Présentation du proxy Web sécurisé

Le proxy Web sécurisé est un service cloud-first qui vous aide à sécuriser le trafic Web de sortie (HTTP/S). Vous configurez vos clients pour qu'ils utilisent explicitement le proxy Web sécurisé en tant que passerelle. Les requêtes Web peuvent provenir des sources suivantes:

  • Instances de machines virtuelles (VM)
  • Conteneurs
  • Environnement sans serveur utilisant un connecteur sans serveur
  • Charges de travail en dehors de Google Cloud connectées par Cloud VPN ou Cloud Interconnect

Le proxy Web sécurisé permet de créer des règles flexibles et précises basées sur des identités et des applications Web axées sur le cloud.

Solutions compatibles avec le proxy Web sécurisé

Le proxy Web sécurisé est compatible avec les solutions suivantes.

Migration vers Google Cloud

Le proxy Web sécurisé vous aide à migrer vers Google Cloud tout en conservant vos règles de sécurité et vos exigences existantes pour le trafic Web de sortie. Vous pouvez éviter d'utiliser des solutions tierces qui nécessitent d'utiliser une autre console de gestion ou de modifier manuellement les fichiers de configuration.

Accès à des services Web externes de confiance

Le proxy Web sécurisé vous permet d'appliquer des règles d'accès précises à votre trafic Web de sortie afin de sécuriser votre réseau. Vous créez et identifiez les identités des charges de travail ou des applications, puis vous appliquez des stratégies aux emplacements Web.

Accès surveillé aux services Web non approuvés

Vous pouvez utiliser le proxy Web sécurisé pour fournir un accès surveillé à des services Web non approuvés. Le proxy Web sécurisé identifie le trafic non conforme aux règles et le consigne dans Cloud Logging (Logging). Vous pouvez ensuite surveiller l'utilisation d'Internet, détecter les menaces qui pèsent sur votre réseau et réagir.

Avantages du proxy Web sécurisé

Le proxy Web sécurisé offre les avantages suivants.

Gains de temps de fonctionnement

Le proxy Web sécurisé n'a pas de VM à configurer, il ne nécessite pas de mises à jour logicielles pour maintenir la sécurité, et il offre un scaling élastique. Après la configuration initiale de la règle, une instance de proxy Web sécurisé régionale est prête à l'emploi. Le proxy Web sécurisé fournit des outils permettant de simplifier la configuration, les tests et le déploiement afin que vous puissiez vous concentrer sur d'autres tâches.

Déploiement flexible

Le proxy Web sécurisé permet des déploiements simples et flexibles. Les instances de proxy Web sécurisé, les règles de proxy Web sécurisé et les listes d'URL sont des objets modulaires qui peuvent être créés ou réutilisés par des administrateurs distincts. Par exemple, vous pouvez déployer plusieurs instances de proxy Web sécurisé qui utilisent toutes la même règle de proxy Web sécurisé.

Sécurité renforcée

Les configurations et règles par défaut du proxy Web sécurisé sont "Tout refuser" par défaut. De plus, Google Cloud met automatiquement à jour les logiciels et l'infrastructure du proxy Web sécurisé, ce qui réduit le risque de faille de sécurité.

Fonctionnalités compatibles

Le proxy Web sécurisé est compatible avec les fonctionnalités suivantes:

  • Service proxy explicite:les clients sont explicitement configurés pour utiliser le serveur proxy. Le proxy Web sécurisé isole les clients d'Internet en créant des connexions TCP pour le compte du client.

  • Autoscaling des proxys Envoy sécurisés:prend en charge l'ajustement automatique de la taille du pool de proxys Envoy et de la capacité du pool dans une région, ce qui permet d'obtenir des performances cohérentes lors des périodes de forte demande, pour un coût minimal.

  • Règles d'accès à la sortie modulaire:le proxy Web sécurisé est spécifiquement compatible avec les règles de sortie suivantes:

    • Identité source basée sur des tags sécurisés, des comptes de service ou des adresses IP.
    • Destinations basées sur des URL, des noms d'hôte.
    • Requêtes basées sur des méthodes, des en-têtes ou des URL. Les URL peuvent être spécifiées à l'aide de listes, de caractères génériques ou de formats.

  • Chiffrement de bout en bout:les tunnels client-proxy peuvent transiter via TLS. Le proxy Web sécurisé est également compatible avec le CONNECT HTTP/S pour les connexions TLS de bout en bout initiées par le client et le serveur de destination.

  • Journaux d'audit Cloud et intégration de l'observabilité Google Cloud:Cloud Audit Logs et l'observabilité Google Cloud enregistrent les activités d'administration et les demandes d'accès pour les ressources liées au proxy Web sécurisé. Ils enregistrent également des métriques et des journaux de transactions pour les requêtes traitées par le proxy.

Autres outils Google Cloud à envisager

Google Cloud fournit les outils suivants pour vos déploiements Google Cloud:

  • Utilisez Google Cloud Armor pour protéger les déploiements Google Cloud contre plusieurs menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et les injection SQL (SQLi).

  • Spécifiez des règles de pare-feu VPC pour sécuriser les connexions vers ou depuis vos instances de VM.

  • Mettez en œuvre VPC Service Controls pour empêcher l'exfiltration de données à partir des services Google Cloud, tels que Cloud Storage et BigQuery.

  • Utilisez Cloud NAT pour activer la connectivité Internet sortante non sécurisée pour certaines ressources Google Cloud sans adresse IP externe.