Políticas e regras

As políticas e regras do proxy seguro da Web são a base da sua estratégia de segurança do tráfego de saída da Web. Elas oferecem controle preciso sobre o tráfego da Web, permitindo ou negando solicitações com base na identidade de origem, como contas de serviço ou tags seguras, e atributos de destino, como listas de URLs. Você pode usar essas políticas e regras de segurança para garantir que apenas o tráfego autorizado possa sair da sua rede.

Nesta página, descrevemos como definir políticas, estruturar regras específicas para controlar o tráfego, incluindo conexões TCP não relacionadas à Web, e aplicar segurança granular com base na identidade de origem e nos atributos de destino.

Visão geral das políticas

Uma política de proxy da Web seguro é o principal item de segurança que define os controles de acesso para todo o tráfego de saída da Web. Confira os principais recursos das políticas do Secure Web Proxy:

Controle de políticas: uma política armazena o conjunto completo de instruções (regras do proxy seguro da Web) que o proxy usa para determinar se permite ou nega uma solicitação da Web.
Proteção sempre: as políticas do Secure Web Proxy são deny-all por padrão. Isso significa que o proxy bloqueia todas as solicitações (HTTP/S) até que você crie uma regra específica para permitir, aplicando uma arquitetura de confiança zero desde o início.
Lógica da política: cada política é criada com base em duas verificações principais: determinar a origem do tráfego e verificar o destino permitido.

As políticas do Secure Web Proxy são baseadas nos três parâmetros a seguir:

Origem do tráfego: para identificar a origem do tráfego, o proxy seguro da Web usa vários atributos, como contas de serviço, tags seguras e endereços IP.
Destino permitido: para determinar os destinos permitidos, o proxy da Web seguro usa um domínio de destino, um caminho de URL completo (se a inspeção TLS estiver ativada), listas de URLs ou a porta de destino.
Detalhes da solicitação: o proxy da Web seguro também pode analisar atributos específicos da solicitação da Web, como protocolo, método HTTP ou cabeçalhos de solicitação. Para realizar essa análise, é necessário ativar a inspeção TLS para o tráfego criptografado.

Atributos de origem

Para aplicar a segurança granular, as políticas do proxy seguro da Web identificam a origem do tráfego usando os seguintes dados de identidade na nuvem e de local da rede:

Contas de serviço: identidades exclusivas atribuídas aos seus aplicativos ou cargas de trabalho. Isso permite criar políticas com base na função específica de um aplicativo. Por exemplo, "Somente a conta de serviço de backup pode acessar o Cloud Storage".
Tags seguras: rótulos que podem ser aplicados aos seus recursos do Google Cloud , como instâncias de máquina virtual (VM). Com as tags, é possível agrupar cargas de trabalho por função ou ambiente. Por exemplo, "Permitir que todos os recursos rotulados como Production acessem domínios aprovados".
Endereços IP: endereço de rede específico da máquina do remetente. É possível atribuir seus endereços IP empresariais (ou estáticos Google Cloud ) que o Secure Web Proxy usa para o tráfego de saída.

Identidades compatíveis para atributos de origem

O proxy seguro da Web usa políticas baseadas na identidade de origem, como contas de serviço e tags seguras, para controlar o tráfego da Web. Ao usar políticas baseadas na identidade de origem, é possível aplicar regras com base em quem ou o que está enviando o tráfego, em vez de apenas o endereço IP.

A tabela a seguir mostra os vários serviços do Google Cloud que oferecem suporte a essas políticas com base na identidade de origem:

Google Cloud serviços	Suporte para contas de serviço	Suporte a tags seguras
Máquina virtual (VM) do Compute Engine
Nó do Google Kubernetes Engine (GKE)
Contêiner do Google Kubernetes Engine (GKE)	¹	¹
VPC direta para o Cloud Run		¹
Conector de acesso VPC sem servidor	²	²
Cloud VPN	¹	¹
Cloud Interconnect no local	¹	¹
Balanceador de carga de aplicativo
Balanceador de carga de rede

¹ Não é compatível com Google Cloud.
² O endereço IP de origem é exclusivo e pode ser usado.

