As políticas e regras do Secure Web Proxy são a base da sua estratégia de segurança de tráfego de saída da Web. Elas oferecem controle preciso sobre o tráfego da Web, permitindo ou negando solicitações com base na identidade de origem, como contas de serviço ou tags seguras—e atributos de destino, como listas de URLs. Você pode usar essas políticas e regras de segurança para garantir que apenas o tráfego autorizado possa sair da sua rede.
Esta página descreve como definir políticas, estruturar regras específicas para controlar o tráfego, incluindo conexões TCP não relacionadas à Web, e aplicar segurança granular com base na identidade de origem e nos atributos de destino.
Visão geral das políticas
Uma política do Secure Web Proxy é o item de segurança principal que define os controles de acesso para todo o tráfego de saída da Web. Confira os principais recursos das políticas do Secure Web Proxy:
Controle de políticas: uma política armazena o conjunto completo de instruções (regras do Secure Web Proxy) que o proxy usa para determinar se uma solicitação da Web deve ser permitida ou negada.
Segurança por padrão: as políticas do Secure Web Proxy são
deny-allpor padrão. Isso significa que o proxy bloqueia todas as solicitações (HTTP/S) até que você crie uma regra específica para permiti-las, aplicando uma arquitetura de confiança zero desde o início.Lógica de política: cada política é criada com base em duas verificações principais: determinar a origem do tráfego e verificar o destino permitido.
As políticas do Secure Web Proxy são baseadas nestes três parâmetros:
Origem do tráfego: para identificar a origem do tráfego, o Secure Web Proxy usa vários atributos, como contas de serviço, tags seguras e endereços IP.
Destino permitido: para determinar os destinos permitidos, o Secure Web Proxy usa um domínio de destino, um caminho de URL completo (se a inspeção TLS estiver ativada), listas de URLs ou a porta de destino.
Detalhes da solicitação: o Secure Web Proxy também pode analisar atributos específicos da própria solicitação da Web, como o protocolo, o método HTTP ou os cabeçalhos de solicitação. Para realizar essa análise, é necessário ativar a inspeção TLS para tráfego criptografado.
Atributos de origem
Para aplicar a segurança granular, as políticas do Secure Web Proxy identificam a origem do tráfego usando os seguintes dados de Cloud Identity e local da rede:
- Contas de serviço: identidades exclusivas atribuídas aos seus aplicativos ou cargas de trabalho. Isso permite criar políticas com base na função específica de um aplicativo. Por exemplo, "Somente a conta de serviço de backup pode acessar o Cloud Storage".
- Tags seguras: marcadores que podem ser aplicados
aos seus Google Cloud recursos, como instâncias de máquina virtual (VM).
As tags permitem agrupar cargas de trabalho por função ou ambiente. Por exemplo,
"Permitir que todos os recursos marcados como
Productionacessem domínios aprovados ". - Endereços IP: endereço de rede específico da máquina do remetente. Você pode atribuir seus endereços IP corporativos (ou endereços IP estáticos) que o Secure Web Proxy usa para tráfego de saída. Google Cloud
Identidades compatíveis com atributos de origem
O Secure Web Proxy usa políticas com base na identidade de origem, como contas de serviço e tags seguras, para controlar o tráfego da Web. Ao usar políticas baseadas na identidade de origem, é possível aplicar regras com base em quem ou o que está enviando o tráfego, em vez de apenas no endereço IP.
A tabela a seguir mostra os vários Google Cloud serviços que oferecem suporte a essas políticas baseadas na identidade de origem:
| Google Cloud serviços | Suporte a contas de serviço | Suporte a tags seguras |
|---|---|---|
| Máquina virtual (VM) do Compute Engine | ||
| Nó do Google Kubernetes Engine (GKE) | ||
| Contêiner do Google Kubernetes Engine (GKE) | 1 | 1 |
| VPC direta para o Cloud Run | 1 | |
| Conector de acesso VPC sem servidor | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect no local | 1 | 1 |
| Balanceador de carga de aplicativo | ||
| Balanceador de carga de rede |
2 O endereço IP de origem é exclusivo e pode ser usado.
A tabela a seguir mostra se várias arquiteturas de nuvem privada virtual (VPC) são compatíveis ao usar políticas de segurança baseadas na identidade de origem:
| VPC | Arquitetura de VPC | Suporte |
|---|---|---|
| Na VPC | Entre projetos (VPC compartilhada) | |
| Entre VPCs | Link de peering cruzado (VPC de peering) | |
| Entre VPCs | Private Service Connect cruzado | |
| Entre VPCs | Spokes do Network Connectivity Center de rede cruzada |
Atributos do destino
As políticas do Secure Web Proxy determinam se um destino é aprovado analisando os seguintes atributos do site ou serviço de destino:
Domínio de destino: o endereço do site, como
example.com.Listas de URLs: listas predefinidas de URLs aprovados ou bloqueados que ajudam a tornar o gerenciamento das políticas mais eficiente.
