Cette page explique comment configurer des règles pour votre trafic Web sortant avec Secure Web Proxy. Vous pouvez contrôler le trafic autorisé ou refusé en fonction de différents critères, en vous assurant que seul le trafic autorisé quitte votre réseau. Secure Web Proxy fournit deux mécanismes principaux pour définir ces contrôles : les règles d'autorisation et les règles de sécurité de passerelle.
Les règles d'autorisation fournissent un framework flexible pour sécuriser votre trafic sortant. Vous pouvez utiliser ces règles pour activer des contrôles précis, y compris des règles basées sur l'identité et le contenu, et déléguer l'autorisation à des moteurs d'autorisation externes à l'aide d'extensions de service.
Les règles de sécurité de passerelle constituent la base de la définition des règles de sécurité dans Secure Web Proxy. Elles autorisent ou refusent les requêtes en fonction de l'identité source (telle que les comptes de service ou les tags sécurisés) et des attributs de destination, tels que les listes d'URL.
Utiliser le type de règle approprié
Secure Web Proxy vous permet de gérer le trafic sortant à l'aide d'une règle d'autorisation ou d'une règle de sécurité de passerelle. Vous ne pouvez pas utiliser les deux types de règles sur la même passerelle.
Choisissez un type de règle en fonction de vos besoins :
Règle d'autorisation : utilisez ce type de règle pour des fonctionnalités telles que les extensions d'autorisation personnalisées à l'aide d' extensions de service ou mTLS frontend.
Si vous souhaitez adopter ces fonctionnalités pour un déploiement existant, vous devez migrer vos règles de trafic sortant de votre règle de sécurité de passerelle vers une règle d'autorisation.
Règle de sécurité de passerelle : utilisez ce type de règle si vous avez besoin d'un filtrage standard au niveau de la connexion basé sur l'identité source et les attributs de destination, ou de listes d'URL dans votre règle. Les règles de sécurité de passerelle ne sont pas compatibles avec des fonctionnalités telles que les extensions d'autorisation personnalisées ou mTLS frontend.
Règles d'autorisation
Les règles d'autorisation
vous permettent d'établir des vérifications de contrôle des accès basées sur l'identité
lors du traitement des requêtes sortantes via Secure Web Proxy. Vous pouvez configurer
des règles d'autorisation
(AuthzPolicy)
pour valider l'identité d'une charge de travail ou d'un agent source qui accède à
Internet.
Une règle d'autorisation vous permet de spécifier des conditions pour autoriser, refuser ou déléguer l'autorisation de requête en fonction de sa source, de sa destination et d'autres attributs de requête. Les requêtes qui réussissent ces vérifications sont transmises à la destination Web. Les requêtes qui échouent sont rejetées avec une erreur 403 Forbidden.
Pour Secure Web Proxy, vous pouvez associer des règles d'autorisation à votre ressource de passerelle afin de définir le périmètre de sécurité de votre trafic sortant et d'évaluer les règles d'autorisation dans Secure Web Proxy. De plus, vous pouvez configurer Secure Web Proxy pour déléguer les décisions d'autorisation à un moteur d'autorisation externe à l'aide d' extensions de service (extensions d'autorisation).
Pour en savoir plus sur la configuration des règles d'autorisation, consultez Configurer des règles d'autorisation pour Secure Web Proxy.
Les règles d'autorisation offrent les avantages suivants par rapport aux règles de sécurité de passerelle standards :
Surface de règle cohérente : utilisez l'API
AuthzPolicyunifiée pour gérer l'autorisation du trafic pour Secure Web Proxy, ainsi que d'autres services tels que l'équilibreur de charge d'application et Cloud Service Mesh (CSM).Compatibilité avec les extensions de service : utilisez des extensions de service pour déléguer les décisions d'autorisation à votre logique personnalisée. Vous pouvez utiliser des extensions d'autorisation pour effectuer une autorisation au niveau de la requête (en fonction des en-têtes, de l'identité, etc.) et une désinfection du contenu (telle que la protection des données sensibles ou la détection des menaces).
Sécurité axée sur l'identité : tout en étant compatible avec les règles basées sur l'adresse IP, les règles d'autorisation offrent une posture de sécurité plus robuste en vous permettant d'appliquer des contrôles basés sur l'identité. Vous pouvez définir votre périmètre de sécurité à l'aide de comptes de service, tags, ou de TLS mutuel frontend. Vous pouvez également utiliser Service Extensions pour déléguer les décisions d'autorisation à des services basés sur l'identité, tels qu'Identity-Aware Proxy.
Règles et stratégies de sécurité de passerelle
Une règle de sécurité de passerelle policy est l' élément de sécurité de base qui définit les contrôles d'accès pour tout le trafic Web sortant.
Les règles de sécurité de passerelle incluent les fonctionnalités clés suivantes :
Contrôle des règles : une règle contient les règles de sécurité de passerelle que le proxy utilise pour autoriser ou refuser une requête Web. Vous pouvez créer une seule règle et la réutiliser sur plusieurs instances de Secure Web Proxy pour que vos règles de sécurité restent cohérentes et efficaces.
Sécurité intégrée par défaut : les règles de sécurité de passerelle sont
deny-allpar défaut. Le proxy bloque toutes les requêtes HTTP et HTTPS jusqu'à ce que vous créiez une règle spécifique pour l'autoriser. Cela applique une architecture zéro confiance dès le début.Logique des règles : chaque règle repose sur deux vérifications principales : déterminer la source du trafic et vérifier la destination autorisée.
Une règle de sécurité de passerelle est une instruction dans une règle de sécurité de passerelle qui correspond à l'action finale et la définit : autoriser ou refuser.
Votre instance de Secure Web Proxy évalue les règles en fonction de leur priorité, le nombre le plus bas étant vérifié en premier. Le proxy s'arrête et agit sur la première règle qui correspond à la requête.
Session Matcher : vérifie les informations de base sur la connexion réseau lors de sa configuration. Session Matcher comprend les éléments suivants :
- Identité source (compte de service ou tag sécurisé)
- Nom d'hôte de destination (nom de domaine)
- Port de destination
Application Matcher : inspecte le contenu de la requête Web réelle. Il est généralement utilisé pour garantir un contrôle précis et nécessite une inspection TLS pour vérifier le trafic chiffré. Application Matcher comprend les éléments suivants :
- Chemin de l'URL complet
- Méthode de requête, par exemple, bloquer toutes les actions
DELETE - En-têtes HTTP spécifiques
Limites
Lorsque vous configurez des règles dans Secure Web Proxy, les limites suivantes s'appliquent :
Règles de sécurité de passerelle : ces règles ne sont pas compatibles avec les extensions d'autorisation. Les fonctionnalités avancées telles que l'utilisation d'une logique personnalisée ou la délégation de décisions d'autorisation à des services externes ne sont disponibles que via des règles d'autorisation.
Règles d'autorisation : ces règles ne sont pas compatibles avec les listes d'URL ni avec la correspondance d'expressions régulières (regex) pour les chaînes d'URL.
Étape suivante
- Configurer des règles d'autorisation pour Secure Web Proxy
- Règles de sécurité de passerelle
- Règles de sécurité de passerelle