Les règles et stratégies de proxy Web sécurisé constituent la base de votre stratégie de sécurité pour le trafic Web sortant. Elles permettent de contrôler précisément le trafic Web en autorisant ou en refusant les requêtes en fonction de l'identité de la source (par exemple, les comptes de service ou les tags sécurisés) et des attributs de destination (par exemple, les listes d'URL). Vous pouvez utiliser ces règles et stratégies de sécurité pour vous assurer que seul le trafic autorisé peut quitter votre réseau.
Cette page explique comment définir des règles, structurer des règles spécifiques pour contrôler le trafic (y compris les connexions TCP non Web) et appliquer une sécurité précise en fonction de l'identité de la source et des attributs de destination.
Présentation des règles
Une stratégie de proxy Web sécurisé est l'élément de sécurité de base qui définit les contrôles d'accès pour l'ensemble du trafic Web sortant. Voici les principales caractéristiques des règles de proxy Web sécurisé :
Contrôle des règles : une règle stocke l'ensemble complet des instructions (règles de proxy Web sécurisé) que le proxy utilise pour déterminer s'il doit autoriser ou refuser une requête Web.
Sécurisé par défaut : les règles Secure Web Proxy sont
deny-allpar défaut. Cela signifie que le proxy bloque chaque requête (HTTP/S) jusqu'à ce que vous créiez une règle spécifique pour l'autoriser, ce qui applique une architecture Zero Trust dès le début.Logique des règles : chaque règle repose sur deux vérifications principales, à savoir la détermination de la source du trafic et la vérification de la destination autorisée.
Les règles du proxy Web sécurisé reposent sur les trois paramètres suivants :
Source du trafic : pour identifier la source du trafic, le proxy Web sécurisé utilise différents attributs tels que les comptes de service, les tags sécurisés et les adresses IP.
Destination autorisée : pour déterminer les destinations autorisées, le proxy Web sécurisé utilise un domaine de destination, un chemin d'URL complet (si l'inspection TLS est activée), des listes d'URL ou le port de destination.
Détails de la requête : Secure Web Proxy peut également analyser des attributs spécifiques de la requête Web elle-même, tels que le protocole, la méthode HTTP ou les en-têtes de requête. Pour effectuer cette analyse, vous devez activer l'inspection TLS pour le trafic chiffré.
Attributs de la source
Pour appliquer une sécurité précise, les règles de proxy Web sécurisé identifient la source du trafic à l'aide des données suivantes sur l'identité cloud et l'emplacement réseau :
- Comptes de service : identités uniques attribuées à vos applications ou charges de travail. Vous pouvez ainsi créer des règles basées sur la fonction spécifique d'une application. Par exemple, "Seul le compte de service de sauvegarde peut accéder à Cloud Storage".
- Tags sécurisés : libellés que vous pouvez appliquer à vos ressources Google Cloud (comme les instances de machines virtuelles (VM)).
Les tags vous permettent de regrouper les charges de travail par fonction ou par environnement. Par exemple, "Autoriser toutes les ressources portant le libellé
Productionà accéder aux domaines approuvés". - Adresses IP : adresse réseau spécifique de la machine de l'expéditeur. Vous pouvez attribuer vos adresses IP d'entreprise (ou adresses IP statiques Google Cloud ) que Secure Web Proxy utilise pour le trafic sortant.
Identités acceptées pour les attributs sources
Le proxy Web sécurisé utilise des règles basées sur l'identité de la source, comme les comptes de service et les tags sécurisés, pour contrôler le trafic Web. En utilisant des règles basées sur l'identité source, vous pouvez appliquer des règles en fonction de l'expéditeur du trafic, et pas seulement de l'adresse IP.
Le tableau suivant présente les différents services Google Cloud qui acceptent ces règles basées sur l'identité de la source :
| Google Cloud services | Assistance pour les comptes de service | Compatibilité avec les tags sécurisés |
|---|---|---|
| Machine virtuelle (VM) Compute Engine | ||
| Nœud Google Kubernetes Engine (GKE) | ||
| Conteneur Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC direct pour Cloud Run | 1 | |
| Connecteur d'accès au VPC sans serveur | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect sur site | 1 | 1 |
| Équilibreur de charge d'application | ||
| Équilibreur de charge réseau |
2 L'adresse IP source est unique et peut être utilisée à la place.
Le tableau suivant indique si différentes architectures de cloud privé virtuel (VPC) sont compatibles avec les règles de sécurité basées sur l'identité source :
| VPC | Architecture VPC | Assistance |
|---|---|---|
| Dans le VPC | Plusieurs projets (VPC partagé) | |
| Dans le VPC | Interrégional | |
| VPC croisés | Lien d'appairage croisé (VPC pair) | |
| VPC croisés | Cross Private Service Connect | |
| VPC croisés | Spokes Network Connectivity Center multiservices |
Attributs de destination
Les règles du proxy Web sécurisé déterminent si une destination est approuvée en analysant les attributs suivants du site Web ou du service cible :
Domaine de destination : adresse du site Web, par exemple
example.com.Listes d'URL : listes prédéfinies d'URL approuvées ou bloquées qui vous aident à gérer plus efficacement vos règles.
