Présentation du proxy Web sécurisé

Le proxy Web sécurisé est un service cloud-first vous aide à sécuriser le trafic Web de sortie (HTTP/S). Vous configurez vos clients pour utiliser explicitement le proxy Web sécurisé comme passerelle. Les requêtes Web peuvent provenir à partir des sources suivantes:

• Instances de machines virtuelles (VM)
• Conteneurs
• Environnement sans serveur utilisant un connecteur sans serveur
• Charges de travail extérieures à Google Cloud connectées par Cloud VPN Cloud Interconnect

Le proxy Web sécurisé permet d'utiliser des règles flexibles et précises basées sur les identités cloud-first et les applications Web.

Modes de déploiement

Vous pouvez déployer un proxy Web sécurisé comme suit:

Mode de routage explicite du proxy

Vous pouvez configurer vos environnements de charge de travail et vos clients pour qu'ils utilisent explicitement serveur proxy. Le proxy Web sécurisé isole les clients d'Internet en créant de nouvelles connexions TCP pour le compte du client, tout en respectant les stratégie de sécurité.

<ph type="x-smartling-placeholder">

</ph>

Pour obtenir des instructions détaillées, consultez Déployez une instance de proxy Web sécurisé.

Mode de rattachement de service Private Service Connect

Pour centraliser le déploiement de votre proxy Web sécurisé lorsqu'il existe plusieurs vous pouvez utiliser Network Connectivity Center. Mais il y a certains limites lorsque vous essayez d'effectuer un scaling à la hausse avec Network Connectivity Center. Ajouter un proxy Web sécurisé en tant que rattachement de service Private Service Connect remplace limites. Vous pouvez déployer un proxy Web sécurisé comme suit:

1. Ajouter le proxy Web sécurisé en tant que service Private Service Connect d'un rattachement de service Private Service Connect côté producteur .
2. Créez un point de terminaison client Private Service Connect dans chaque le réseau VPC qui doit être connecté Rattachement de service Private Service Connect
3. Faire pointer le trafic de sortie de votre charge de travail vers le proxy Web sécurisé centralisé dans la région et appliquer des règles à ce trafic.

<ph type="x-smartling-placeholder"></ph> .

Le déploiement s'effectue en étoile, Le proxy Web sécurisé se trouve sur le chemin de sortie des charges de travail dans les différentes aux réseaux VPC connectés.

Pour obtenir des instructions détaillées, consultez l'article Déployer le proxy Web sécurisé en tant que rattachement de service.

Solutions compatibles avec le proxy Web sécurisé

Le proxy Web sécurisé est compatible avec les solutions ci-dessous.

Migration vers Google Cloud

Le proxy Web sécurisé vous aide à migrer vers Google Cloud tout en gardant votre les règles et exigences de sécurité existantes pour le trafic Web de sortie. Vous pouvez éviter d'utiliser des solutions tierces nécessitant l'utilisation d'une autre console de gestion ; ou en modifiant manuellement les fichiers de configuration.

Accès à des services Web externes de confiance

Le proxy Web sécurisé vous permet d'appliquer des règles d'accès précises du trafic afin de sécuriser votre réseau. Vous créez et identifiez les charges de travail les identités d'application, puis appliquez des stratégies aux emplacements Web.

Accès surveillé aux services Web non approuvés

Vous pouvez utiliser le proxy Web sécurisé pour fournir un accès surveillé à des sites services. Le proxy Web sécurisé identifie le trafic non conforme à la stratégie. et le consigne dans Cloud Logging (Logging). Vous pouvez ensuite surveiller sur l'utilisation d'Internet, détecter les menaces qui pèsent sur votre réseau et réagir aux menaces.

Avantages du proxy Web sécurisé

Le proxy Web sécurisé offre les avantages suivants.

Gain de temps opérationnel

Le proxy Web sécurisé n'a pas de VM à installer et ne nécessite des mises à jour logicielles pour assurer la sécurité et offre un scaling élastique. Après la date initiale configuration de stratégie, une instance régionale de proxy Web sécurisé . Le proxy Web sécurisé offre des outils pour simplifier la configuration, pour vous concentrer sur d'autres tâches.

Déploiement flexible

Le proxy Web sécurisé prend en charge des déploiements de base et flexibles. Proxy Web sécurisé les règles de proxy Web sécurisé et les listes d'URL sont tous des objets modulaires. pouvant être créés ou réutilisés par des administrateurs distincts. Par exemple, vous pouvez déployer plusieurs instances de proxy Web sécurisé qui utilisent toutes le même Règle de proxy Web sécurisé.

Sécurité renforcée

Par défaut, les configurations et les règles du proxy Web sécurisé sont "Tout refuser" par défaut. De plus, Google Cloud met automatiquement à jour le proxy Web sécurisé les logiciels et l'infrastructure, ce qui réduit les risques de failles de sécurité.

Fonctionnalités compatibles

Le proxy Web sécurisé prend en charge les fonctionnalités suivantes:

• Service proxy explicite:les clients sont explicitement configurés pour utiliser le serveur proxy. Ce proxy isole les clients du serveur proxy Internet en créant de nouvelles connexions TCP au nom du client.

• Autoscaling des proxys Envoy du proxy Web sécurisé:compatibilité automatique ajuster la taille du pool de proxys Envoy et sa capacité dans une région, ce qui permet d'assurer des performances constantes lors des périodes de forte demande le coût le plus bas.

• Règles d'accès de sortie modulaires:le proxy Web sécurisé est spécifiquement compatible avec les règles de sortie suivantes:

  • Identité de la source basée sur des tags sécurisés, des comptes de service ou des adresses IP
  • Destinations basées sur des URL et des noms d'hôte.
  • Requêtes basées sur des méthodes, des en-têtes ou des URL Vous pouvez spécifier des URL à l'aide de listes, de caractères génériques ou de modèles.

• Chiffrement de bout en bout:les tunnels client-proxy peuvent transiter par TLS. Le proxy Web sécurisé est également compatible avec le CONNECT HTTP/S pour les requêtes TLS de bout en bout au serveur de destination.

• Intégration de Cloud Audit Logs et de Google Cloud Observability:Cloud Audit Logs et Google Cloud Observability enregistre les activités d'administration et les demandes d'accès pour Ressources liées au proxy Web sécurisé. Ils enregistrent également des métriques et des journaux de transactions pour les requêtes traitées par le proxy.

Autres outils Google Cloud à envisager

Google Cloud fournit les outils suivants pour votre déploiements:

• Utilisez Google Cloud Armor pour protéger des déploiements Google Cloud contre plusieurs menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que script intersites (XSS) et injection SQL (SQLi).

• Spécifier des règles de pare-feu VPC pour sécuriser les connexions ou depuis vos instances de VM.

• Implémenter VPC Service Controls pour empêcher l'exfiltration de données à partir des services Google Cloud, Cloud Storage et BigQuery.

• Utiliser Cloud NAT pour activer l'Internet sortant non sécurisé la connectivité de certaines ressources Google Cloud sans adresse IP externe adresse e-mail.