Le policy e le regole di Secure Web Proxy sono alla base della tua strategia di sicurezza del traffico web in uscita. Forniscono un controllo preciso del traffico web consentendo o negando le richieste in base all'identità di origine, ad esempio, service account o tag protetti—e agli attributi di destinazione, ad esempio, elenchi di URL. Puoi utilizzare queste policy e regole di sicurezza per assicurarti che solo il traffico autorizzato possa lasciare la rete.
Questa pagina descrive come definire le policy, strutturare regole specifiche per controllare il traffico, incluse le connessioni TCP non web, e applicare la sicurezza granulare in base all'identità di origine e agli attributi di destinazione.
Panoramica dei criteri
Una policy Secure Web Proxy è l'elemento di sicurezza principale che definisce i controlli di accesso per tutto il traffico web in uscita. Ecco le funzionalità principali delle policy Secure Web Proxy:
Controllo delle policy: una policy memorizza l'insieme completo di istruzioni (regole Secure Web Proxy) che il proxy utilizza per determinare se consentire o negare una richiesta web.
Sicurezza per impostazione predefinita: le policy Secure Web Proxy sono
deny-allper impostazione predefinita. Ciò significa che il proxy blocca ogni richiesta (HTTP/S) finché non crei una regola specifica per consentirla, applicando un'architettura Zero Trust fin dall'inizio.Logica delle policy: ogni policy si basa su due controlli principali: determinare l'origine del traffico e verificare la destinazione consentita.
Le policy Secure Web Proxy si basano sui seguenti tre parametri:
Origine del traffico: per identificare l'origine del traffico, Secure Web Proxy utilizza vari attributi come service account, tag protetti e indirizzi IP.
Destinazione consentita: per determinare le destinazioni consentite, Secure Web Proxy utilizza un dominio di destinazione, un percorso dell'URL completo (se l'ispezione TLS è abilitata), elenchi di URL o la porta di destinazione.
Dettagli della richiesta: Secure Web Proxy può anche analizzare attributi specifici della richiesta web stessa, come il protocollo, il metodo HTTP o le intestazioni della richiesta. Per eseguire questa analisi, devi abilitare l'ispezione TLS per il traffico criptato.
Attributi di origine
Per applicare la sicurezza granulare, le policy Secure Web Proxy identificano l'origine del traffico utilizzando i seguenti dati di identità cloud e dati sulla posizione di rete:
- Service account: identità univoche assegnate alle applicazioni o ai carichi di lavoro. In questo modo puoi creare policy basate sulla funzione specifica di un'applicazione. Ad esempio, "Solo il account di servizio di backup può accedere a Cloud Storage".
- Tag protetti: etichette che puoi applicare
alle tue Google Cloud risorse, ad esempio le istanze di macchine virtuali (VM).
I tag ti consentono di raggruppare i carichi di lavoro per funzione o ambiente. Ad esempio,
"Consenti a tutte le risorse con l'etichetta
Productiondi accedere ai domini approvati ". - Indirizzi IP: indirizzo di rete specifico della macchina del mittente. Puoi assegnare i tuoi indirizzi IP aziendali (o gli indirizzi IP statici) che Secure Web Proxy utilizza per il traffico in uscita. Google Cloud
Identità supportate per gli attributi di origine
Secure Web Proxy utilizza policy basate sull'identità di origine, come service account e tag protetti, per controllare il traffico web. Utilizzando le policy basate sull'identità di origine, puoi applicare regole basate su chi o cosa invia il traffico, anziché solo sull'indirizzo IP.
La tabella seguente mostra i vari Google Cloud servizi che supportano queste policy basate sull'identità di origine:
| Google Cloud servizi | Supporto per i service account | Supporto per i tag protetti |
|---|---|---|
| Macchina virtuale (VM) Compute Engine | ||
| Nodo Google Kubernetes Engine (GKE) | ||
| Container Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC diretto per Cloud Run | 1 | |
| Connettore di accesso VPC serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect on-premise | 1 | 1 |
| Bilanciatore del carico delle applicazioni | ||
| Bilanciatore del carico di rete |
2 L'indirizzo IP di origine è univoco e può essere utilizzato al suo posto.
La tabella seguente mostra se le varie architetture Virtual Private Cloud (VPC) sono supportate quando si utilizzano policy di sicurezza basate sull'identità di origine:
| VPC | Architettura VPC | Supporto |
|---|---|---|
| All'interno del VPC | Tra progetti (VPC condiviso) | |
| Tra VPC | Tra link di peering (VPC peer) | |
| Tra VPC | Tra Private Service Connect | |
| Tra VPC | Tra spoke del Network Connectivity Center |
Attributi di destinazione
Le policy Secure Web Proxy determinano se una destinazione è approvata analizzando i seguenti attributi del sito web o del servizio di destinazione:
Dominio di destinazione: l'indirizzo del sito web, ad esempio
example.com.Elenchi di URL: elenchi predefiniti di URL approvati o bloccati che contribuiscono a rendere più efficiente la gestione delle policy.