Port de destination : port réseau vers lequel votre instance Secure Web Proxy envoie le trafic. Par exemple,
443pour HTTPS.Chemin d'URL complet : chemin d'accès exact au site Web. Pour afficher l'intégralité du contenu de la page Web spécifique, l'inspection TLS doit être activée.
Pour le trafic de destination HTTP et HTTPS, vous pouvez utiliser l'attribut de destination host et divers attributs request.* liés à la destination, comme request.method, pour votre application.
Pour en savoir plus sur les attributs de destination que vous pouvez utiliser pour le trafic HTTP et HTTPS, consultez Attributs.
Présentation des règles
Une règle de proxy Web sécurisé est une instruction individuelle au sein d'une règle de proxy Web sécurisé qui effectue la mise en correspondance et définit l'action finale : autoriser ou refuser. Votre instance de proxy Web sécurisé évalue les règles en fonction de leur priorité, en commençant par le nombre le plus faible. Le proxy s'arrête et agit en fonction de la première règle qui correspond à la requête.
Les règles utilisent les deux moteurs de correspondance spécialisés suivants pour inspecter le trafic :
Session Matcher : vérifie les informations de base sur la connexion réseau lors de sa configuration. Session Matcher inclut les éléments suivants :
- Identité source (compte de service ou tag sécurisé)
- Nom d'hôte de destination (nom de domaine)
- Port de destination
Application Matcher : inspecte le contenu de la requête Web réelle. Elle est généralement utilisée pour assurer un contrôle précis et nécessite une inspection TLS pour vérifier le trafic chiffré. L'outil Application Matcher inclut les éléments suivants :
- Chemin d'URL complet
- Méthode de requête (par exemple, bloquer toutes les actions
DELETE) - En-têtes HTTP spécifiques
Règles de mise en correspondance des hôtes
Secure Web Proxy utilise la mise en correspondance des noms d'hôte pour vérifier le domaine de destination, qui varie légèrement selon la façon dont votre proxy est déployé, comme indiqué dans le tableau suivant. Pour en savoir plus, consultez Configurer des règles de correspondance d'hôte.
| Mode de déploiement | Procédure de validation de l'hôte |
|---|---|
| Mode proxy explicite | Pour le trafic non chiffré, le proxy vérifie le nom d'hôte par rapport à l'en-tête de connexion HTTP. Si vous utilisez des [attributs Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) pour l'inspection TLS, le proxy vérifie le nom d'hôte en deux étapes : d'abord au niveau de la connexion, puis au niveau de l'application. |
| Mode du saut suivant | Pour le trafic chiffré, le proxy vérifie le nom d'hôte de destination par rapport au champ "Indication du nom du serveur" (SNI) de la requête sortante, qui est visible même sur les connexions sécurisées. |
Règles de proxy TCP
Les règles de proxy du protocole TCP (TCP) vous permettent de contrôler le trafic qui n'est pas du trafic Web standard, comme le port 80 pour HTTP et le port 443 pour HTTPS. En configurant des règles de proxy TCP, vous pouvez approuver ou bloquer le trafic sur n'importe quel autre port TCP. Cela vous aide à bloquer le trafic malveillant et à contrôler précisément les applications non Web qui utilisent TCP.
Si votre charge de travail (comme vos applications et services) utilise un proxy Web sécurisé comme prochain saut, il est avantageux d'appliquer des règles de proxy TCP. En effet, l'utilisation d'un processus de redirection basé sur les routes pointe le trafic non HTTP(S) et non Web vers votre instance Secure Web Proxy. Vous pouvez ainsi empêcher le trafic malveillant d'atteindre votre application et contrôler les applications ou les sites Web qui peuvent accéder à votre réseau.
Pour en savoir plus, consultez Configurer des règles de proxy TCP.
Étapes suivantes
- Créer une règle
- Configurer des règles
- Utiliser des comptes de service pour créer des règles
- Utiliser des tags pour créer des règles
- Créer des règles à l'aide d'une liste d'URL