Questa guida descrive le limitazioni note di Secure Web Proxy.
Limitazioni di Cloud NAT
Ogni istanza di Secure Web Proxy richiede un gateway Cloud NAT abilitato solo per gli endpoint di Secure Web Proxy nella regione in questione. Il primo proxy web sicuro di cui viene eseguito il provisioning in una regione di rete Virtual Private Cloud (VPC) esegue anche il provisioning di un gateway Cloud NAT. Il gateway Cloud NAT consente il traffico in uscita per tutte le istanze Secure Web Proxy in quella rete virtuale regione.
Limitazioni di rete per le identità
Le informazioni sull'identità del client non sono accessibili oltre i confini di VPC o progetti.
È supportato solo IPv4
Secure Web Proxy supporta solo IPv4. IPv6 non è supportato.
Gli indirizzi IP interni sono a livello di regione
Secure Web Proxy alloca indirizzi IP virtuali all'interno di una regione. Lo strumento virtuale Gli indirizzi IP sono raggiungibili solo nella regione in cui sono assegnati. Inoltre, le istanze di Secure Web Proxy vengono provisionate in una regione all'interno di una rete VPC. Di conseguenza, gli indirizzi IPv4 devono essere allocati da una subnet della regione in cui si trova l'istanza di Secure Web Proxy.
Di seguito viene descritto come Secure Web Proxy assegna gli indirizzi IP:
- Se durante il provisioning viene specificato un indirizzo IP non prenotato, .
- Se non viene specificato un indirizzo IP, ma sono specificate una subnet e una rete, viene allocato automaticamente un indirizzo IP all'interno della subnet specificata.
- Se non sono specificati indirizzo IP, subnet e rete, verrà viene allocato automaticamente all'interno della subnet predefinita rete predefinita.
Il provisioning IP non va a buon fine se non è soddisfatto nessuno degli elementi precedenti.
Gli indirizzi IP allocati da Secure Web Proxy sono IP virtuali assegnati a un gruppo di proxy distribuiti in più celle all'interno di regione. Secure Web Proxy agisce come un server proxy esplicito, che richiede ai client di avere connettività all'indirizzo IP virtuale per passare HTTP(S) in uscita per via del traffico. I client che dispongono della connettività all'indirizzo IP virtuale possono accedere Secure Web Proxy con i seguenti metodi:
- Peering di rete VPC
- VPC condiviso
- On-premise mediante Cloud VPN o Cloud Interconnect
Traffico con crittografia TLS e HTTPS
I criteri di sicurezza hanno un accesso ridotto agli attributi delle richieste per il traffico criptato con TLS tra il client e la destinazione. Questa crittografia è distinta dal protocollo TLS facoltativo tra il client e Secure Web Proxy.
Sono disponibili le informazioni di origine e l'host di destinazione. Tuttavia, il percorso, il metodo HTTP e le intestazioni non lo sono. Di conseguenza, l'utilizzo degli attributi request in una
GatewaySecurityPolicyRule
ApplicationMatcher in modo implicito
implica la corrispondenza nel traffico HTTP, ma non nel traffico HTTPS.
Versioni HTTP supportate
Sono supportate le versioni HTTP 0.9, 1.0, 1.1 e 2.0. HTTP 3 non è supportato.
Proxy web sicuro nel VPC condiviso
Puoi eseguire il deployment di Secure Web Proxy solo in un progetto host. Non puoi eseguire il deployment Secure Web Proxy in un progetto di servizio.