Políticas e regras

Nesta página, explicamos como configurar regras para seu tráfego da Web de saída com o Secure Web Proxy. É possível controlar qual tráfego é permitido ou negado com base em vários critérios, garantindo que apenas o tráfego autorizado saia da sua rede. O Secure Web Proxy oferece dois mecanismos principais para definir esses controles: políticas de autorização e políticas de segurança de gateway.

As políticas de autorização oferecem uma estrutura flexível para proteger seu tráfego de saída. É possível usar essas políticas para ativar controles refinados, incluindo políticas baseadas em identidade e conteúdo, e oferecer suporte à delegação para mecanismos de autorização externos usando Service Extensions.

As políticas de segurança do gateway são a base para definir regras de segurança no Secure Web Proxy. Elas permitem ou negam solicitações com base na identidade de origem, como contas de serviço ou tags seguras, e atributos de destino, como listas de URLs.

Use o tipo de política adequado

Com o Secure Web Proxy, é possível gerenciar o tráfego de saída usando uma política de autorização ou uma política de segurança de gateway. Não é possível usar os dois tipos de política no mesmo gateway.

Escolha um tipo de política com base nos seus requisitos:

  • Política de autorização: use esse tipo de política para recursos como extensões de autorização personalizadas usando Service Extensions ou mTLS de front-end.

    Se você quiser adotar esses recursos em uma implantação atual, migre as regras de tráfego de saída da política de segurança do gateway para uma política de autorização.

  • Política de segurança do gateway: use esse tipo de política se você precisar de filtragem padrão no nível da conexão com base na identidade de origem e nos atributos de destino ou listas de URLs na sua política. As políticas de segurança do gateway não oferecem suporte ao uso de recursos como extensões de autorização personalizadas ou mTLS de front-end.

Políticas de autorização

Com as políticas de autorização, é possível estabelecer verificações de controle de acesso baseadas em identidade ao processar solicitações de saída pelo Secure Web Proxy. É possível configurar políticas de autorização (AuthzPolicy) para validar a identidade de uma carga de trabalho ou um agente de origem que acessa a Internet.

Com uma política de autorização, é possível especificar condições para permitir, negar ou delegar a autorização de solicitações com base na origem, no destino e em outros atributos. As solicitações que passam nessas verificações são encaminhadas para o destino da Web. As que falham são rejeitadas com um erro 403 Forbidden.

No caso do Secure Web Proxy, é possível anexar políticas de autorização ao recurso de gateway para definir o perímetro de segurança do tráfego de saída e avaliar as regras de política de autorização no Secure Web Proxy. Além disso, é possível configurar o Secure Web Proxy para delegar decisões de autorização a um mecanismo externo usando Service Extensions (extensões de autorização).

Para mais informações sobre como configurar políticas de autorização, consulte Configurar políticas de autorização para o Secure Web Proxy.

As políticas de autorização oferecem os seguintes benefícios em relação às políticas de segurança de gateway padrão:

  • Superfície de política consistente: use a API unificada AuthzPolicy para gerenciar a autorização de tráfego do Secure Web Proxy com outros serviços, como o balanceador de carga de aplicativo e o Cloud Service Mesh (CSM).

  • Suporte a Service Extensions: use Service Extensions para delegar decisões de autorização à sua lógica personalizada. Você pode usar extensões de autorização para realizar autorização no nível da solicitação (com base em cabeçalhos, identidade e muito mais) e limpeza de conteúdo (como proteção de dados sensíveis ou detecção de ameaças).

  • Segurança centrada na identidade: embora ainda ofereçam suporte a regras baseadas em IP, as políticas de autorização proporcionam uma postura de segurança mais robusta, permitindo que você aplique controles com base na identidade. É possível definir seu perímetro de segurança usando contas de serviço, tags ou TLS mútuo de front-end. Também é possível usar Service Extensions para delegar decisões de autorização a serviços baseados em identidade, como o Identity-Aware Proxy.

Políticas e regras de segurança do gateway

Uma política de segurança de gateway é o item principal de segurança que define os controles de acesso para todo o tráfego de saída da Web.

As políticas de segurança de gateway incluem os seguintes recursos principais:

  • Controle de políticas: uma política contém as regras de segurança do gateway que o proxy usa para permitir ou negar uma solicitação da Web. É possível criar uma única política e reutilizá-la em várias instâncias do Secure Web Proxy para manter as regras de segurança consistentes e eficientes.

  • Segurança por padrão: as políticas de segurança do gateway são deny-all por padrão. O proxy bloqueia todas as solicitações HTTP e HTTPS até que você crie uma regra específica para permitir. Isso impõe uma arquitetura de confiança zero desde o início.

  • Lógica da política: cada política é criada com base em duas verificações principais: determinar a origem do tráfego e verificar o destino permitido.

Uma regra de segurança de gateway é uma instrução em uma política de segurança de gateway que corresponde e define a ação final: permitir ou negar.

Sua instância do Secure Web Proxy avalia regras com base na prioridade, com o menor número verificado primeiro. O proxy para e age de acordo com a primeira regra que corresponde à solicitação.

  • Session Matcher: verifica informações básicas sobre a conexão de rede enquanto ela está sendo configurada. O Session Matcher inclui os seguintes itens:

    • Identidade de origem (conta de serviço ou tag segura)
    • Nome do host de destino (o nome de domínio)
    • Porta de destino
  • Corresponder de aplicativo: inspeciona o conteúdo da solicitação da Web real. Normalmente, é usado para garantir o controle granular e exige inspeção TLS para verificar o tráfego criptografado. O recurso "Corresponder de aplicativo" inclui os seguintes itens:

    • Caminho completo do URL
    • Método de solicitação: por exemplo, bloquear todas as ações DELETE
    • Cabeçalhos HTTP específicos

Limitações

Ao configurar políticas no Secure Web Proxy, as seguintes limitações se aplicam:

  • Políticas de segurança do gateway: essas políticas não são compatíveis com extensões de autorização. Recursos avançados, como usar lógica personalizada ou delegar decisões de autorização a serviços externos, estão disponíveis apenas por políticas de autorização.

  • Políticas de autorização: não são compatíveis com listas de URLs ou correspondência de expressões regulares (regex) para strings de URL.

A seguir