Porta di destinazione: porta di rete a cui l'istanza Secure Web Proxy invia il traffico. Ad esempio,
443per HTTPS.Percorso dell'URL completo: percorso esatto del sito web. Per visualizzare l'intero contenuto della pagina web specifica, è necessario abilitare l'ispezione TLS.
Per il traffico di destinazione HTTP e HTTPS, puoi utilizzare l'attributo di destinazione host e vari attributi correlati alla destinazione request.*, ad esempio request.method, per la tua applicazione.
Per saperne di più sugli attributi di destinazione che puoi utilizzare per il traffico HTTP e HTTPS, consulta Attributi.
Panoramica delle regole
Una regola Secure Web Proxy è una singola istruzione all'interno di una policy Secure Web Proxy che esegue la corrispondenza effettiva e definisce l'azione finale: consentire o negare. L'istanza Secure Web Proxy valuta le regole in base alla priorità, con il numero più basso controllato per primo. Il proxy si arresta e agisce in base alla prima regola che corrisponde alla richiesta.
Le regole utilizzano i seguenti due motori di corrispondenza specializzati per ispezionare il traffico:
Session Matcher: controlla le informazioni di base sulla connessione di rete durante la configurazione. Session Matcher include i seguenti elementi:
- Identità di origine (account di servizio o tag protetto)
- Nome host di destinazione (il nome di dominio)
- Porta di destinazione
Application Matcher: ispeziona il contenuto della richiesta web effettiva. In genere viene utilizzato per garantire un controllo granulare e richiede l'ispezione TLS per controllare il traffico criptato. Application Matcher include i seguenti elementi:
- Percorso dell'URL completo
- Metodo di richiesta, ad esempio blocca tutte le azioni
DELETE - Intestazioni HTTP specifiche
Regole di corrispondenza host
Secure Web Proxy utilizza la corrispondenza del nome host per verificare il dominio di destinazione, che varia leggermente a seconda della modalità di deployment del proxy, come mostrato nella tabella seguente. Per saperne di più, consulta Configurare le regole di corrispondenza host.
| Modalità di deployment | Procedura di verifica dell'host |
|---|---|
| Modalità proxy esplicito | Per il traffico non criptato, il proxy controlla il nome host rispetto all'intestazione della connessione HTTP. Se utilizzi [attributi Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) per l'ispezione TLS, il proxy controlla il nome host in due passaggi: prima a livello di connessione e poi a livello di applicazione. |
| Modalità hop successivo | Per il traffico criptato, il proxy controlla il nome host di destinazione rispetto al campo Server Name Indication (SNI) nella richiesta in uscita, che è visibile anche sulle connessioni sicure. |
Regole del proxy TCP
Le regole del proxy TCP (Transmission Control Protocol) consentono di controllare il traffico non web standard, ad esempio la porta 80 per HTTP e la porta 443 per HTTPS. Configurando le regole del proxy TCP, puoi approvare o bloccare il traffico su qualsiasi altra porta TCP. In questo modo puoi bloccare il traffico dannoso e ottenere un controllo granulare sulle applicazioni non web che utilizzano TCP.
Se il tuo carico di lavoro (ad esempio applicazioni e servizi) utilizza Secure Web Proxy come hop successivo, l'applicazione delle regole del proxy TCP è vantaggiosa. Questo perché l'utilizzo di una procedura di reindirizzamento basata su route indirizza il traffico non HTTP(S) e non web all'istanza Secure Web Proxy. In questo modo, puoi impedire al traffico dannoso di raggiungere l'applicazione e controllare quali applicazioni o siti web possono accedere alla tua rete.
Per saperne di più, consulta Configurare le regole del proxy TCP.
Passaggi successivi
- Crea una policy
- Configura le regole
- Utilizza i service account per creare policy
- Utilizza i tag per creare policy
- Utilizza un elenco di URL per creare policy