El Proxy web seguro es un servicio centrado en la nube que te ayuda a proteger el tráfico web de salida (HTTP/S). Configura tus clientes para que usen explícitamente el Proxy web seguro como puerta de enlace. Las solicitudes web pueden provenir de las siguientes fuentes:
- Instancias de máquina virtual (VM)
- Contenedores
- Un entorno sin servidores que usa un conector sin servidores
- Cargas de trabajo fuera de Google Cloud conectadas a través de Cloud VPN o Cloud Interconnect
El proxy web seguro habilita políticas flexibles y detalladas basadas en identidades centradas en la nube y aplicaciones web.
Modos de Deployment
Puedes implementar el Proxy web seguro de las siguientes maneras:
Modo de enrutamiento de proxy explícito
Puedes configurar tus entornos de carga de trabajo y clientes para que usen explícitamente el servidor proxy. El proxy web seguro aísla a los clientes de Internet creando conexiones TCP nuevas en nombre del cliente y, al mismo tiempo, cumple con la política de seguridad administrada.
Para obtener instrucciones detalladas, consulta Cómo implementar una instancia de Proxy web seguro.
Modo de adjunto de servicio de Private Service Connect
Para centralizar la implementación de tu proxy web seguro cuando hay varias redes, puedes usar Network Connectivity Center. Sin embargo, existen algunas limitaciones cuando intentas escalar con Network Connectivity Center. Agregar un proxy web seguro como un adjunto de servicio de Private Service Connect supera esas limitaciones. Puedes implementar el Proxy web seguro de la siguiente manera:
- Agrega el proxy web seguro como un archivo adjunto de servicio de Private Service Connect en el lado del productor de una conexión de Private Service Connect.
- Crea un extremo de consumidor de Private Service Connect en cada red de VPC que se deba conectar al adjunto de servicio de Private Service Connect.
- Dirige el tráfico de salida de tu carga de trabajo al proxy web seguro centralizado dentro de la región y aplica políticas a este tráfico.
La implementación funciona de forma centralizada, en la que el proxy web seguro se encuentra en la ruta de salida de las cargas de trabajo en las diversas redes de VPC conectadas.
Para obtener instrucciones detalladas, consulta Cómo implementar un proxy web seguro como archivo adjunto de servicio.
Proxy web seguro como próximo salto
Puedes configurar tu implementación de Proxy web seguro para que actúe como próximo salto para la enrutación en tu red. Configurar el enrutamiento de próximo salto para que apunte a las fuentes de tráfico a tu instancia de Secure Web Proxy reduce la sobrecarga administrativa de configurar una variable de proxy explícita para cada carga de trabajo de origen. Para obtener más información sobre cómo configurar el enrutamiento de próximo salto, consulta Cómo implementar el Proxy web seguro como próximo salto.
Soluciones compatibles con el Proxy web seguro
El proxy web seguro admite las siguientes soluciones.
Migración a Google Cloud:
El proxy web seguro te ayuda a migrar a Google Cloud y, al mismo tiempo, a conservar tus políticas de seguridad y requisitos existentes para el tráfico web de salida. Puedes evitar usar soluciones de terceros que requieran el uso de otra consola de administración o la edición manual de archivos de configuración.
Acceso a servicios web externos de confianza
El proxy web seguro te permite aplicar políticas de acceso detalladas a tu tráfico web de salida para que puedas proteger tu red. Creas e identificas identidades de cargas de trabajo o aplicaciones y, luego, aplicas políticas a las ubicaciones web.
Acceso supervisado a servicios web no confiables
Puedes usar el proxy web seguro para proporcionar acceso supervisado a servicios web que no son de confianza. El proxy web seguro identifica el tráfico que no cumple con la política y lo registra en Cloud Logging (registros). Luego, puedes supervisar el uso de Internet, descubrir amenazas para tu red y responder a ellas.
Beneficios del proxy web seguro
El proxy web seguro proporciona los siguientes beneficios:
Ahorro de tiempo operativo
El proxy web seguro no tiene VMs para configurar, no requiere actualizaciones de software para mantener la seguridad y ofrece escalamiento elástico. Después de la configuración inicial de la política, una instancia regional del proxy web seguro funciona de inmediato. El Proxy web seguro proporciona herramientas para simplificar la configuración, las pruebas y la implementación, de modo que puedas enfocarte en otras tareas.
Implementación flexible
El proxy web seguro admite implementaciones básicas y flexibles. Las instancias del Proxy web seguro, las políticas del Proxy web seguro y las listas de URLs son objetos modulares que pueden crear o reutilizar distintos administradores. Por ejemplo, puedes implementar varias instancias del Proxy web seguro que usen la misma política del Proxy web seguro.
Mejor seguridad
La configuración y las políticas predeterminadas del proxy web seguro consisten en “Rechazar todo” de forma predeterminada. Además, Google Cloud actualiza automáticamente el software y la infraestructura del Proxy web seguro, lo que reduce los riesgos de vulnerabilidades de seguridad.
Funciones admitidas
El proxy web seguro admite las siguientes funciones:
Proxy de Envoy del proxy web seguro con escalamiento automático: Admite el ajuste automático del tamaño del grupo de proxy de Envoy y la capacidad del grupo en una región, lo que permite un rendimiento coherente durante los períodos de alta demanda con el costo más bajo.
Políticas de acceso de salida modulares: El proxy web seguro admite específicamente las siguientes políticas de salida:
- Identidad de origen basada en etiquetas seguras, cuentas de servicio o direcciones IP.
- Destinos basados en URLs y nombres de host
- Solicitudes basadas en métodos, encabezados o URLs. Las URLs se pueden especificar con listas, comodines o patrones.
Encriptación de extremo a extremo: Los túneles de cliente-proxy pueden transitar a través de TLS. El Proxy web seguro también admite HTTP/S
CONNECT
para conexiones TLS de extremo a extremo que inicia el cliente con el servidor de destino.Integración de registros de auditoría de Cloud y Google Cloud Observability: Los registros de auditoría de Cloud y Google Cloud Observability registran las actividades administrativas y las solicitudes de acceso a los recursos relacionados con el proxy web seguro. También registran métricas y registros de transacciones para las solicitudes que controla el proxy.
Herramientas adicionales de Google Cloud que debes tener en cuenta
Google Cloud proporciona las siguientes herramientas para tus implementaciones de Google Cloud:
Usa Google Cloud Armor para proteger las implementaciones de Google Cloud contra varias amenazas, incluidos los ataques de denegación de servicio distribuido (DSD) y los ataques de aplicaciones, como las secuencia de comandos entre sitios (XSS) y la inyección de SQL (SQLi).
Especifica reglas de firewall de VPC para proteger las conexiones hacia o desde tus instancias de VM.
Implementa los Controles del servicio de VPC para evitar el robo de datos de los servicios de Google Cloud, como Cloud Storage y BigQuery.
Usa Cloud NAT para habilitar la conectividad saliente no segura a Internet para ciertos recursos de Google Cloud sin una dirección IP externa.