Secure Web Proxy est un service cloud-first qui vous aide à sécuriser le trafic Web de sortie (HTTP/S). Vous configurez vos clients pour qu'ils utilisent explicitement le proxy Web sécurisé comme passerelle. Les requêtes Web peuvent provenir des sources suivantes:
- Instances de machines virtuelles (VM)
- Conteneurs
- Un environnement sans serveur qui utilise un connecteur sans serveur
- Charges de travail en dehors de Google Cloud connectées via Cloud VPN ou Cloud Interconnect
Le proxy Web sécurisé permet de créer des stratégies flexibles et précises basées sur les identités cloud first et les applications Web.
Modes de déploiement
Vous pouvez déployer le proxy Web sécurisé de différentes manières:
Mode de routage par proxy explicite
Vous pouvez configurer vos environnements de charge de travail et vos clients pour qu'ils utilisent explicitement le serveur proxy. Le proxy Web sécurisé isole les clients d'Internet en créant de nouvelles connexions TCP en leur nom, tout en respectant la stratégie de sécurité administrée.
Pour obtenir des instructions détaillées, consultez la section Déploiement d'une instance de proxy Web sécurisé.
Mode de liaison de service Private Service Connect
Pour centraliser le déploiement de votre proxy Web sécurisé en présence de plusieurs réseaux, vous pouvez utiliser Network Connectivity Center. Toutefois, certaines limites s'appliquent lorsque vous essayez d'augmenter la capacité avec Network Connectivity Center. L'ajout d'un proxy Web sécurisé en tant que rattachement de service Private Service Connect permet de surmonter ces limites. Vous pouvez déployer le proxy Web sécurisé comme suit:
- Ajoutez le proxy Web sécurisé en tant que service Private Service Connect rattaché du côté du producteur d'une connexion Private Service Connect.
- Créez un point de terminaison client Private Service Connect dans chaque réseau VPC qui doit être connecté au rattachement de service Private Service Connect.
- Pointez le trafic sortant de votre charge de travail vers le proxy Web sécurisé centralisé de la région et appliquez des règles à ce trafic.
Le déploiement fonctionne de manière hub and spoke, où le proxy Web sécurisé se trouve sur le chemin de sortie des charges de travail dans les différents réseaux VPC connectés.
Pour obtenir des instructions détaillées, consultez Déployer le proxy Web sécurisé en tant qu'accessoire de service.
Proxy Web sécurisé comme prochain saut
Vous pouvez configurer votre déploiement de proxy Web sécurisé pour qu'il agisse en tant que saut suivant pour le routage dans votre réseau. Configurer le routage de saut suivant pour diriger les sources de trafic vers votre instance de proxy Web sécurisé réduit les coûts administratifs liés à la configuration d'une variable de proxy explicite pour chaque charge de travail source. Pour en savoir plus sur la configuration du routage de saut suivant, consultez la section Déploiement du proxy Web sécurisé en tant que saut suivant.
Solutions compatibles avec le proxy Web sécurisé
Le proxy Web sécurisé est compatible avec les solutions suivantes.
Migration vers Google Cloud
Le proxy Web sécurisé vous aide à migrer vers Google Cloud tout en conservant vos règles et exigences de sécurité existantes concernant le trafic Web sortant. Vous pouvez éviter d'utiliser des solutions tierces qui nécessitent d'utiliser une autre console de gestion ou de modifier manuellement des fichiers de configuration.
Accès aux services Web externes de confiance
Le proxy Web sécurisé vous permet d'appliquer des règles précises de contrôle des accès à votre trafic Web de sortie afin de sécuriser votre réseau. Vous créez et identifiez des identités de charge de travail ou d'application, puis appliquez des règles aux emplacements Web.
Surveillance de l'accès aux services Web non approuvés
Vous pouvez utiliser le proxy Web sécurisé pour fournir un accès surveillé aux services Web non approuvés. Le proxy Web sécurisé identifie le trafic qui ne respecte pas les règles et le consigne dans Cloud Logging (Journalisation). Vous pouvez ensuite surveiller l'utilisation d'Internet, détecter les menaces affectant votre réseau et y répondre.
Avantages du proxy Web sécurisé
Le proxy Web sécurisé offre les avantages suivants.
Gain de temps opérationnel
Le proxy Web sécurisé ne nécessite pas de VM à configurer, ne nécessite pas de mises à jour logicielles pour assurer la sécurité et offre une évolutivité élastique. Après la configuration initiale des règles, une instance régionale de proxy Web sécurisé fonctionne immédiatement. Le proxy Web sécurisé fournit des outils pour simplifier la configuration, les tests et le déploiement, afin que vous puissiez vous concentrer sur d'autres tâches.
Déploiement flexible
Le proxy Web sécurisé est compatible avec les déploiements de base et flexibles. Les instances de proxy Web sécurisé, les stratégies de proxy Web sécurisé et les listes d'URL sont tous des objets modulaires pouvant être créés ou réutilisés par des administrateurs distincts. Par exemple, vous pouvez déployer plusieurs instances de proxy Web sécurisé qui utilisent toutes la même stratégie de proxy Web sécurisé.
Sécurité renforcée
Les configurations et les stratégies par défaut du proxy Web sécurisé sont "Tout refuser". De plus, Google Cloud met automatiquement à jour le logiciel et l'infrastructure du proxy Web sécurisé, ce qui réduit les risques de failles de sécurité.
Fonctionnalités compatibles
Le proxy Web sécurisé est compatible avec les fonctionnalités suivantes:
Proxy Envoy Secure Web Proxy Autoscaling:permet d'ajuster automatiquement la taille du pool de proxy Envoy et sa capacité dans une région, ce qui offre des performances cohérentes pendant les périodes de forte demande au coût le plus bas.
Règles d'accès de sortie modulaires:le proxy Web sécurisé est compatible avec les règles de sortie suivantes:
- Identité de la source basée sur des tags sécurisés, des comptes de service ou des adresses IP.
- Destinations basées sur des URL, des noms d'hôte.
- Requêtes basées sur des méthodes, des en-têtes ou des URL. Les URL peuvent être spécifiées à l'aide de listes, de caractères génériques ou de modèles.
Chiffrement de bout en bout:les tunnels client-proxy peuvent transiter via TLS. Le proxy Web sécurisé est également compatible avec HTTP/S
CONNECTpour les connexions TLS de bout en bout initiées par le client au serveur de destination.Intégration des journaux d'audit Cloud et de Google Cloud Observability:Cloud Audit Logs et Google Cloud Observability enregistrent les activités administratives et les demandes d'accès pour les ressources liées au proxy Web sécurisé. Ils enregistrent également des métriques et des journaux de transactions pour les requêtes gérées par le proxy.
Autres outils Google Cloud à envisager
Google Cloud fournit les outils suivants pour vos déploiements Google Cloud:
Utilisez Google Cloud Armor pour protéger vos déploiements Google Cloud contre plusieurs menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et l'injection SQL (SQLi).
Spécifiez des règles de pare-feu VPC pour sécuriser les connexions vers ou depuis vos instances de VM.
Implémentez VPC Service Controls pour empêcher l'exfiltration de données à partir des services Google Cloud, tels que Cloud Storage et BigQuery.
Utilisez Cloud NAT pour activer la connectivité Internet sortante non sécurisée pour certaines ressources Google Cloud sans adresse IP externe.