O Secure Web Proxy ajuda a proteger todo o tráfego da Web de saída (HTTP e HTTPS) da rede interna da sua organização. Quando você configura seus clientes para usar explicitamente o Secure Web Proxy como um gateway, ele é um ponto de verificação de segurança obrigatório para qualquer aplicativo ou serviço que tente acessar um site fora da sua organização.
Vantagens
O Secure Web Proxy oferece os seguintes benefícios principais:
Manutenção zero. Depois de definir as políticas, o Proxy seguro da Web gerencia seus servidores, aplicando patches e escalonando para ajustar automaticamente a capacidade conforme o tráfego aumenta.
Regras flexíveis e reutilizáveis. Com o Secure Web Proxy, as políticas de segurança são separadas do proxy. Para garantir um gerenciamento consistente, os administradores criam um conjunto de regras de acesso e o aplicam a vários proxies em diferentes partes da organização.
Segurança padrão forte. O Proxy seguro da Web tem uma configuração
deny-allpadrão que bloqueia todo o tráfego de saída até que você o permita explicitamente.O Google Cloud cuida automaticamente de todas as atualizações de software e infraestrutura, o que minimiza o risco contínuo de vulnerabilidades de segurança.Controle de acesso baseado na identidade. Como o Secure Web Proxy verifica de onde vem uma solicitação (o endereço IP) e quem está fazendo a solicitação (o usuário ou a identidade do serviço), o acesso é baseado na função e na necessidade do usuário, não apenas no local da rede. Com o Secure Web Proxy, é possível criar regras altamente específicas, como "Somente membros da equipe financeira podem acessar este site bancário".
Registro e auditoria unificados de tráfego. Todo o tráfego da Web que passa pelo Proxy seguro da Web é registrado e auditado centralmente no Google Cloud. Essa única fonte de verdade clara para todo o acesso de saída ajuda você a rastrear a atividade, investigar incidentes de segurança e atender aos requisitos de compliance.
Controle de acesso. O Secure Web Proxy encaminha todas as solicitações da Web (como visitar um site) dos seus computadores na nuvem e escritórios conectados por um ponto de inspeção central.
Recursos compatíveis
O Secure Web Proxy é compatível com os seguintes recursos:
Escalonamento automático de proxies Envoy do Proxy seguro da Web: o Proxy seguro da Web permite ajustar automaticamente o tamanho do pool de proxies Envoy e a capacidade do pool em uma região, o que possibilita um desempenho consistente durante períodos de alta demanda com o menor custo. O recurso de escalonamento automático gerencia automaticamente os ajustes de capacidade em uma região. Isso significa que você não precisa monitorar e redimensionar manualmente sua frota de proxies, garantindo melhor desempenho com menos tempo operacional.
Políticas modulares de acesso de saída: o Secure Web Proxy gerencia o tráfego de saída com as seguintes ações:
- Identifica entidades de origem usando tags seguras, contas de serviço ou endereços IP.
- Filtra destinos por nomes de host ou URLs quando você ativa a inspeção TLS ou usa HTTP não criptografado.
- Avalia atributos de solicitação, como métodos, cabeçalhos ou URLs, se o tráfego for HTTP não criptografado ou se a inspeção TLS estiver ativada.
Essa natureza modular das políticas (origens, destinos e solicitações) permite que várias equipes criem e gerenciem componentes de regras específicos e reutilizáveis. Um administrador central pode definir uma lista de URLs que vários proxies podem referenciar em políticas distintas.
Criptografia de ponta a ponta: os túneis de proxy do cliente podem transitar por TLS. O Secure Web Proxy também oferece suporte a HTTP e HTTPS
CONNECTpara conexões TLS de ponta a ponta iniciadas pelo cliente com o servidor de destino.Essa medida de segurança crucial é gerenciada automaticamente pelo serviço para que o tráfego seja protegido sem exigir a configuração ou o monitoramento manual dos padrões de criptografia.
Integração dos registros de auditoria do Cloud e da Observabilidade do Google Cloud: ao usar a Observabilidade do Google Cloud, os registros de auditoria do Cloud registram ações administrativas (mudanças de política) e solicitações e métricas de acesso (registros de transações de proxy) para o Secure Web Proxy. Essa visualização unificada e integrada facilita o monitoramento da segurança e a geração de relatórios de compliance.
Como o Secure Web Proxy funciona
O proxy seguro da Web funciona como um checkpoint de segurança obrigatório para todo o tráfego da Web da rede da sua organização para a Internet. As cargas de trabalho internas precisam obedecer às regras de segurança do Secure Web Proxy antes de acessar a Internet.
Gateway centralizado: suas cargas de trabalho, como máquinas virtuais (VMs) e contêineres, são configuradas para enviar todas as solicitações da Web de saída à instância central do Secure Web Proxy.
Aplicação de políticas: o proxy inspeciona a solicitação e aplica suas políticas de segurança granulares para determinar se a conexão deve ser permitida ou negada.
