Las políticas y reglas del proxy web seguro son la base de tu estrategia de seguridad del tráfico web saliente. Proporcionan un control preciso sobre el tráfico web, ya que permiten o rechazan solicitudes según la identidad de origen (como cuentas de servicio o etiquetas seguras) y los atributos de destino (como listas de URLs). Puedes usar estas políticas y reglas de seguridad para garantizar que solo el tráfico autorizado pueda salir de tu red.
En esta página, se describe cómo definir políticas, estructurar reglas específicas para controlar el tráfico (incluidas las conexiones TCP que no son web) y aplicar seguridad detallada según la identidad de origen y los atributos de destino.
Descripción general de las políticas
Una política de proxy web seguro es el elemento de seguridad principal que define los controles de acceso para todo el tráfico web saliente. Estas son las características clave de las políticas de Secure Web Proxy:
Control de políticas: Una política almacena el conjunto completo de instrucciones (reglas del proxy web seguro) que el proxy usa para determinar si permite o rechaza una solicitud web.
Seguro de forma predeterminada: Las políticas de Secure Web Proxy están
deny-allde forma predeterminada. Esto significa que el proxy bloquea cada solicitud (HTTP/S) hasta que creas una regla específica para permitirla, lo que impone una arquitectura de confianza cero desde el principio.Lógica de la política: Cada política se basa en dos verificaciones principales: determinar la fuente del tráfico y verificar el destino permitido.
Las políticas del Proxy web seguro se basan en los siguientes tres parámetros:
Fuente de tráfico: Para identificar la fuente de tráfico, el proxy web seguro usa varios atributos, como cuentas de servicio, etiquetas seguras y direcciones IP.
Destino permitido: Para determinar los destinos permitidos, el proxy web seguro usa un dominio de destino, una ruta de URL completa (si la inspección de TLS está habilitada), listas de URLs o el puerto de destino.
Detalles de la solicitud: El Proxy web seguro también puede analizar atributos específicos de la solicitud web, como el protocolo, el método HTTP o los encabezados de la solicitud. Para realizar este análisis, debes habilitar la inspección de TLS para el tráfico encriptado.
Atributos de la fuente
Para aplicar una seguridad detallada, las políticas del Proxy web seguro identifican la fuente del tráfico con los siguientes datos de identidad de Cloud y ubicación de red:
- Cuentas de servicio: Son identidades únicas que se asignan a tus aplicaciones o cargas de trabajo. Esto te permite crear políticas basadas en la función específica de una aplicación. Por ejemplo, "Solo la cuenta de servicio de copia de seguridad puede acceder a Cloud Storage".
- Etiquetas seguras: Son etiquetas que puedes aplicar a tus recursos de Google Cloud (como instancias de máquina virtual [VM]).
Las etiquetas te permiten agrupar cargas de trabajo por función o entorno. Por ejemplo, "Permite que todos los recursos etiquetados como
Productionaccedan a los dominios aprobados". - Direcciones IP: Dirección de red específica de la máquina del remitente. Puedes asignar las direcciones IP de tu empresa (o direcciones IP estáticas Google Cloud ) que el proxy web seguro usa para el tráfico saliente.
Identidades admitidas para los atributos de origen
El proxy web seguro usa políticas basadas en la identidad de la fuente, como cuentas de servicio y etiquetas seguras, para controlar el tráfico web. Si usas políticas basadas en la identidad de la fuente, puedes aplicar reglas según quién o qué envía el tráfico, en lugar de solo la dirección IP.
En la siguiente tabla, se muestran los distintos servicios de Google Cloud que admiten estas políticas basadas en la identidad de la fuente:
| Google Cloud servicios | Asistencia para cuentas de servicio | Compatibilidad con etiquetas seguras |
|---|---|---|
| Máquina virtual (VM) de Compute Engine | ||
| Nodo de Google Kubernetes Engine (GKE) | ||
| Contenedor de Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC directa para Cloud Run | 1 | |
| Conector de Acceso a VPC sin servidores | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect en las instalaciones | 1 | 1 |
| Balanceador de cargas de aplicaciones | ||
| Balanceador de cargas de red |
2 La dirección IP de origen es única y se puede usar en su lugar.
En la siguiente tabla, se muestra si se admiten varias arquitecturas de nube privada virtual (VPC) cuando se usan políticas de seguridad basadas en la identidad de origen:
| VPC | Arquitectura de VPC | Asistencia |
|---|---|---|
| Dentro de la VPC | Entre proyectos (VPC compartida) | |
| Dentro de la VPC | Entre regiones | |
| VPC cruzada | Vínculo de intercambio de tráfico cruzado (VPC de intercambio de tráfico) | |
| VPC cruzada | Private Service Connect cruzado | |
| VPC cruzada | Radios de Cross Network Connectivity Center |
Atributos de destino
Las políticas del Proxy web seguro determinan si un destino está aprobado analizando los siguientes atributos del sitio web o servicio de destino:
Dominio de destino: La dirección del sitio web, como
example.com.Listas de URLs: Son listas predefinidas de URLs aprobadas o bloqueadas que ayudan a que la administración de tus políticas sea más eficiente.
