O Secure Web Proxy é um serviço de nuvem que ajuda a proteger o tráfego de saída da Web (HTTP/S). Configure seus clientes para usar explicitamente o Secure Web Proxy como gateway. As solicitações da Web podem ser originadas das seguintes fontes:
- Instâncias de máquina virtual (VM)
- Contêineres
- Ambiente sem servidor que usa um conector sem servidor
- Cargas de trabalho fora do Google Cloud conectadas pelo Cloud VPN ou Cloud Interconnect
O Secure Web Proxy permite políticas flexíveis e granulares com base em identidades com priorização da nuvem e aplicativos da Web.
Modos de distribuição
É possível implantar o Secure Web Proxy das seguintes maneiras:
Modo de roteamento de proxy explícito
É possível configurar seus ambientes de carga de trabalho e clientes para usar explicitamente o servidor proxy. O Secure Web Proxy isola os clientes da Internet criando novas conexões TCP em nome do cliente e, ao mesmo tempo, adere à política de segurança administrada.
Para instruções detalhadas, consulte Implantar uma instância do Secure Web Proxy.
Modo de anexo do serviço Private Service Connect
Para centralizar a implantação do Secure Web Proxy quando houver várias redes, use o Network Connectivity Center. No entanto, há algumas limitações quando você tenta escalonar verticalmente com o Network Connectivity Center. Adicionar o Secure Web Proxy como um anexo de serviço do Private Service Connect supera essas limitações. Para implantar o Secure Web Proxy, faça o seguinte:
- Adicione o Secure Web Proxy como um anexo de serviço do Private Service Connect no lado do produtor de uma conexão do Private Service Connect.
- Crie um endpoint do consumidor do Private Service Connect em cada rede VPC que precisa estar conectada ao anexo do serviço do Private Service Connect.
- Direcione o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplique políticas a esse tráfego.
A implantação funciona em formato hub e spoke, em que o proxy seguro da Web está no caminho de saída para cargas de trabalho nas várias redes VPC conectadas.
Para instruções detalhadas, consulte Implantar o Secure Web Proxy como um anexo de serviço.
Soluções compatíveis com o Secure Web Proxy
O Secure Web Proxy oferece suporte às soluções a seguir.
Migração para o Google Cloud
O Secure Web Proxy ajuda você a migrar para o Google Cloud, mantendo suas políticas e requisitos de segurança atuais para o tráfego de saída da Web. Evite o uso de soluções de terceiros que exijam outro console de gerenciamento ou a edição manual de arquivos de configuração.
Acesso a serviços da Web externos confiáveis
O Secure Web Proxy permite aplicar políticas de acesso granular ao tráfego de saída da Web para proteger sua rede. Crie e identifique identidades de cargas de trabalho ou aplicativos e aplique políticas a locais da Web.
Acesso monitorado a serviços da Web não confiáveis
Use o Secure Web Proxy para fornecer acesso monitorado a serviços da Web não confiáveis. O Secure Web Proxy identifica o tráfego que não está em conformidade com a política e o registra no Cloud Logging (Logging). Assim, é possível monitorar o uso da Internet, descobrir ameaças à sua rede e responder a ameaças.
Benefícios do Secure Web Proxy
O Secure Web Proxy oferece os seguintes benefícios.
Economia de tempo operacional
O Secure Web Proxy não tem VMs para configurar e configurar, não requer atualizações de software para manter a segurança e oferece escalonamento elástico. Após a configuração inicial da política, uma instância regional do Secure Web Proxy funciona imediatamente. O Secure Web Proxy fornece ferramentas para simplificar a configuração, o teste e a implantação para que você possa se concentrar em outras tarefas.
Implantação flexível
O Secure Web Proxy dá suporte a implantações básicas e flexíveis. Instâncias do Secure Web Proxy, políticas do Secure Web Proxy e listas de URLs são objetos modulares que podem ser criados ou reutilizados por administradores distintos. Por exemplo, é possível implantar várias instâncias do Secure Web Proxy que usem a mesma política.
Segurança avançada
As políticas e configurações padrão do Secure Web Proxy bloqueiam tudo por padrão. Além disso, o Google Cloud atualiza automaticamente o software e a infraestrutura do Secure Web Proxy, reduzindo os riscos de vulnerabilidades de segurança.
Recursos compatíveis
O Secure Web Proxy dá suporte aos seguintes recursos:
Serviço de proxy explícito: os clientes são configurados explicitamente para usar o servidor proxy. O proxy seguro da Web isola os clientes da Internet criando novas conexões TCP em nome deles.
Escalonamento automático de proxies Envoy do Secure Web Proxy: suporte ao ajuste automático do tamanho do pool de proxy Envoy e da capacidade do pool em uma região, o que permite um desempenho consistente durante os períodos de alta demanda pelo menor custo.
Políticas de acesso de saída modulares: o Secure Web Proxy é compatível especificamente com as seguintes políticas de saída:
- Identidade de origem baseada em tags seguras, contas de serviço ou endereços IP.
- Destinos com base em URLs e nomes de host.
- Solicitações com base em métodos, cabeçalhos ou URLs. É possível especificar URLs usando listas, caracteres curinga ou padrões.
Criptografia de ponta a ponta:os túneis proxy de cliente podem transitar por TLS. O Secure Web Proxy também é compatível com HTTP/S
CONNECT
para conexões TLS de ponta a ponta iniciadas pelo cliente com o servidor de destino.Integração dos Registros de auditoria do Cloud e da observabilidade do Google Cloud:os Registros de auditoria do Cloud e a observabilidade do Google Cloud registram atividades administrativas e solicitações de acesso para recursos relacionados ao Secure Web Proxy. Eles também registram métricas e transações para solicitações processadas pelo proxy.
Outras ferramentas do Google Cloud a considerar
O Google Cloud oferece as seguintes ferramentas para suas implantações do Google Cloud:
Use o Google Cloud Armor para proteger as implantações do Google Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques a aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique as regras de firewall da VPC para proteger conexões de ou para suas instâncias de VM.
Implementar o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud, como o Cloud Storage e o BigQuery.
Usar o Cloud NAT para ativar a conectividade de saída não segura com a Internet para determinados recursos do Google Cloud sem um endereço IP externo.