A tabela a seguir mostra se várias arquiteturas de nuvem privada virtual (VPC) são compatíveis ao usar políticas de segurança baseadas em identidade de origem:

VPC	Arquitetura da VPC	Suporte
Na VPC	Entre projetos (VPC compartilhada)
Na VPC	Entre regiões
Entre VPCs	Link de peering cruzado (VPC de peering)
Entre VPCs	Private Service Connect entre projetos
Entre VPCs	Spokes do Network Connectivity Center entre redes

Atributos de destino

As políticas do Secure Web Proxy determinam se um destino é aprovado analisando os seguintes atributos do site ou serviço de destino:

Domínio de destino: o endereço do site, como example.com.
Listas de URLs: listas predefinidas de URLs aprovados ou bloqueados que ajudam a gerenciar suas políticas com mais eficiência.
Porta de destino: porta de rede para onde a instância do Secure Web Proxy envia tráfego. Por exemplo, 443 para HTTPS.
Caminho completo do URL: caminho exato do site. Isso exige que a inspeção de TLS seja ativada para ver todo o conteúdo na página da Web específica.

Para tráfego de destino HTTP e HTTPS, é possível usar o atributo de destino host e vários atributos relacionados ao destino request.*, como request.method, no seu aplicativo.

Para mais informações sobre os atributos de destino que podem ser usados para tráfego HTTP e HTTPS, consulte Atributos.

Visão geral das regras

Uma regra do Secure Web Proxy é uma instrução individual em uma política do Secure Web Proxy que realiza a correspondência real e define a ação final: permitir ou negar. Sua instância do Secure Web Proxy avalia regras com base na prioridade, com o menor número verificado primeiro. O proxy para e age de acordo com a primeira regra que corresponde à solicitação.

As regras usam os dois mecanismos de correspondência especializados a seguir para inspecionar o tráfego:

Session Matcher: verifica informações básicas sobre a conexão de rede enquanto ela está sendo configurada. O Session Matcher inclui os seguintes itens:
- Identidade de origem (conta de serviço ou tag segura)
- Nome do host de destino (o nome de domínio)
- Porta de destino
Application Matcher: inspeciona o conteúdo da solicitação da Web real. Normalmente, ele é usado para garantir o controle granular e exige a inspeção de TLS para verificar o tráfego criptografado. O Application Matcher inclui os seguintes itens:
- Caminho completo do URL
- Método de solicitação: por exemplo, bloquear todas as ações DELETE
- Cabeçalhos HTTP específicos

Regras de correspondência de host

O Secure Web Proxy usa a correspondência de nome do host para verificar o domínio de destino, que varia um pouco dependendo de como o proxy é implantado, conforme mostrado na tabela a seguir. Para mais informações, consulte Configurar regras de correspondência de host.

Modo de implantação	Processo de verificação do host
Modo de proxy explícito	Para tráfego não criptografado, o proxy verifica o nome do host em relação ao cabeçalho de conexão HTTP. Se você usar [atributos do Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) para inspeção de TLS, o proxy vai verificar o nome do host em duas etapas: primeiro no nível da conexão e depois no nível do aplicativo.
Modo de próximo salto	Para tráfego criptografado, o proxy verifica o nome do host de destino em relação ao campo de indicação de nome do servidor (SNI) na solicitação de saída, que fica visível mesmo em conexões seguras.

Modo de implantação

Processo de verificação do host

Modo de proxy explícito

Para tráfego não criptografado, o proxy verifica o nome do host em relação ao cabeçalho de conexão HTTP. Se você usar [atributos do Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) para inspeção de TLS, o proxy vai verificar o nome do host em duas etapas: primeiro no nível da conexão e depois no nível do aplicativo.

Modo de próximo salto

Para tráfego criptografado, o proxy verifica o nome do host de destino em relação ao campo de indicação de nome do servidor (SNI) na solicitação de saída, que fica visível mesmo em conexões seguras.

Regras de proxy TCP

As regras de proxy do protocolo TCP (TCP) permitem controlar o tráfego que não é padrão da Web, como a porta 80 para HTTP e a porta 443 para HTTPS. Ao configurar regras de proxy TCP, você pode aprovar ou bloquear o tráfego em qualquer outra porta TCP. Isso ajuda a bloquear tráfego malicioso e ter controle granular sobre aplicativos não Web que usam TCP.

Se sua carga de trabalho (como aplicativos e serviços) usar o Secure Web Proxy como próximo salto, será útil aplicar regras de proxy TCP. Isso acontece porque o uso de um processo de redirecionamento baseado em rotas aponta o tráfego não HTTP(S) e não da Web para sua instância do Secure Web Proxy. Assim, você bloqueia o tráfego malicioso antes que ele chegue ao aplicativo e controla quais aplicativos ou sites podem acessar sua rede.

Para mais informações, consulte Configurar regras de proxy TCP.