Las políticas y las reglas del Proxy web seguro son la base de tu estrategia de seguridad del tráfico web saliente. Proporcionan un control preciso sobre el tráfico web, ya que permiten o rechazan solicitudes según la identidad de origen, como las cuentas de servicio o las etiquetas seguras, y los atributos de destino, como las listas de URLs. Puedes usar estas políticas y reglas de seguridad para garantizar que solo el tráfico autorizado pueda salir de tu red.
En esta página, se describe cómo definir políticas, estructurar reglas específicas para controlar el tráfico, incluidas las conexiones TCP que no son web, y aplicar seguridad detallada según la identidad de origen y los atributos de destino.
Descripción general de las políticas
Una política del Proxy web seguro es el elemento de seguridad principal que define los controles de acceso para todo el tráfico web saliente. Estas son las funciones clave de las políticas del Proxy web seguro:
Control de políticas: Una política almacena el conjunto completo de instrucciones (reglas del Proxy web seguro) que el proxy usa para determinar si permite o rechaza una solicitud web.
Seguridad predeterminada: Las políticas del Proxy web seguro son
deny-allde forma predeterminada. Esto significa que el proxy bloquea todas las solicitudes (HTTP/S) hasta que creas una regla específica para permitirlas, lo que aplica una arquitectura de confianza cero desde el principio.Lógica de políticas: Cada política se basa en dos verificaciones principales: determinar la fuente de tráfico y verificar el destino permitido.
Las políticas del Proxy web seguro se basan en los siguientes tres parámetros:
Fuente de tráfico: Para identificar la fuente de tráfico, el Proxy web seguro usa varios atributos, como cuentas de servicio, etiquetas seguras y direcciones IP.
Destino permitido: Para determinar los destinos permitidos, el Proxy web seguro usa un dominio de destino, una ruta de URL completa (si la inspección de TLS está habilitada), listas de URLs o el puerto de destino.
Detalles de la solicitud: El Proxy web seguro también puede analizar atributos específicos de la solicitud web en sí, como el protocolo, el método HTTP o los encabezados de la solicitud. Para realizar este análisis, debes habilitar la inspección de TLS para el tráfico encriptado.
Atributos de origen
Para aplicar seguridad detallada, las políticas del Proxy web seguro identifican la fuente del tráfico mediante los siguientes datos de identidad de la nube y ubicación de la red:
- Cuentas de servicio: Son identidades únicas que se asignan a tus aplicaciones o cargas de trabajo. Esto te permite crear políticas basadas en la función específica de una aplicación. Por ejemplo, "Solo la cuenta de servicio de copia de seguridad puede acceder a Cloud Storage".
- Etiquetas seguras: Son etiquetas que puedes aplicar
a tus Google Cloud recursos (como instancias de máquina virtual [VM]).
Las etiquetas te permiten agrupar cargas de trabajo por función o entorno. Por ejemplo,
"Permite que todos los recursos etiquetados como
Productionaccedan a los dominios aprobados." - Direcciones IP: Es la dirección de red específica de la máquina del remitente. Puedes asignar las direcciones IP de tu empresa (o direcciones IP estáticas) que el Proxy web seguro usa para el tráfico saliente. Google Cloud
Identidades admitidas para atributos de origen
El Proxy web seguro usa políticas basadas en la identidad de origen, como cuentas de servicio y etiquetas seguras, para controlar el tráfico web. Si usas políticas basadas en la identidad de origen, puedes aplicar reglas basadas en quién o qué envía el tráfico, en lugar de solo la dirección IP.
En la siguiente tabla, se muestran los distintos Google Cloud servicios que admiten estas políticas basadas en la identidad de origen:
| Google Cloud Servicios | Compatibilidad con cuentas de servicio | Compatibilidad con etiquetas seguras |
|---|---|---|
| Máquina virtual (VM) de Compute Engine | ||
| Nodo de Google Kubernetes Engine (GKE) | ||
| Contenedor de Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC directa para Cloud Run | 1 | |
| Conector de Acceso a VPC sin servidores | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect en las instalaciones | 1 | 1 |
