Descripción general del Proxy web seguro

El Proxy web seguro es un servicio centrado en la nube para proteger el tráfico web de salida (HTTP/S). Configura tus clientes para que usen de forma explícita el Proxy web seguro como una puerta de enlace. Las solicitudes web pueden provenir de las siguientes fuentes:

  • Instancias de máquina virtual (VM)
  • Contenedores
  • Un entorno sin servidores que usa un conector sin servidores
  • Cargas de trabajo fuera de Google Cloud conectadas por Cloud VPN o Cloud Interconnect

El Proxy web seguro habilita políticas flexibles y detalladas basadas en identidades y aplicaciones web centradas en la nube.

Modos de Deployment

Puedes implementar el Proxy web seguro de las siguientes maneras:

Modo de enrutamiento de proxy explícito

Puedes configurar los entornos de carga de trabajo y los clientes para usar el servidor proxy de forma explícita. El Proxy web seguro aísla a los clientes de Internet mediante la creación de nuevas conexiones TCP en nombre del cliente, a la vez que cumple con la política de seguridad administrada.

Para obtener instrucciones detalladas, consulta Implementa una instancia del Proxy web seguro.

Modo de vinculación de servicios de Private Service Connect

Para centralizar la implementación del Proxy web seguro cuando hay varias redes, puedes usar Network Connectivity Center. Sin embargo, existen algunas limitaciones cuando intentas escalar verticalmente con Network Connectivity Center. Agregar el Proxy web seguro como un adjunto de servicio de Private Service Connect supera esas limitaciones. Puedes implementar el Proxy web seguro de la siguiente manera:

  1. Agregar el Proxy web seguro como un adjunto de servicio de Private Service Connect en el lado del productor de una conexión de Private Service Connect
  2. Crea un extremo del consumidor de Private Service Connect en cada red de VPC que se deba conectar al adjunto de servicio de Private Service Connect.
  3. Apuntar el tráfico de salida de carga de trabajo al Proxy web seguro centralizado dentro de la región y aplicar políticas a este tráfico

La implementación funciona en un modo de concentrador y radio, en el que el Proxy web seguro se encuentra en la ruta de salida para cargas de trabajo en las diversas redes de VPC conectadas.

Para obtener instrucciones detalladas, consulta Implementa el Proxy web seguro como adjunto de servicio.

Soluciones compatibles con el Proxy web seguro

El Proxy web seguro es compatible con las siguientes soluciones.

Migración a Google Cloud:

El Proxy web seguro te ayuda a migrar a Google Cloud sin perder las políticas de seguridad existentes y los requisitos para el tráfico web de salida. Puedes evitar el uso de soluciones de terceros que requieran el uso de otra consola de administración o la edición manual de archivos de configuración.

Acceso a servicios web externos de confianza

El Proxy web seguro te permite aplicar políticas de acceso detalladas al tráfico web de salida para proteger tu red. Debes identificar y crear identidades de cargas de trabajo o aplicaciones y, luego, aplicar políticas a las ubicaciones web.

Acceso supervisado a servicios web que no son de confianza

Puedes usar el Proxy web seguro para proporcionar acceso supervisado a servicios web que no sean de confianza. El Proxy web seguro identifica el tráfico que no se ajusta a la política y lo registra en Cloud Logging (Logging). Luego, puedes supervisar el uso de Internet, descubrir amenazas a la red y responder a ellas.

Beneficios del Proxy web seguro

El Proxy web seguro brinda los siguientes beneficios.

Ahorro de tiempo operativo

El Proxy web seguro no tiene que configurar VMs, no requiere actualizaciones de software para mantener la seguridad y ofrece escalamiento elástico. Después de la configuración inicial de la política, se configura una instancia regional del Proxy web seguro. El Proxy web seguro proporciona herramientas para simplificar la configuración, las pruebas y la implementación de modo que puedas enfocarte en otras tareas.

Implementación flexible

El Proxy web seguro admite implementaciones básicas y flexibles. Las instancias del Proxy web seguro, las políticas del Proxy web seguro y las listas de URLs son objetos modulares que distintos administradores pueden crear o volver a usar. Por ejemplo, puedes implementar varias instancias del Proxy web seguro que usen la misma política.

Mejor seguridad

Las configuraciones y políticas predeterminadas del Proxy web seguro son la opción "Rechazar todo" de forma predeterminada. Además, Google Cloud actualiza de forma automática el software y la infraestructura del Proxy web seguro, lo que reduce los riesgos de vulnerabilidades de seguridad.

Funciones admitidas

El Proxy web seguro admite las siguientes funciones:

  • Servicio de proxy explícito: Los clientes se configuran de forma explícita para usar el servidor proxy. El proxy web seguro aísla a los clientes de Internet mediante la creación de nuevas conexiones TCP en nombre del cliente.

  • Ajuste de escala automático de proxies de Envoy del proxy web seguro: Admite el ajuste automático del tamaño del grupo del proxy de Envoy y la capacidad del grupo en una región, lo que permite un rendimiento coherente durante períodos de alta demanda al costo más bajo.

  • Políticas de acceso de salida modulares: El Proxy web seguro admite específicamente las siguientes políticas de salida:

    • Identidad de origen basada en etiquetas seguras, cuentas de servicio o direcciones IP.
    • Destinos basados en URLs y nombres de host.
    • Solicitudes basadas en métodos, encabezados o URLs. Las URLs se pueden especificar mediante listas, comodines o patrones.

  • Encriptación de extremo a extremo: Los túneles de proxy de cliente pueden transitar por TLS. El Proxy web seguro también admite CONNECT HTTP/S para las conexiones TLS de extremo a extremo iniciadas por el cliente con el servidor de destino.

  • Integración de los registros de auditoría de Cloud y Google Cloud Observability: Los registros de auditoría de Cloud y de Google Cloud Observability registran las actividades administrativas y las solicitudes de acceso a los recursos relacionados con el Proxy web seguro. También registran métricas y registros de transacciones para las solicitudes que maneja el proxy.

Herramientas de Google Cloud adicionales para tener en cuenta

Google Cloud proporciona las siguientes herramientas para tus implementaciones de Google Cloud:

  • Usa Google Cloud Armor para proteger las implementaciones de Google Cloud de varias amenazas, incluidos los ataques de denegación de servicio distribuido (DSD) y los ataques de aplicaciones, como las secuencia de comandos entre sitios (XSS) y la inyección de SQL (SQLi).

  • Especifica las reglas de firewall de VPC para proteger las conexiones hacia o desde tus instancias de VM.

  • Implementa los Controles del servicio de VPC para evitar el robo de datos de los servicios de Google Cloud, como Cloud Storage y BigQuery.

  • Usa Cloud NAT a fin de habilitar la conectividad a Internet saliente no segura para ciertos recursos de Google Cloud sin una dirección IP externa.