O Secure Web Proxy é um serviço que prioriza a nuvem e ajuda a proteger o tráfego da Web de saída (HTTP/S). Configure seus clientes para usar explicitamente o Secure Web Proxy como um gateway. As solicitações da Web podem ter origem nas seguintes fontes:
- Instâncias de máquina virtual (VM)
- Contêineres
- Um ambiente sem servidor que usa um conector sem servidor
- Cargas de trabalho fora do Google Cloud conectadas pelo Cloud VPN ou Cloud Interconnect
O Proxy seguro da Web permite políticas flexíveis e granulares com base em identidades e aplicativos da Web com foco na nuvem.
Modos de implantação
É possível implantar o Secure Web Proxy das seguintes maneiras:
Modo de roteamento de proxy explícito
É possível configurar os ambientes de carga de trabalho e os clientes para usar explicitamente o servidor proxy. O Secure Web Proxy isola os clientes da Internet criando novas conexões TCP em nome do cliente, mantendo a política de segurança administrada.
Para instruções detalhadas, consulte Implantar uma instância do Secure Web Proxy.
Modo de anexo de serviço do Private Service Connect
Para centralizar a implantação do Secure Web Proxy quando há várias redes, use o Network Connectivity Center. No entanto, há algumas limitações ao tentar escalonar verticalmente com o Network Connectivity Center. Adicionar o proxy seguro da Web como um anexo de serviço do Private Service Connect supera essas limitações. É possível implantar o Secure Web Proxy da seguinte maneira:
- Adicione o Secure Web Proxy como um anexo de serviço do Private Service Connect no lado do produtor de uma conexão do Private Service Connect.
- Crie um endpoint de consumidor do Private Service Connect em cada rede VPC que precisa ser conectada ao anexo de serviço do Private Service Connect.
- Aponte o tráfego de saída da carga de trabalho para o proxy seguro da Web centralizado na região e aplique políticas a esse tráfego.
A implantação funciona de forma hub e spoke, em que o proxy da Web seguro está no caminho de saída para cargas de trabalho nas várias redes VPC conectadas.
Para instruções detalhadas, consulte Implantar o proxy da Web seguro como um anexo de serviço.
Proxy seguro da Web como próximo salto
É possível configurar a implantação do Secure Web Proxy para atuar como um próximo salto para roteamento na rede. Configurar o roteamento de próximo salto para apontar fontes de tráfego para sua instância do Secure Web Proxy reduz a sobrecarga administrativa de configurar uma variável de proxy explícita para cada carga de trabalho de origem. Para mais informações sobre como configurar o roteamento do próximo salto, consulte Implantar o Secure Web Proxy como próximo salto.
Soluções compatíveis com o Secure Web Proxy
O Secure Web Proxy é compatível com as seguintes soluções.
Migração para o Google Cloud
O proxy seguro da Web ajuda você a migrar para o Google Cloud e manter suas políticas e requisitos de segurança atuais para o tráfego de saída da Web. É possível evitar o uso de soluções de terceiros que exigem o uso de outro console de gerenciamento ou a edição manual de arquivos de configuração.
Acesso a serviços da Web externos confiáveis
O proxy seguro da Web permite que você aplique políticas de acesso granulares ao tráfego de saída da Web para proteger sua rede. Você cria e identifica identidades de carga de trabalho ou aplicativo e, em seguida, aplica políticas a locais da Web.
Acesso monitorado a serviços da Web não confiáveis
É possível usar o proxy seguro da Web para fornecer acesso monitorado a serviços da Web não confiáveis. O proxy seguro da Web identifica o tráfego que não está em conformidade com a política e o registra no Cloud Logging (registro). Depois, você pode monitorar o uso da Internet, descobrir ameaças à sua rede e responder a elas.
Benefícios do proxy seguro da Web
O proxy seguro da Web oferece os seguintes benefícios.
Economia de tempo operacional
O Proxy seguro da Web não tem VMs para instalar e configurar, não requer atualizações de software para manter a segurança e oferece escalonamento elástico. Após a configuração inicial da política, uma instância regional do Secure Web Proxy funciona assim que é configurada. O Secure Web Proxy oferece ferramentas para simplificar a configuração, o teste e a implantação, para que você possa se concentrar em outras tarefas.
Implantação flexível
O Proxy seguro da Web oferece suporte a implantações básicas e flexíveis. As instâncias, políticas e listas de URLs do proxy da Web seguro são objetos modulares que podem ser criados ou reutilizados por administradores distintos. Por exemplo, é possível implantar várias instâncias do Secure Web Proxy que usam a mesma política.
Segurança avançada
Por padrão, as políticas e configurações do Proxy seguro da Web bloqueiam tudo. Além disso, o Google Cloud atualiza automaticamente o software e a infraestrutura do Secure Web Proxy, reduzindo os riscos de vulnerabilidades de segurança.
Recursos compatíveis
O Secure Web Proxy oferece suporte aos seguintes recursos:
Proxy Envoy do Proxy seguro da Web com escalonamento automático:oferece suporte ao ajuste automático do tamanho do pool de proxy Envoy e da capacidade do pool em uma região, o que permite um desempenho consistente durante períodos de alta demanda pelo menor custo.
Políticas de acesso de saída modulares:o Secure Web Proxy oferece suporte específico às seguintes políticas de saída:
- Identidade da origem baseada em tags seguras, contas de serviço ou endereços IP.
- Destinos com base em URLs, nomes de host.
- Solicitações baseadas em métodos, cabeçalhos ou URLs. Os URLs podem ser especificados usando listas, caracteres curinga ou padrões.
Criptografia de ponta a ponta:os túneis de proxy do cliente podem transitar pela TLS. O Secure Web Proxy também oferece suporte a HTTP/S
CONNECTpara conexões TLS de ponta a ponta iniciadas pelo cliente com o servidor de destino.Integração do Cloud Audit Logs e do Google Cloud Observability:o Registros de auditoria do Cloud e o Google Cloud Observability registram atividades administrativas e solicitações de acesso para recursos relacionados ao Secure Web Proxy. Eles também registram métricas e registros de transações para solicitações processadas pelo proxy.
Outras ferramentas do Google Cloud a serem consideradas
O Google Cloud oferece as seguintes ferramentas para suas implantações do Google Cloud:
Use o Google Cloud Armor para proteger as implantações do Google Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques a aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique regras de firewall da VPC para proteger as conexões de ou para as instâncias de VM.
Implemente o VPC Service Controls para impedir a exfiltração de dados dos serviços do Google Cloud, como o Cloud Storage e o BigQuery.
Use o Cloud NAT para ativar a conectividade de saída não segura para a Internet em determinados recursos do Google Cloud sem um endereço IP externo.