| Balanceador de cargas de aplicaciones | ||
| Balanceador de cargas de red |
2 La dirección IP de origen es única y se puede usar en su lugar.
En la siguiente tabla, se muestra si se admiten varias arquitecturas de nube privada virtual (VPC) cuando se usan políticas de seguridad basadas en la identidad de origen:
| VPC | Arquitectura de VPC | Compatibilidad |
|---|---|---|
| Dentro de la VPC | Entre proyectos (VPC compartida) | |
| Entre VPC | Vínculo de intercambio de tráfico entre redes (VPC de intercambio de tráfico entre redes) | |
| Entre VPC | Entre Private Service Connect | |
| Entre VPC | Entre radios de Network Connectivity Center |
Atributos de destino
Las políticas del Proxy web seguro determinan si se aprueba un destino mediante el análisis de los siguientes atributos del sitio web o servicio de destino:
Dominio de destino: Es la dirección del sitio web, como
example.com.Listas de URLs: Son listas predefinidas de URLs aprobadas o bloqueadas que ayudan a que la administración de tus políticas sea más eficiente.
Puerto de destino: Es el puerto de red al que tu instancia del Proxy web seguro envía tráfico. Por ejemplo,
443para HTTPS.Ruta de URL completa: Es la ruta exacta del sitio web. Esto requiere que la inspección de TLS esté habilitada para ver todo el contenido en la página web específica.
Para el tráfico de destino HTTP y HTTPS, puedes usar el atributo de destino host y varios atributos relacionados con el destino request.*, como request.method para tu aplicación.
Para obtener más información sobre los atributos de destino que puedes usar para el tráfico HTTP y HTTPS, consulta Atributos.
Descripción general de las reglas
Una regla del Proxy web seguro es una instrucción individual dentro de una política del Proxy web seguro que realiza la coincidencia real y define la acción final: permitir o rechazar. Tu instancia del Proxy web seguro evalúa las reglas según la prioridad, y primero se verifica el número más bajo. El proxy se detiene y actúa según la primera regla que coincida con la solicitud.
Las reglas usan los siguientes dos motores de coincidencia especializados para inspeccionar el tráfico:
Session Matcher: Verifica la información básica sobre la conexión de red a medida que se configura. Session Matcher incluye los siguientes elementos:
- Identidad de origen (cuenta de servicio o etiqueta segura)
- Nombre de host de destino (el nombre de dominio)
- Puerto de destino
Application Matcher: Inspecciona el contenido de la solicitud web real. Por lo general, se usa para garantizar un control detallado y requiere la inspección de TLS para verificar el tráfico encriptado. Application Matcher incluye los siguientes elementos:
- Ruta de URL completa
- Método de solicitud, por ejemplo, bloquear todas las acciones
DELETE - Encabezados HTTP específicos
Reglas de coincidencia de host
El Proxy web seguro usa la coincidencia de nombres de host para verificar el dominio de destino, que varía ligeramente según cómo se implemente el proxy, como se muestra en la siguiente tabla. Para obtener más información, consulta Configura reglas de coincidencia de host.
| Modo de Deployment | Proceso de verificación de host |
|---|---|
| Modo de proxy explícito | Para el tráfico no encriptado, el proxy verifica el nombre de host con el encabezado de conexión HTTP. Si usas [atributos de Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) para la inspección de TLS, el proxy verifica el nombre de host en dos pasos: primero a nivel de la conexión y, luego, a nivel de la aplicación. |
| Modo de próximo salto | Para el tráfico encriptado, el proxy verifica el nombre de host de destino con el campo de indicación de nombre del servidor (SNI) en la solicitud saliente, que es visible incluso en conexiones seguras. |
Reglas de proxy TCP
Las reglas de proxy del Protocolo de control de transmisión (TCP) te permiten controlar el tráfico que no es tráfico web estándar, como el puerto 80 para HTTP y el puerto 443 para HTTPS. Si configuras reglas de proxy TCP, puedes aprobar o bloquear el tráfico en cualquier otro puerto TCP. Esto te ayuda a bloquear el tráfico malicioso y obtener un control detallado sobre las aplicaciones que no son web que usan TCP.
Si tu carga de trabajo (como tus aplicaciones y servicios) usa el Proxy web seguro como próximo salto, es beneficioso aplicar reglas de proxy TCP. Esto se debe a que el uso de un proceso de redireccionamiento basado en rutas dirige el tráfico que no es HTTP(S) y que no es web a tu instancia del Proxy web seguro. De esta manera, puedes bloquear el tráfico malicioso para que no llegue a tu aplicación y controlar qué aplicaciones o sitios web pueden acceder a tu red.
Para obtener más información, consulta Configura reglas de proxy TCP.
¿Qué sigue?
- Crea una política
- Configura reglas
- Usa cuentas de servicio para crear políticas
- Usa etiquetas para crear políticas
- Usa una lista de URLs para crear políticas