili. Un amministratore centrale può definire un elenco di URL a cui più proxy possono fare riferimento nelle loro norme distinte.
Crittografia end-to-end: i tunnel client-proxy possono transitare su TLS. Secure Web Proxy supporta anche HTTP e HTTPS
CONNECTper connessioni TLS end-to-end avviate dal client al server di destinazione.Questa importante misura di sicurezza viene gestita automaticamente dal servizio in modo che il traffico sia protetto senza richiedere la configurazione manuale o il monitoraggio degli standard di crittografia.
Integrazione di Cloud Audit Logs e Google Cloud Observability: utilizzando Google Cloud Observability, Cloud Audit Logs registra sia le azioni amministrative (modifiche ai criteri) sia le richieste di accesso e le metriche (log delle transazioni proxy) per Secure Web Proxy. Questa visualizzazione unificata e integrata facilita il monitoraggio della sicurezza e la generazione di report di conformità.
Come funziona Secure Web Proxy
Secure Web Proxy funge da checkpoint di sicurezza obbligatorio per tutto il traffico web dalla rete della tua organizzazione a internet. I workload interni devono rispettare le regole di sicurezza di Secure Web Proxy prima di poter raggiungere internet.
Gateway centralizzato: i tuoi carichi di lavoro, come macchine virtuali (VM) e container, sono configurati per inviare tutte le richieste web in uscita all'istanza centrale di Secure Web Proxy.
Applicazione delle policy: il proxy ispeziona la richiesta e applica le tue policy di sicurezza granulari per determinare se consentire o negare la connessione.
Traffico in uscita sicuro: se la richiesta è consentita, il traffico viene instradato in modo sicuro verso internet utilizzando l'infrastruttura Google Cloud, in genere Cloud NAT. Il proxy utilizza anche Cloud DNS per risolvere gli indirizzi web esterni.
Policy di Secure Web Proxy
Un criterio del proxy web sicuro definisce lo standard di sicurezza complessivo per una regione o un insieme di workload specifici, perché è il contenitore principale che archivia tutte le istruzioni di sicurezza.
Ecco le caratteristiche principali di una policy Secure Web Proxy:
L'impostazione predefinita di una policy è di negare tutto il traffico in uscita, il che garantisce che nessuna richiesta web esca dalla tua rete, a meno che tu non lo consenta esplicitamente.
Puoi creare un unico criterio e riutilizzarlo in più istanze di Secure Web Proxy, in modo da mantenere le regole di sicurezza coerenti ed efficienti.
Per saperne di più sulle policy di Secure Web Proxy, consulta la panoramica delle policy.
Regole di Secure Web Proxy
All'interno di ogni criterio Secure Web Proxy, sono presenti una o più regole Secure Web Proxy. Queste regole sono le singole istruzioni che determinano esattamente quale traffico deve essere consentito, negato o registrato.
Ecco le caratteristiche principali delle regole di Secure Web Proxy:
Ogni regola è un'istruzione
if-thenmolto specifica che controlla una richiesta web in base a più criteri:Chi sta chiedendo: l'identità di origine, ad esempio una VM o un service account specifico
Dove sta cercando di andare: l'URL o il dominio di destinazione, ad esempio
trusted-partner.comAzione da intraprendere: consentire o negare il traffico
Le regole di Secure Web Proxy forniscono un controllo granulare, consentendoti di applicare standard di sicurezza diversi per le diverse parti della tua organizzazione utilizzando definizioni chiare e strutturate.
Per saperne di più sulle regole di Secure Web Proxy, vedi Panoramica delle regole.
Modalità di deployment
Questa sezione descrive le varie modalità in cui puoi eseguire il deployment di Secure Web Proxy.
Modalità di routing proxy esplicito
In questa modalità, devi configurare esplicitamente gli ambienti di lavoro e i client in modo che puntino direttamente al server proxy. Secure Web Proxy isola i tuoi client da internet. In questo modo, Secure Web Proxy funge da intermediario, stabilendo nuove connessioni TCP per il client e garantendo che ogni connessione soddisfi i requisiti della policy di sicurezza gestita. Per maggiori informazioni su come eseguire il deployment della modalità di routing proxy esplicito, vedi Creare ed eseguire il deployment di un'istanza di Secure Web Proxy.
Il seguente diagramma mostra il ruolo di Secure Web Proxy come gateway centralizzato e obbligatorio per il traffico in uscita dall'ambiente Google Cloud :
Modalità di collegamento del servizio Private Service Connect
Con questa modalità, puoi centralizzare i deployment del proxy web in un'architettura complessa con più Virtual Private Cloud (VPC). Per centralizzare il deployment di Secure Web Proxy quando sono presenti più reti, utilizza Network Connectivity Center.
Quando provi a scalare il deployment con Network Connectivity Center, esistono alcuni limiti. Se esegui il deployment di Secure Web Proxy come collegamento al servizio Private Service Connect, puoi risolvere queste limitazioni relative allo scaling.
Come mostrato nel seguente diagramma, questa modalità di deployment crea un pattern hub-and-spoke. In questo deployment, Secure Web Proxy (l'hub) gestisce il traffico in uscita per i carichi di lavoro in tutte le reti VPC connesse (gli spoke). Per saperne di più, consulta Deployment di Secure Web Proxy come collegamento del servizio.
Modalità hop successivo
In questa modalità, puoi configurare il deployment di Secure Web Proxy in modo che funga da hop successivo per il routing nella tua rete. In altre parole, puoi configurare il routing di rete per inviare automaticamente il traffico in uscita all'istanza di Secure Web Proxy. Questo metodo di deployment riduce il sovraccarico amministrativo della tua organizzazione perché non devi configurare manualmente ogni carico di lavoro di origine o client per utilizzare il proxy.
Per ulteriori informazioni, vedi Esegui il deployment di Secure Web Proxy come hop successivo.
Limitazioni
Versioni IP: Secure Web Proxy supporta solo IPv4, IPv6 non è supportato.
Versioni HTTP: Secure Web Proxy supporta le versioni HTTP/0.9, 1.0, 1.1 e 2.0. HTTP/3 non è supportato.
Ambito di deployment: le istanze di Secure Web Proxy possono essere implementate solo in un progetto host, non in un progetto di servizio.
Altri Google Cloud strumenti da considerare
Puoi integrare Secure Web Proxy con i seguenti strumenti per migliorare la postura di sicurezza complessiva dei tuoi carichi di lavoro e delle tue applicazioni: Google Cloud
Utilizza Google Cloud Armor per proteggere i deploymentGoogle Cloud da diverse minacce, inclusi attacchi DDoS (distributed denial of service) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi).
Specifica le regole firewall VPC per proteggere le connessioni da o verso le tue istanze VM.
Implementa i Controlli di servizio VPC per impedire l'esfiltrazione di dati dai servizi, come Cloud Storage e BigQuery. Google Cloud
Utilizza Cloud NAT per abilitare la connettività a internet in uscita non protetta per determinate risorse Google Cloud senza un indirizzo IP esterno.