Porta de destino: porta de rede para a qual a instância do Secure Web Proxy envia tráfego. Por exemplo,
443para HTTPS.Caminho do URL completo: caminho exato do site. Isso exige que a inspeção TLS seja ativada para visualizar todo o conteúdo na página da Web específica.
Para o tráfego de destino HTTP e HTTPS, é possível usar o atributo de destino host e vários atributos relacionados ao destino request.*, como request.method, para seu aplicativo.
Para mais informações sobre os atributos de destino que podem ser usados para tráfego HTTP e HTTPS, consulte Atributos.
Visão geral das regras
Uma regra do Secure Web Proxy é uma instrução individual em uma política do Secure Web Proxy que realiza a correspondência real e define a ação final: permitir ou negar. A instância do Secure Web Proxy avalia as regras com base na prioridade, com o menor número verificado primeiro. O proxy para e age na primeira regra que corresponde à solicitação.
As regras usam estes dois mecanismos de correspondência especializados para inspecionar o tráfego:
Session Matcher: verifica informações básicas sobre a conexão de rede à medida que ela está sendo configurada. O Session Matcher inclui os seguintes itens:
- Identidade de origem (conta de serviço ou tag segura)
- Nome do host de destino (o nome de domínio)
- Porta de destino
Application Matcher: inspeciona o conteúdo da solicitação da Web real. Geralmente, ele é usado para garantir o controle granular e exige a inspeção TLS para verificar o tráfego criptografado. O Application Matcher inclui os seguintes itens:
- Caminho de URL completo
- Método de solicitação, por exemplo, bloquear todas as ações
DELETE - Cabeçalhos HTTP específicos
Regras de correspondência de host
O Secure Web Proxy usa a correspondência de nome do host para verificar o domínio de destino, que varia um pouco dependendo de como o proxy é implantado, conforme mostrado na tabela a seguir. Para mais informações, consulte Configurar regras de correspondência de host.
| Modo de implantação | Processo de verificação de host |
|---|---|
| Modo de proxy explícito | Para tráfego não criptografado, o proxy verifica o nome do host contra o cabeçalho de conexão HTTP. Se você usar [atributos do Application Matcher](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) para inspeção TLS, o proxy vai verificar o nome do host em duas etapas: primeiro no nível da conexão e depois no nível do aplicativo. |
| Modo de próximo salto | Para tráfego criptografado, o proxy verifica o nome do host de destino no campo Indicação de nome do servidor (SNI, na sigla em inglês) na solicitação de saída, que fica visível mesmo em conexões seguras. |
Regras de proxy TCP
As regras de proxy do protocolo TCP (TCP) permitem controlar o tráfego que não é padrão da Web, como a porta 80 para HTTP e a porta 443 para HTTPS. Ao configurar regras de proxy TCP, é possível aprovar ou bloquear o tráfego em qualquer outra porta TCP. Isso ajuda a bloquear tráfego malicioso e a ter controle granular sobre aplicativos não relacionados à Web que usam TCP.
Se a carga de trabalho (como aplicativos e serviços) usar Secure Web Proxy como próximo salto, a aplicação de regras de proxy TCP será benéfica. Isso ocorre porque o uso de um processo de redirecionamento baseado em rota aponta o tráfego não HTTP(S) e não relacionado à Web para a instância do Secure Web Proxy. Ao fazer isso, é possível bloquear o tráfego malicioso de alcançar o aplicativo e controlar quais aplicativos ou sites podem acessar sua rede.
Para mais informações, consulte Configurar regras de proxy TCP.
A seguir
- Criar uma política
- Configurar regras
- Usar contas de serviço para criar políticas
- Usar tags para criar políticas
- Usar uma lista de URLs para criar políticas