Proteja o tráfego de saída: se a solicitação for permitida, o tráfego será encaminhado com segurança para a Internet usando a infraestrutura Google Cloud, normalmente o Cloud NAT. O proxy também usa o Cloud DNS para resolver endereços da Web externos.
Políticas do Secure Web Proxy
Uma política do Secure Web Proxy define o padrão geral de segurança para uma região ou um conjunto de cargas de trabalho específico porque é o contêiner principal que armazena todas as instruções de segurança.
Confira os principais recursos de uma política do Secure Web Proxy:
A configuração padrão de uma política é negar todo o tráfego de saída, o que garante que nenhuma solicitação da Web saia da sua rede, a menos que você permita especificamente.
É possível criar uma única política e reutilizá-la em várias instâncias do Proxy seguro da Web, o que mantém suas regras de segurança consistentes e eficientes.
Para mais informações sobre as políticas do Secure Web Proxy, consulte Visão geral das políticas.
Regras do Secure Web Proxy
Cada política do Secure Web Proxy tem uma ou mais regras do Secure Web Proxy. Essas regras são as instruções individuais que determinam exatamente qual tráfego será permitido, negado ou registrado.
Confira os principais recursos das regras do Secure Web Proxy:
Cada regra é uma instrução
if-thenaltamente específica que verifica uma solicitação da Web em relação a vários critérios:Quem está perguntando: a identidade de origem, como uma VM ou conta de serviço específica
Para onde eles estão tentando ir: o URL ou domínio de destino, como
trusted-partner.comAção necessária: permitir ou negar o tráfego
As regras do proxy seguro da Web oferecem controle granular, permitindo que você aplique diferentes padrões de segurança a diferentes partes da organização usando definições claras e estruturadas.
Para mais informações sobre as regras do Secure Web Proxy, consulte Visão geral das regras.
Modos de implantação
Esta seção descreve os vários modos em que você pode implantar o Secure Web Proxy.
Modo de roteamento de proxy explícito
Nesse modo, você precisa configurar explicitamente os ambientes e clientes da carga de trabalho para apontar diretamente para o servidor proxy. Em seguida, o Secure Web Proxy isola seus clientes da Internet. Dessa forma, o Secure Web Proxy atua como um intermediário, estabelecendo novas conexões TCP para o cliente e garantindo que cada conexão atenda aos requisitos da política de segurança administrada. Para mais informações sobre como implantar o modo de roteamento de proxy explícito, consulte Criar e implantar uma instância do Secure Web Proxy.
O diagrama a seguir mostra a função do proxy da Web seguro como um gateway centralizado e obrigatório para o tráfego que sai do ambiente Google Cloud :
Modo de anexo do serviço do Private Service Connect
Com esse modo, é possível centralizar as implantações de proxy da Web em uma arquitetura complexa de várias nuvens privadas virtuais (VPCs). Para centralizar a implantação do proxy seguro da Web quando há várias redes, use o Network Connectivity Center.
Ao tentar escalonar sua implantação com o Network Connectivity Center, há alguns limites. Ao implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect, é possível resolver essas limitações relacionadas ao escalonamento.
Conforme mostrado no diagrama a seguir, esse modo de implantação cria um padrão de hub e spoke. Nessa implantação, o Secure Web Proxy (o hub) gerencia o tráfego de saída para cargas de trabalho em todas as redes VPC conectadas (os spokes). Para mais informações, consulte Implantar o Secure Web Proxy como um anexo de serviço.
Modo de próximo salto
Nesse modo, é possível configurar a implantação do Secure Web Proxy para atuar como um próximo salto para o roteamento na sua rede. Em outras palavras, é possível configurar o roteamento de rede para enviar automaticamente o tráfego de saída à instância do Secure Web Proxy. Esse método de implantação reduz a sobrecarga administrativa da sua organização porque não é necessário configurar manualmente cada carga de trabalho de origem ou cliente para usar o proxy.
Para mais informações, consulte Implantar o Secure Web Proxy como próximo salto.
Limitações
Versões de IP: o Secure Web Proxy é compatível apenas com IPv4. O IPv6 não é compatível.
Versões do HTTP: o proxy da Web seguro aceita as versões HTTP/0.9, 1.0, 1.1 e 2.0. O HTTP/3 não é compatível.
Escopo da implantação: as instâncias do Secure Web Proxy só podem ser implantadas em um projeto host, não em um projeto de serviço.
Outras ferramentas Google Cloud para considerar
É possível integrar o proxy seguro da Web às seguintes ferramentas Google Cloud para melhorar a postura geral de segurança das suas cargas de trabalho e aplicativos:
Use o Google Cloud Armor para proteger implantações doGoogle Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques a aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique regras de firewall da VPC para proteger conexões de ou para suas instâncias de VM.
Implemente o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud , como o Cloud Storage e o BigQuery.
Use o Cloud NAT para ativar a conectividade de saída não segura com a Internet para determinados recursos Google Cloud sem um endereço IP externo.