Secure Web Proxy è un servizio cloud first che consente di proteggere il traffico web in uscita (HTTP/S). Configura i client in modo da utilizzare esplicitamente Secure Web Proxy come gateway. Le richieste web possono provenire dalle seguenti origini:
- Istanze di macchine virtuali (VM)
- Container
- Un ambiente serverless che utilizza un connettore serverless
- Carichi di lavoro esterni a Google Cloud connessi tramite Cloud VPN o Cloud Interconnect
Secure Web Proxy consente di applicare criteri flessibili e granulari in base a identità e applicazioni web cloud-first.
Modalità di deployment
Puoi eseguire il deployment di Secure Web Proxy nei seguenti modi:
Modalità di routing proxy esplicito
Puoi configurare gli ambienti di lavoro e i client in modo che utilizzino esplicitamente il server proxy. Secure Web Proxy isola i client da internet creando nuove connessioni TCP per conto del client, nel rispetto del criterio di sicurezza gestito.
Per istruzioni dettagliate, consulta Eseguire il deployment di un'istanza di Secure Web Proxy.
Modalità di collegamento del servizio Private Service Connect
Per centralizzare il deployment di Secure Web Proxy quando sono presenti più reti, puoi utilizzare Network Connectivity Center. Tuttavia, ci sono alcune limitazioni quando si tenta di eseguire l'upgrade con Network Connectivity Center. L'aggiunta di Secure Web Proxy come collegamento di servizio Private Service Connect supera queste limitazioni. Puoi eseguire il deployment di Secure Web Proxy nel seguente modo:
- Aggiungi il proxy web sicuro come collegamento di servizio Private Service Connect sul lato del producer di una connessione Private Service Connect.
- Crea un endpoint consumer Private Service Connect in ogni rete VPC che deve essere connessa al collegamento di servizio Private Service Connect.
- Indirizza il traffico in uscita del carico di lavoro al proxy web sicuro centralizzato all'interno della regione e applica i criteri a questo traffico.
Il deployment funziona in un modello hub and spoke, in cui il proxy web sicuro si trova nel percorso di uscita per i carichi di lavoro nelle varie reti VPC collegate.
Per istruzioni dettagliate, vedi Eseguire il deployment di Secure Web Proxy come allegato di servizio.
Secure Web Proxy come hop successivo
Puoi configurare il deployment di Secure Web Proxy in modo che agisca come hop successivo per il routing nella tua rete. La configurazione del routing del salto successivo per indirizzare le sorgenti di traffico all'istanza Secure Web Proxy riduce il sovraccarico amministrativo della configurazione di una variabile proxy esplicita per ogni workload di origine. Per maggiori informazioni sulla configurazione del routing del successivo hop, consulta Eseguire il deployment di Secure Web Proxy come hop successivo.
Soluzioni supportate da Secure Web Proxy
Secure Web Proxy supporta le seguenti soluzioni.
Migrazione a Google Cloud
Secure Web Proxy ti aiuta a eseguire la migrazione a Google Cloud mantenendo i criteri e i requisiti di sicurezza esistenti per il traffico web in uscita. Puoi evitare di utilizzare soluzioni di terze parti che richiedono l'utilizzo di un'altra console di gestione o la modifica manuale dei file di configurazione.
Accesso a servizi web esterni attendibili
Secure Web Proxy consente di applicare criteri di accesso granulari al traffico web in uscita in modo da proteggere la rete. Creerai e identificherai le identità del workload o dell'applicazione, quindi applicherai i criteri alle posizioni web.
Accesso monitorato a servizi web non attendibili
Puoi utilizzare Secure Web Proxy per fornire accesso monitorato a servizi web non attendibili. Secure Web Proxy identifica il traffico non conforme ai criteri e lo registra in Cloud Logging (Logging). In questo modo puoi monitorare l'utilizzo di internet, scoprire le minacce alla tua rete e rispondere di conseguenza.
Vantaggi di Secure Web Proxy
Secure Web Proxy offre i seguenti vantaggi.
Risparmio di tempo operativo
Secure Web Proxy non ha VM da configurare, non richiede aggiornamenti software per mantenere la sicurezza e offre scalabilità elastica. Dopo la configurazione iniziale delle norme, un'istanza di Secure Web Proxy regionale funziona immediatamente. Secure Web Proxy fornisce strumenti per semplificare la configurazione, i test e il deployment in modo da poterti concentrare su altre attività.
Deployment flessibile
Secure Web Proxy supporta implementazioni di base e flessibili. Istanze, criteri ed elenchi URL di Secure Web Proxy sono tutti oggetti modulari che possono essere creati o riutilizzati da amministratori distinti. Ad esempio, puoi eseguire il deployment di più istanze di Secure Web Proxy che utilizzano tutte lo stesso criterio.
Maggiore sicurezza
Le configurazioni e i criteri del proxy web sicuro predefiniti sono di tipo deny-all per impostazione predefinita. Inoltre, Google Cloud aggiorna automaticamente il software e l'infrastruttura di Secure Web Proxy, riducendo i rischi di vulnerabilità di sicurezza.
Funzionalità supportate
Secure Web Proxy supporta le seguenti funzionalità:
Proxy Envoy di proxy web sicuro con scalabilità automatica: supporta la regolazione automatica della dimensione e della capacità del pool di proxy Envoy in una regione, il che consente prestazioni costanti durante i periodi di alta domanda al costo più basso.
Criteri di accesso in uscita modulari:Secure Web Proxy supporta specificamente i seguenti criteri di uscita:
- Identità di origine basata su tag protetti, account di servizio o indirizzi IP.
- Destinazioni basate su URL, hostname.
- Richieste basate su metodi, intestazioni o URL. Gli URL possono essere specificati utilizzando elenchi, caratteri jolly o pattern.
Crittografia end-to-end: i tunnel client-proxy potrebbero transitare tramite TLS. Il proxy web sicuro supporta anche HTTP/S
CONNECT
per le connessioni TLS end-to-end avviate dal client al server di destinazione.Integrazione di Audit log di Cloud e Google Cloud Observability: Cloud Audit Logs e Google Cloud Observability registrano le attività amministrative e le richieste di accesso per le risorse relative a Secure Web Proxy. Registrano inoltre le metriche e i log delle transazioni per le richieste gestite dal proxy.
Altri strumenti Google Cloud da prendere in considerazione
Google Cloud fornisce i seguenti strumenti per i tuoi deployment Google Cloud:
Utilizza Google Cloud Armor per proteggere le implementazioni di Google Cloud da più minacce, inclusi attacchi DDoS (Distributed Denial of Service) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi).
Specifica le regole firewall VPC per proteggere le connessioni da o verso le tue istanze VM.
Implementa i controlli di servizio VPC per impedire l'esfiltrazione di dati dai servizi Google Cloud, come Cloud Storage e BigQuery.
Utilizza Cloud NAT per abilitare la connettività internet in uscita non sicura per determinate risorse Google Cloud senza un indirizzo IP esterno.