O Secure Web Proxy é um serviço que prioriza a nuvem ajuda a proteger o tráfego de saída da Web (HTTP/S). Você configura seus clientes para usar explicitamente o Secure Web Proxy como gateway. As solicitações da Web podem se originar das seguintes fontes:
- Instâncias de máquina virtual (VM)
- Contêineres
- Ambiente sem servidor que usa um conector sem servidor
- Cargas de trabalho fora do Google Cloud conectadas pelo Cloud VPN ou Cloud Interconnect
O Secure Web Proxy permite políticas flexíveis e granulares com base identidades com foco na nuvem e aplicativos da Web.
Modos de distribuição
É possível implantar o Secure Web Proxy das seguintes maneiras:
Modo de roteamento de proxy explícito
É possível configurar ambientes de carga de trabalho e clientes para usar explicitamente o servidor proxy. O Secure Web Proxy isola os clientes da Internet criando novas conexões TCP em nome do cliente, aderindo à política política de segurança da nuvem.
Para instruções detalhadas, consulte Implante uma instância do Secure Web Proxy.
Modo de anexo do serviço Private Service Connect
Para centralizar a implantação do Secure Web Proxy quando houver vários use o Network Connectivity Center. Mas existem algumas ao tentar escalonar verticalmente com o Network Connectivity Center. Adicionar o Secure Web Proxy como um anexo de serviço do Private Service Connect, limitações. Para implantar o Secure Web Proxy, faça o seguinte:
- Adicionar o Secure Web Proxy como um serviço do Private Service Connect no lado do produtor de um Private Service Connect uma conexão com a Internet.
- Criar um endpoint do consumidor do Private Service Connect em cada que precisa ser conectada à rede VPC Anexo do serviço Private Service Connect.
- Direcionar o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplicar políticas a esse tráfego.
A implantação funciona no modo hub e spoke, em que o O Secure Web Proxy está no caminho de saída para cargas de trabalho nos vários redes VPC conectadas.
Para instruções detalhadas, consulte Implantar o Secure Web Proxy como um anexo de serviço.
Soluções compatíveis com o Secure Web Proxy
O Secure Web Proxy oferece suporte às soluções a seguir.
Migração para o Google Cloud
O Secure Web Proxy ajuda você a migrar para o Google Cloud enquanto mantém as políticas de segurança e os requisitos para o tráfego de saída da Web. Você pode evitar o uso de soluções de terceiros que exijam outro console de gerenciamento. ou editar manualmente os arquivos de configuração.
Acesso a serviços da Web externos confiáveis
O Secure Web Proxy permite aplicar políticas de acesso granular à sua Web de saída para proteger a rede. Você cria e identifica cargas de trabalho identidades de aplicativos e, em seguida, aplicar políticas a locais da Web.
Acesso monitorado a serviços da Web não confiáveis
É possível usar o Secure Web Proxy para fornecer acesso monitorado a sites não confiáveis serviços. O Secure Web Proxy identifica o tráfego que não está em conformidade com a política e os registra no Cloud Logging (Logging). Você pode monitorar uso da Internet, descobrir ameaças à rede e responder a ameaças.
Benefícios do Secure Web Proxy
O Secure Web Proxy oferece os seguintes benefícios.
Economia de tempo operacional
O Secure Web Proxy não tem VMs para configurar e não exige atualizações de software para manter a segurança e oferece escalonamento elástico. Após a inicial configuração da política, uma instância regional do Secure Web Proxy funciona sem caixa O Secure Web Proxy oferece ferramentas para simplificar a configuração, o teste e implantação para que você possa se concentrar em outras tarefas.
Implantação flexível
O Secure Web Proxy dá suporte a implantações básicas e flexíveis. Proxy seguro da Web instâncias, políticas do Secure Web Proxy e listas de URLs são objetos modulares que podem ser criados ou reutilizados por administradores diferentes. Por exemplo, é possível implantar várias instâncias do Secure Web Proxy que usem a mesma política do Secure Web Proxy.
Segurança avançada
As políticas e configurações padrão do Secure Web Proxy são "negar tudo" por padrão. Além disso, o Google Cloud atualiza automaticamente o Secure Web Proxy de software e infraestrutura, reduzindo os riscos de vulnerabilidades de segurança.
Recursos compatíveis
O Secure Web Proxy dá suporte aos seguintes recursos:
Serviço de proxy explícito: os clientes são configurados explicitamente para usar o servidor proxy. O proxy seguro da Web isola os clientes Internet criando novas conexões TCP em nome do cliente.
Escalonamento automático de proxies Envoy do Secure Web Proxy: suporte automático ajustando o tamanho do pool de proxy Envoy e a capacidade do pool em uma região; o que permite um desempenho consistente em períodos de grande demanda no menor custo.
Políticas de acesso de saída modular:o Secure Web Proxy é compatível especificamente com as seguintes políticas de saída:
- Identidade de origem baseada em tags seguras, contas de serviço ou endereços IP.
- Destinos com base em URLs e nomes de host.
- Solicitações com base em métodos, cabeçalhos ou URLs. Os URLs podem ser especificados usando listas, caracteres curinga ou padrões.
Criptografia de ponta a ponta:os túneis proxy de cliente podem transitar por TLS. O Secure Web Proxy também oferece suporte a HTTP/S
CONNECTpara processos iniciados pelo cliente, conexões TLS de ponta a ponta com o servidor de destino.Integração dos Registros de auditoria do Cloud e da observabilidade do Google Cloud:Registros de auditoria do Cloud e A observabilidade do Google Cloud registra atividades administrativas e solicitações de acesso para recursos relacionados ao Secure Web Proxy. Eles também registram métricas e registros de transações para solicitações processadas pelo proxy.
Outras ferramentas do Google Cloud a considerar
O Google Cloud oferece as seguintes ferramentas para os ambientes implantações:
Use o Google Cloud Armor para proteger implantações do Google Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques a aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique as regras de firewall da VPC para proteger as conexões ou das instâncias de VM.
Implementar o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud, como Cloud Storage e BigQuery.
Usar o Cloud NAT para ativar a Internet de saída desprotegida conectividade para determinados recursos do Google Cloud sem um IP externo endereço IP.