O Secure Web Proxy é um serviço que prioriza a nuvem ajuda a proteger o tráfego de saída da Web (HTTP/S). Você configura seus clientes para usar explicitamente o Secure Web Proxy como gateway. As solicitações da Web podem se originar das seguintes fontes:
- Instâncias de máquina virtual (VM)
- Contêineres
- Ambiente sem servidor que usa um conector sem servidor
- Cargas de trabalho fora do Google Cloud conectadas pelo Cloud VPN ou Cloud Interconnect
O Secure Web Proxy permite políticas flexíveis e granulares com base identidades com foco na nuvem e aplicativos da Web.
Modos de distribuição
É possível implantar o Secure Web Proxy das seguintes maneiras:
Modo de roteamento de proxy explícito
É possível configurar ambientes de carga de trabalho e clientes para usar explicitamente o servidor proxy. O Secure Web Proxy isola os clientes da Internet criando novas conexões TCP em nome do cliente, aderindo ao política de segurança da nuvem.
Para instruções detalhadas, consulte Implante uma instância do Secure Web Proxy.
Modo de anexo do serviço Private Service Connect
Para centralizar a implantação do Secure Web Proxy quando houver vários use o Network Connectivity Center. Mas existem algumas ao tentar escalonar verticalmente com o Network Connectivity Center. Adicionar o Secure Web Proxy como um anexo de serviço do Private Service Connect, limitações. Para implantar o Secure Web Proxy, faça o seguinte:
- Adicionar o Secure Web Proxy como um serviço do Private Service Connect no lado do produtor de um Private Service Connect uma conexão com a Internet.
- Criar um endpoint do consumidor do Private Service Connect em cada que precisa ser conectada à rede VPC Anexo do serviço Private Service Connect.
- Direcionar o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplicar políticas a esse tráfego.
A implantação funciona no modo hub e spoke, em que o O Secure Web Proxy está no caminho de saída para cargas de trabalho nos vários redes VPC conectadas.
Para instruções detalhadas, consulte Implantar o Secure Web Proxy como um anexo de serviço.
Soluções compatíveis com o Secure Web Proxy
O Secure Web Proxy oferece suporte às soluções a seguir.
Migração para o Google Cloud
O Secure Web Proxy ajuda você a migrar para o Google Cloud enquanto mantém as políticas de segurança e os requisitos para o tráfego de saída da Web. Você pode evitar o uso de soluções de terceiros que exijam outro console de gerenciamento. ou editar manualmente os arquivos de configuração.
Acesso a serviços da Web externos confiáveis
O Secure Web Proxy permite aplicar políticas de acesso granular à sua Web de saída para proteger a rede. Você cria e identifica cargas de trabalho identidades de aplicativos e, em seguida, aplicar políticas a locais da Web.
Acesso monitorado a serviços da Web não confiáveis
É possível usar o Secure Web Proxy para fornecer acesso monitorado a sites não confiáveis serviços. O Secure Web Proxy identifica o tráfego que não está em conformidade com a política e os registra no Cloud Logging (Logging). Você pode monitorar uso da Internet, descobrir ameaças à rede e responder a ameaças.
Benefícios do Secure Web Proxy
O Secure Web Proxy oferece os seguintes benefícios.
Economia de tempo operacional
O Secure Web Proxy não tem VMs para configurar e não exige atualizações de software para manter a segurança e oferece escalonamento elástico. Após a inicial configuração da política, uma instância regional do Secure Web Proxy funciona sem caixa O Secure Web Proxy oferece ferramentas para simplificar a configuração, o teste e implantação para que você possa se concentrar em outras tarefas.
Implantação flexível
O Secure Web Proxy dá suporte a implantações básicas e flexíveis. Proxy seguro da Web instâncias, políticas do Secure Web Proxy e listas de URLs são objetos modulares que podem ser criados ou reutilizados por administradores diferentes. Por exemplo, é possível implantar várias instâncias do Secure Web Proxy que usem a mesma política do Secure Web Proxy.
Segurança avançada
As políticas e configurações padrão do Secure Web Proxy são "negar tudo" por padrão. Além disso, o Google Cloud atualiza automaticamente o Secure Web Proxy de software e infraestrutura, reduzindo os riscos de vulnerabilidades de segurança.
Recursos compatíveis
O Secure Web Proxy dá suporte aos seguintes recursos:
Serviço de proxy explícito: os clientes são configurados explicitamente para usar o servidor proxy. O proxy seguro da Web isola os clientes Internet criando novas conexões TCP em nome do cliente.
Escalonamento automático de proxies Envoy do Secure Web Proxy: suporte automático ajustando o tamanho do pool de proxy Envoy e a capacidade do pool em uma região; o que permite um desempenho consistente em períodos de grande demanda no menor custo.
Políticas de acesso de saída modular:o Secure Web Proxy é compatível especificamente com as seguintes políticas de saída:
- Identidade de origem baseada em tags seguras, contas de serviço ou endereços IP.
- Destinos com base em URLs e nomes de host.
- Solicitações com base em métodos, cabeçalhos ou URLs. Os URLs podem ser especificados usando listas, caracteres curinga ou padrões.
Criptografia de ponta a ponta:os túneis proxy de cliente podem transitar por TLS. O Secure Web Proxy também oferece suporte a HTTP/S
CONNECTpara processos iniciados pelo cliente, conexões TLS de ponta a ponta com o servidor de destino.Integração dos Registros de auditoria do Cloud e da observabilidade do Google Cloud:Registros de auditoria do Cloud e A observabilidade do Google Cloud registra atividades administrativas e solicitações de acesso para recursos relacionados ao Secure Web Proxy. Eles também registram métricas e registros de transações para solicitações processadas pelo proxy.
Outras ferramentas do Google Cloud a considerar
O Google Cloud oferece as seguintes ferramentas para os ambientes implantações:
Use o Google Cloud Armor para proteger implantações do Google Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques de aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique as regras de firewall da VPC para proteger as conexões ou das instâncias de VM.
Implementar o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud, como Cloud Storage e BigQuery.
Usar o Cloud NAT para ativar a Internet de saída desprotegida conectividade para determinados recursos do Google Cloud sem um IP externo endereço IP.