Secure Web Proxy è un servizio cloud-first che consente di proteggere il traffico web in uscita (HTTP/S). Configura i client in modo da utilizzare esplicitamente Secure Web Proxy come gateway. Le richieste web possono avere origine provenienti dalle seguenti fonti:
- Istanze di macchine virtuali (VM)
- Container
- Un ambiente serverless che utilizza un connettore serverless
- Carichi di lavoro esterni a Google Cloud connessi da Cloud VPN Cloud Interconnect
Secure Web Proxy consente di applicare criteri flessibili e granulari in base a identità e applicazioni web cloud-first.
Modalità di deployment
Puoi eseguire il deployment di Secure Web Proxy nei seguenti modi:
Modalità di routing proxy esplicito
Puoi configurare gli ambienti dei carichi di lavoro e i client per utilizzare esplicitamente un server proxy. Secure Web Proxy isola i client da internet creando nuove connessioni TCP per conto del client, nel rispetto del criterio di sicurezza gestito.
Per istruzioni dettagliate, vedi Esegui il deployment di un'istanza Secure Web Proxy.
Modalità di collegamento del servizio Private Service Connect
Per centralizzare il deployment di Secure Web Proxy quando sono presenti reti, puoi usare Network Connectivity Center. Tuttavia, ci sono alcune limitazioni quando si tenta di eseguire l'upgrade con Network Connectivity Center. Aggiunta di Secure Web Proxy come collegamento di un servizio Private Service Connect supera tale limitazioni. Puoi eseguire il deployment di Secure Web Proxy nel seguente modo:
- Aggiungi Secure Web Proxy come servizio Private Service Connect collegamento sul lato producer di Private Service Connect connessione.
- Crea un endpoint consumer di Private Service Connect in ogni che deve essere connessa alla rete VPC Collegamento del servizio Private Service Connect.
- Indirizza il traffico in uscita del carico di lavoro al proxy web sicuro centralizzato all'interno della regione e applica i criteri a questo traffico.
Il deployment funziona in un modello hub and spoke, in cui il proxy web sicuro si trova nel percorso di uscita per i carichi di lavoro nelle varie reti VPC collegate.
Per istruzioni dettagliate, vedi Eseguire il deployment di Secure Web Proxy come servizio allegato.
Secure Web Proxy come hop successivo
Puoi configurare il deployment di Secure Web Proxy in modo che agisca come hop successivo per il routing all'interno della rete. Configurazione del routing dell'hop successivo verso sorgenti di traffico mirate all'istanza di Secure Web Proxy riduce il sovraccarico amministrativo configurando una variabile proxy esplicita per ogni carico di lavoro di origine. Per maggiori informazioni sulla configurazione del routing del successivo hop, consulta Eseguire il deployment di Secure Web Proxy come hop successivo.
Soluzioni supportate da Secure Web Proxy
Secure Web Proxy supporta le seguenti soluzioni.
Migrazione a Google Cloud
Secure Web Proxy ti aiuta a eseguire la migrazione a Google Cloud mantenendo le tue le norme e i requisiti di sicurezza esistenti per il traffico web in uscita. Puoi evitare di utilizzare soluzioni di terze parti che richiedono l'uso di un'altra console di gestione o la modifica manuale dei file di configurazione.
Accesso a servizi web esterni attendibili
Secure Web Proxy consente di applicare criteri di accesso granulari al traffico web in uscita in modo da proteggere la rete. Creerai e identificherai le identità di workload o applicazioni, quindi applichi i criteri alle posizioni web.
Accesso monitorato a servizi web non attendibili
Puoi utilizzare Secure Web Proxy per fornire accesso monitorato a servizi web non attendibili. Secure Web Proxy identifica il traffico non conforme alle norme e la registra in Cloud Logging (Logging). In questo modo puoi monitorare l'utilizzo di internet, scoprire le minacce alla tua rete e rispondere di conseguenza.
Vantaggi di Secure Web Proxy
Secure Web Proxy offre i seguenti vantaggi.
Risparmio di tempo operativo
Secure Web Proxy non dispone di VM da impostare e configurare, non richiede aggiornamenti software per mantenere la sicurezza e offre una scalabilità elastica. Dopo l'iniziale configurazione dei criteri, un'istanza Secure Web Proxy a livello di regione funziona . Secure Web Proxy fornisce strumenti per semplificare la configurazione, i test e il deployment in modo da poterti concentrare su altre attività.
Deployment flessibile
Secure Web Proxy supporta implementazioni di base e flessibili. Proxy web sicuro istanze, criteri di Secure Web Proxy ed elenchi di URL sono tutti oggetti modulari che possono essere create o riutilizzate da diversi amministratori. Ad esempio, puoi eseguire il deployment di più istanze di Secure Web Proxy che utilizzano tutte lo stesso criterio.
Maggiore sicurezza
Per impostazione predefinita, le configurazioni e i criteri di Secure Web Proxy non sono consentiti. Inoltre, Google Cloud aggiorna automaticamente il software e l'infrastruttura di Secure Web Proxy, riducendo i rischi di vulnerabilità di sicurezza.
Funzionalità supportate
Secure Web Proxy supporta le seguenti funzionalità:
Proxy Envoy di proxy web sicuro con scalabilità automatica: supporta la regolazione automatica della dimensione e della capacità del pool di proxy Envoy in una regione, il che consente prestazioni costanti durante i periodi di alta domanda al costo più basso.
Criteri di accesso in uscita modulari: Secure Web Proxy supporta specificamente i seguenti criteri in uscita:
- Identità di origine basata su tag protetti, account di servizio o indirizzi IP.
- Destinazioni basate su URL, hostname.
- Richieste basate su metodi, intestazioni o URL. Gli URL possono essere specificati utilizzando elenchi, caratteri jolly o pattern.
Crittografia end-to-end: i tunnel client-proxy potrebbero transitare tramite TLS. Il proxy web sicuro supporta anche HTTP/S
CONNECTper le connessioni TLS end-to-end avviate dal client al server di destinazione.Integrazione di Cloud Audit Logs e Google Cloud Observability: Cloud Audit Logs e Google Cloud Observability registra le attività amministrative e le richieste di accesso per Risorse correlate a Secure Web Proxy. Registrano inoltre le metriche e i log delle transazioni per le richieste gestite dal proxy.
Altri strumenti Google Cloud da considerare
Google Cloud fornisce i seguenti strumenti per i tuoi deployment Google Cloud:
Utilizza Google Cloud Armor per proteggere le implementazioni di Google Cloud da più minacce, inclusi attacchi DDoS (Distributed Denial of Service) e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection (SQLi).
Specifica le regole firewall VPC per proteggere le connessioni a o dalle tue istanze VM.
Implementa i controlli di servizio VPC per evitare l'esfiltrazione di dati dai servizi Google Cloud, come Cloud Storage e BigQuery.
Utilizza Cloud NAT per abilitare la connettività internet in uscita non sicura per determinate risorse Google Cloud senza un indirizzo IP esterno.