Puerto de destino: Es el puerto de red al que tu instancia de Secure Web Proxy envía tráfico. Por ejemplo,
443para HTTPS.Ruta de URL completa: Es la ruta exacta del sitio web. Esto requiere que se habilite la inspección de TLS para ver todo el contenido de la página web específica.
Para el tráfico de destino HTTP y HTTPS, puedes usar el atributo de destino host y varios atributos relacionados con el destino request.*, como request.method para tu aplicación.
Para obtener más información sobre los atributos de destino que puedes usar para el tráfico HTTP y HTTPS, consulta Atributos.
Descripción general de las reglas
Una regla del Proxy web seguro es una instrucción individual dentro de una política del Proxy web seguro que realiza la coincidencia real y define la acción final: permitir o rechazar. Tu instancia del Proxy web seguro evalúa las reglas según la prioridad, y primero se verifica el número más bajo. El proxy se detiene y actúa según la primera regla que coincide con la solicitud.
Las reglas usan los siguientes dos motores de correlación especializados para inspeccionar el tráfico:
Session Matcher: Verifica la información básica sobre la conexión de red a medida que se configura. Session Matcher incluye los siguientes elementos:
- Identidad de origen (cuenta de servicio o etiqueta segura)
- Nombre de host de destino (el nombre de dominio)
- Puerto de destino
Application Matcher: Inspecciona el contenido de la solicitud web real. Por lo general, se usa para garantizar un control detallado y requiere la inspección de TLS para verificar el tráfico encriptado. El comparador de aplicaciones incluye los siguientes elementos:
- Ruta de URL completa
- Método de solicitud (por ejemplo, bloquear todas las acciones de
DELETE) - Encabezados HTTP específicos
Reglas de coincidencia de host
El proxy web seguro usa la coincidencia de nombres de host para verificar el dominio de destino, que varía ligeramente según cómo se implemente el proxy, como se muestra en la siguiente tabla. Para obtener más información, consulta Cómo configurar reglas de coincidencia de host.
| Modo de implementación | Proceso de verificación del anfitrión |
|---|---|
| Modo de proxy explícito | Para el tráfico sin encriptar, el proxy verifica el nombre de host con el encabezado de conexión HTTP. Si usas [atributos de Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) para la inspección de TLS, el proxy verifica el nombre de host en dos pasos: primero, a nivel de la conexión y, luego, a nivel de la aplicación. |
| Modo de próximo salto | En el caso del tráfico encriptado, el proxy verifica el nombre de host de destino con el campo de indicación del nombre del servidor (SNI) en la solicitud saliente, que es visible incluso en las conexiones seguras. |
Reglas de proxy TCP
Las reglas de proxy del Protocolo de control de transmisión (TCP) te permiten controlar el tráfico que no es tráfico web estándar, como el puerto 80 para HTTP y el puerto 443 para HTTPS. Si configuras reglas de proxy TCP, puedes aprobar o bloquear el tráfico en cualquier otro puerto TCP. Esto te ayuda a bloquear el tráfico malicioso y a obtener un control detallado sobre las aplicaciones que no son web y que usan TCP.
Si tu carga de trabajo (como tus aplicaciones y servicios) usa el Proxy web seguro como siguiente salto, es beneficioso aplicar reglas de proxy TCP. Esto se debe a que el uso de un proceso de redireccionamiento basado en rutas dirige el tráfico que no es web ni de HTTP(S) a tu instancia de Proxy web seguro. De esta manera, puedes bloquear el tráfico malicioso para que no llegue a tu aplicación y controlar qué aplicaciones o sitios web pueden acceder a tu red.
Para obtener más información, consulta Configura reglas de proxy TCP.
¿Qué sigue?
- Crea una política
- Configurar reglas
- Usa cuentas de servicio para crear políticas
- Cómo usar etiquetas para crear políticas
- Cómo usar una lista de URLs para crear políticas