Questa guida descrive le limitazioni note di Secure Web Proxy.
Limitazioni di Cloud NAT
Ogni istanza di Secure Web Proxy richiede un gateway Cloud NAT che sia abilitato solo per gli endpoint Secure Web Proxy in quella regione. Anche il primo Secure Web Proxy di cui è stato eseguito il provisioning in una regione di rete Virtual Private Cloud (VPC) esegue il provisioning di un gateway Cloud NAT. Il gateway Cloud NAT abilita il traffico in uscita per tutte le istanze Secure Web Proxy nella rete virtuale e nell'area geografica in questione.
Limitazioni di rete sulle identità
Le informazioni sull'identità client non sono accessibili in nessun VPC o limite di progetto.
È supportato solo IPv4
Secure Web Proxy supporta solo IPv4. IPv6 non supportato.
Gli indirizzi IP interni sono a livello di regione
Secure Web Proxy alloca indirizzi IP virtuali all'interno di una regione. Gli indirizzi IP virtuali sono raggiungibili solo nella regione a cui sono assegnati. Inoltre, il provisioning delle istanze Secure Web Proxy viene eseguito in una regione all'interno di una rete VPC. Di conseguenza, gli indirizzi IPv4 devono essere allocati dall'interno di una subnet dell'area geografica in cui si trova l'istanza Secure Web Proxy.
Di seguito viene descritto in che modo Secure Web Proxy alloca gli indirizzi IP:
- Se durante il provisioning viene specificato un indirizzo IP non prenotato, viene utilizzato quell'indirizzo.
- Se non viene specificato un indirizzo IP, ma vengono specificate una subnet e una rete, viene allocato automaticamente un indirizzo IP all'interno della subnet specificata.
- Se non vengono specificati indirizzo IP, subnet e rete, viene allocato automaticamente un indirizzo IP all'interno della subnet predefinita della rete predefinita.
Il provisioning IP non va a buon fine se nessuno dei requisiti precedenti è soddisfatto.
Gli indirizzi IP allocati da Secure Web Proxy sono IP virtuali e vengono assegnati a un gruppo di proxy distribuiti in più celle all'interno di un'area geografica. Secure Web Proxy funge da server proxy esplicito, che richiede ai client di connettersi all'indirizzo IP virtuale per passare il traffico HTTP(S) in uscita. I client che sono connessi all'indirizzo IP virtuale possono accedere a Secure Web Proxy tramite i seguenti metodi:
- Peering di rete VPC
- VPC condiviso
- On-premise con Cloud VPN o Cloud Interconnect
Traffico criptato TLS e HTTPS
I criteri di sicurezza hanno un accesso ridotto agli attributi delle richieste per il traffico criptato con TLS tra il client e la destinazione. Questa crittografia è distinta dal protocollo TLS facoltativo tra il client e Secure Web Proxy.
Sono disponibili le informazioni sull'origine e l'host di destinazione. Tuttavia, percorso, metodo HTTP e intestazioni
non lo sono. Di conseguenza, l'utilizzo degli attributi request in un elemento
GatewaySecurityPolicyRule
ApplicationMatcher comporta implicitamente
la corrispondenza nel traffico HTTP, ma non in quello HTTPS.
Versioni HTTP supportate
Sono supportate le versioni HTTP 0.9, 1.0, 1.1 e 2.0. HTTP 3 non è supportato.
Secure Web Proxy nel VPC condiviso
Puoi eseguire il deployment di Secure Web Proxy solo in un progetto host. Non puoi eseguire il deployment di Secure Web Proxy in un progetto di servizio.