I criteri e le regole di Secure Web Proxy sono alla base della tua strategia di sicurezza del traffico web in uscita. Forniscono un controllo preciso sul traffico web consentendo o negando le richieste in base all'identità di origine, ad esempio service account o tag sicuri, e agli attributi di destinazione, ad esempio elenchi di URL. Puoi utilizzare queste policy e regole di sicurezza per assicurarti che solo il traffico autorizzato possa uscire dalla tua rete.
Questa pagina descrive come definire i criteri, strutturare regole specifiche per controllare il traffico, incluse le connessioni TCP non web, e applicare la sicurezza granulare in base all'identità di origine e agli attributi di destinazione.
Panoramica dei criteri
Un criterio Secure Web Proxy è l'elemento di sicurezza principale che definisce i controlli di accesso per tutto il traffico web in uscita. Ecco le principali funzionalità delle policy Secure Web Proxy:
Controllo delle policy: una policy memorizza l'insieme completo di istruzioni (regole di Secure Web Proxy) che il proxy utilizza per determinare se consentire o negare una richiesta web.
Sicuro per impostazione predefinita: i criteri di Secure Web Proxy sono
deny-allper impostazione predefinita. Ciò significa che il proxy blocca ogni richiesta (HTTP/S) finché non crei una regola specifica per consentirla, applicando un'architettura zero-trust fin dall'inizio.Logica dei criteri: ogni criterio si basa su due controlli principali: la determinazione dell'origine del traffico e la verifica della destinazione consentita.
Le policy di Secure Web Proxy si basano sui seguenti tre parametri:
Origine del traffico: per identificare l'origine del traffico, Secure Web Proxy utilizza vari attributi, ad esempio service account, tag sicuri e indirizzi IP.
Destinazione consentita: per determinare le destinazioni consentite, Secure Web Proxy utilizza un dominio di destinazione, un percorso URL completo (se l'ispezione TLS è abilitata), elenchi di URL o la porta di destinazione.
Dettagli della richiesta: Secure Web Proxy può anche analizzare attributi specifici della richiesta web stessa, come il protocollo, il metodo HTTP o le intestazioni della richiesta. Per eseguire questa analisi, devi abilitare l'ispezione TLS per il traffico criptato.
Attributi sorgente
Per applicare la sicurezza granulare, i criteri del proxy web sicuro identificano l'origine del traffico utilizzando i seguenti dati di identità cloud e posizione di rete:
- Service account: identità univoche assegnate alle tue applicazioni o ai tuoi workload. In questo modo puoi creare policy basate sulla funzione specifica di un'applicazione. Ad esempio, "Solo il account di servizio di backup può accedere a Cloud Storage".
- Tag sicuri: etichette che puoi applicare alle tue risorse Google Cloud (come le istanze di macchine virtuali (VM)).
I tag ti consentono di raggruppare i carichi di lavoro per funzione o ambiente. Ad esempio,
"Consenti a tutte le risorse etichettate
Productiondi accedere ai domini approvati". - Indirizzi IP: indirizzo di rete specifico della macchina del mittente. Puoi assegnare i tuoi indirizzi IP aziendali (o indirizzi IP statici Google Cloud ) che Secure Web Proxy utilizza per il traffico in uscita.
Identità supportate per gli attributi di origine
Secure Web Proxy utilizza criteri basati sull'identità di origine, ad esempio service account e tag sicuri, per controllare il traffico web. Utilizzando criteri basati sull'identità di origine, puoi applicare regole in base a chi o cosa invia il traffico, anziché solo all'indirizzo IP.
La tabella seguente mostra i vari Google Cloud servizi che supportano queste policy basate sull'identità dell'origine:
| Google Cloud servizi | Assistenza per il service account | Supporto dei tag protetti |
|---|---|---|
| Macchina virtuale (VM) Compute Engine | ||
| Nodo Google Kubernetes Engine (GKE) | ||
| Contenitore Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC diretta per Cloud Run | 1 | |
| Connettore di accesso VPC serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect on-premise | 1 | 1 |
| Bilanciatore del carico delle applicazioni | ||
| Bilanciatore del carico di rete |
2 L'indirizzo IP di origine è univoco e può essere utilizzato al suo posto.
La tabella seguente mostra se le varie architetture Virtual Private Cloud (VPC) sono supportate quando si utilizzano criteri di sicurezza basati sull'identità di origine:
| VPC | Architettura VPC | Assistenza |
|---|---|---|
| All'interno di VPC | Tra progetti (VPC condiviso) | |
| All'interno di VPC | Interregionale | |
| Cross VPC | Link di peering incrociato (VPC peer) | |
| Cross VPC | Private Service Connect cross-project | |
| Cross VPC | Spoke di Network Connectivity Center cross-network |
Attributi di destinazione
Le norme di Secure Web Proxy determinano se una destinazione è approvata analizzando i seguenti attributi del sito web o del servizio di destinazione:
Dominio di destinazione: l'indirizzo del sito web, ad esempio
example.com.Elenchi di URL: elenchi predefiniti di URL approvati o bloccati che contribuiscono a rendere più efficiente la gestione delle tue norme.
