Questa pagina spiega come configurare le regole per il traffico web in uscita con Secure Web Proxy. Puoi controllare il traffico consentito o negato in base a vari criteri, assicurandoti che solo il traffico autorizzato lasci la tua rete. Secure Web Proxy fornisce due meccanismi principali per definire questi controlli: policy di autorizzazione e policy di sicurezza del gateway.
Le policy di autorizzazione forniscono un framework flessibile per proteggere il traffico in uscita. Puoi utilizzare queste policy per abilitare controlli granulari, incluse policy basate su identità e contenuti, e supportare la delega a motori di autorizzazione esterni utilizzando Service Extensions.
Le policy di sicurezza del gateway sono la base per definire le regole di sicurezza in Secure Web Proxy. Consentono o negano le richieste in base all'identità di origine , ad esempio service account o tag sicuri, e agli attributi di destinazione , ad esempio elenchi di URL.
Utilizzare il tipo di policy appropriato
Secure Web Proxy consente di gestire il traffico in uscita utilizzando una policy di autorizzazione o una policy di sicurezza del gateway. Non puoi utilizzare entrambi i tipi di policy sullo stesso gateway.
Scegli un tipo di policy in base ai tuoi requisiti:
Policy di autorizzazione: utilizza questo tipo di policy per funzionalità come le estensioni di autorizzazione personalizzate utilizzando Service Extensions o mTLS frontend.
Se vuoi adottare queste funzionalità per un deployment esistente, devi eseguire la migrazione delle regole per il traffico in uscita dalla policy di sicurezza del gateway a una policy di autorizzazione.
Policy di sicurezza del gateway: utilizza questo tipo di policy se nella policy sono necessari filtri standard a livello di connessione basati sull'identità di origine e sugli attributi di destinazione o sugli elenchi di URL. Le policy di sicurezza del gateway non supportano l'utilizzo di funzionalità come le estensioni di autorizzazione personalizzate o mTLS frontend.
Policy di autorizzazione
Le policy di autorizzazione
consentono di stabilire controlli dell'accesso basati sull'identità
durante l'elaborazione delle richieste in uscita tramite Secure Web Proxy. Puoi configurare
le policy di autorizzazione
(AuthzPolicy)
per convalidare l'identità di un workload o di un agente di origine che accede a
internet.
Una policy di autorizzazione consente di specificare le condizioni per consentire, negare o delegare l'autorizzazione delle richieste in base all'origine, alla destinazione e ad altri attributi della richiesta. Le richieste che superano questi controlli vengono inoltrate alla destinazione web. Le richieste non riuscite vengono rifiutate con un errore 403 Forbidden.
Per Secure Web Proxy, puoi collegare le policy di autorizzazione alla risorsa del gateway per definire il perimetro di sicurezza per il traffico in uscita e valutare le regole delle policy di autorizzazione in Secure Web Proxy. Inoltre, puoi configurare Secure Web Proxy per delegare le decisioni di autorizzazione a un motore di autorizzazione esterno utilizzando le Service Extensions (estensioni di autorizzazione).
Per ulteriori informazioni su come configurare le policy di autorizzazione, consulta Configurare le policy di autorizzazione per Secure Web Proxy.
Le policy di autorizzazione offrono i seguenti vantaggi rispetto alle policy di sicurezza del gateway standard standard:
Superficie delle policy coerente: utilizza l'API
AuthzPolicyunificata per gestire l'autorizzazione del traffico per Secure Web Proxy insieme ad altri servizi come il bilanciatore del carico delle applicazioni e Cloud Service Mesh (CSM).Supporto per Service Extensions: utilizza Service Extensions per delegare le decisioni di autorizzazione alla tua logica personalizzata. Puoi utilizzare le estensioni di autorizzazione per eseguire l'autorizzazione a livello di richiesta (in base a intestazioni, identità e altro) e la sanificazione dei contenuti (ad esempio la protezione dei dati sensibili o il rilevamento delle minacce).
Sicurezza incentrata sull'identità: pur supportando ancora le regole basate su IP, le policy di autorizzazione forniscono un livello di sicurezza più solido consentendo di applicare i controlli in base all'identità. Puoi definire il perimetro di sicurezza utilizzando service account, tag, o mTLS frontend. Puoi anche utilizzare le estensioni di servizio per delegare le decisioni di autorizzazione a servizi basati sull'identità come Identity-Aware Proxy.
Policy e regole di sicurezza del gateway
Una policy di sicurezza del gateway è l' elemento di sicurezza principale che definisce i controlli di accesso per tutto il traffico web in uscita.
Le policy di sicurezza del gateway includono le seguenti funzionalità principali:
Controllo delle policy: una policy contiene le regole di sicurezza del gateway che il proxy utilizza per consentire o negare una richiesta web. Puoi creare una singola policy e riutilizzarla in più istanze di Secure Web Proxy per mantenere le regole di sicurezza coerenti e efficienti.
Sicurezza per impostazione predefinita: le policy di sicurezza del gateway sono
deny-allper impostazione predefinita. Il proxy blocca ogni richiesta HTTP e HTTPS finché non crei una regola specifica per consentirla. In questo modo viene applicata un'architettura Zero Trust fin dall'inizio.Logica delle policy: ogni policy si basa su due controlli principali: determinare l'origine del traffico e verificare la destinazione consentita.
Una regola di sicurezza del gateway è un' istruzione in una policy di sicurezza del gateway che corrisponde e definisce l'azione finale: consentire o negare.
L'istanza di Secure Web Proxy valuta le regole in base alla priorità, con il numero più basso controllato per primo. Il proxy si arresta e agisce in base alla prima regola che corrisponde alla richiesta.
Matcher di sessione: controlla le informazioni di base sulla connessione di rete durante la configurazione. Il matcher di sessione include i seguenti elementi:
- Identità di origine (account di servizio o tag sicuro)
- Nome host di destinazione (il nome di dominio)
- Porta di destinazione
Matcher di applicazione: ispeziona il contenuto della richiesta web effettiva. In genere viene utilizzato per garantire un controllo granulare e richiede l'ispezione TLS per controllare il traffico criptato. Il matcher di applicazione include i seguenti elementi:
- Percorso dell'URL completo
- Metodo di richiesta, ad esempio blocca tutte le azioni
DELETE - Intestazioni HTTP specifiche
Limitazioni
Quando configuri le policy in Secure Web Proxy, si applicano le seguenti limitazioni:
Policy di sicurezza del gateway: queste policy non supportano le estensioni di autorizzazione. Le funzionalità avanzate, come l'utilizzo della logica personalizzata o la delega delle decisioni di autorizzazione a servizi esterni, sono disponibili solo tramite le policy di autorizzazione.
Policy di autorizzazione: queste policy non supportano gli elenchi di URL o la corrispondenza delle espressioni regolari (regex) per le stringhe URL.
Passaggi successivi
- Configurare le policy di autorizzazione per Secure Web Proxy
- Policy di sicurezza del gateway
- Regole di sicurezza del gateway