Porta di destinazione: porta di rete a cui l'istanza Secure Web Proxy invia il traffico. Ad esempio,
443per HTTPS.Percorso URL completo: il percorso esatto del sito web. Per visualizzare l'intero contenuto della pagina web specifica, è necessario attivare l'ispezione TLS.
Per il traffico di destinazione HTTP e HTTPS, puoi utilizzare l'attributo di destinazione host e vari attributi correlati alla destinazione request.*, come request.method, per la tua applicazione.
Per saperne di più sugli attributi di destinazione che puoi utilizzare per il traffico HTTP e HTTPS, consulta Attributi.
Panoramica delle regole
Una regola Secure Web Proxy è una singola istruzione all'interno di un criterio Secure Web Proxy che esegue la corrispondenza effettiva e definisce l'azione finale: consentire o negare. L'istanza di Secure Web Proxy valuta le regole in base alla priorità, con il numero più basso controllato per primo. Il proxy si arresta e agisce in base alla prima regola che corrisponde alla richiesta.
Le regole utilizzano i seguenti due motori di corrispondenza specializzati per esaminare il traffico:
Session Matcher: controlla le informazioni di base sulla connessione di rete durante la configurazione. Session Matcher include i seguenti elementi:
- Identità di origine (account di servizio o tag protetto)
- Nome host di destinazione (il nome di dominio)
- Porta di destinazione
Application Matcher: esamina i contenuti della richiesta web effettiva. Viene in genere utilizzato per garantire un controllo granulare e richiede l'ispezione TLS per controllare il traffico criptato. Application Matcher include i seguenti elementi:
- Percorso URL completo
- Metodo di richiesta, ad esempio blocca tutte le azioni
DELETE - Intestazioni HTTP specifiche
Regole di corrispondenza host
Secure Web Proxy utilizza la corrispondenza del nome host per verificare il dominio di destinazione, che varia leggermente a seconda di come viene implementato il proxy, come mostrato nella tabella seguente. Per saperne di più, consulta Configura le regole di corrispondenza degli host.
| Modalità di deployment | Procedura di verifica dell'host |
|---|---|
| Modalità proxy esplicito | Per il traffico non criptato, il proxy controlla il nome host rispetto all'intestazione della connessione HTTP. Se utilizzi [attributi di Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) per l'ispezione TLS, il proxy controlla il nome host in due passaggi: prima a livello di connessione e poi a livello di applicazione. |
| Modalità hop successivo | Per il traffico criptato, il proxy controlla il nome host di destinazione rispetto al campo Server Name Indication (SNI) nella richiesta in uscita, che è visibile anche su connessioni sicure. |
Regole del proxy TCP
Le regole proxy Transmission Control Protocol (TCP) ti consentono di controllare il traffico non standard, ad esempio la porta 80 per HTTP e la porta 443 per HTTPS. Configurando le regole proxy TCP, puoi approvare o bloccare il traffico su qualsiasi altra porta TCP. In questo modo puoi bloccare
il traffico dannoso e ottenere un controllo granulare sulle applicazioni non web che utilizzano
TCP.
Se il tuo carico di lavoro (ad esempio le tue applicazioni e i tuoi servizi) utilizza Secure Web Proxy come hop successivo, l'applicazione delle regole proxy TCP è vantaggiosa. Questo perché l'utilizzo di un processo di reindirizzamento basato su route indirizza il traffico non HTTP(S) e non web all'istanza di Secure Web Proxy. In questo modo, puoi bloccare il traffico dannoso che raggiunge la tua applicazione e controllare quali applicazioni o siti web possono accedere alla tua rete.
Per saperne di più, consulta Configurare le regole proxy TCP.
Passaggi successivi
- Crea una policy
- Configurare le regole
- Utilizzare gli account di servizio per creare criteri
- Utilizzare i tag per creare criteri
- Utilizzare un elenco di URL per creare criteri