Descripción general de proxy web seguro

Secure Web Proxy es un servicio cloud-first que te ayuda a proteger el tráfico web de salida (HTTP/S). Configura a tus clientes para que usen explícitamente Secure Web Proxy como pasarela. Las solicitudes web pueden proceder de las siguientes fuentes:

  • Instancias de máquina virtual (VM)
  • Contenedores
  • Un entorno sin servidor que usa un conector sin servidor
  • Cargas de trabajo fuera de Google Cloud conectadas mediante Cloud VPN o Cloud Interconnect

El proxy web seguro permite aplicar políticas flexibles y granulares basadas en identidades y aplicaciones web de Cloud First.

Modos de implementación

Puedes desplegar el proxy web seguro de las siguientes formas:

Modo de enrutamiento de proxy explícito

Puede configurar sus entornos de carga de trabajo y clientes para que usen explícitamente el servidor proxy. El proxy web seguro aísla a los clientes de Internet creando nuevas conexiones TCP en nombre del cliente, al tiempo que cumple la política de seguridad administrada.

Para obtener instrucciones detalladas, consulta Implementar una instancia de proxy web seguro.

Modo de vinculación de servicio de Private Service Connect

Para centralizar tu implementación de proxy web seguro cuando haya varias redes, puedes usar Network Connectivity Center. Sin embargo, hay algunas limitaciones cuando intentas aumentar la escala con Network Connectivity Center. Si añades Secure Web Proxy como vinculación de servicio de Private Service Connect, se superan estas limitaciones. Puedes desplegar el proxy web seguro de las siguientes formas:

  1. Crea una política y reglas de proxy web seguro.
  2. Crea una instancia de proxy web seguro que use tu política.
  3. Crea un archivo adjunto de servicio para publicar la instancia de Secure Web Proxy como servicio de Private Service Connect.
  4. Crea un endpoint de consumidor de Private Service Connect en cada red de VPC que necesite conectarse a Secure Web Proxy.
  5. Dirige el tráfico de salida de tu carga de trabajo a la instancia centralizada de proxy web seguro de la región.

La implementación funciona como un centro de operaciones con radios, donde el proxy web seguro se encuentra en la ruta de salida de las cargas de trabajo de las distintas redes de VPC conectadas.

Para obtener instrucciones detalladas, consulta Implementar Secure Web Proxy como un archivo adjunto de servicio.

Proxy web seguro como siguiente salto

Puedes configurar tu implementación de Secure Web Proxy para que actúe como siguiente salto para el enrutamiento en tu red. Configurar el enrutamiento del siguiente salto para dirigir las fuentes de tráfico a tu instancia de Secure Web Proxy reduce la sobrecarga administrativa de configurar una variable de proxy explícita para cada carga de trabajo de origen. Para obtener más información sobre cómo configurar el enrutamiento del siguiente salto, consulta Desplegar un proxy web seguro como siguiente salto.

Soluciones compatibles con Secure Web Proxy

Secure Web Proxy admite las siguientes soluciones.

Migración a Google Cloud

Secure Web Proxy te ayuda a migrar a Google Cloud sin dejar de cumplir tus políticas y requisitos de seguridad actuales para el tráfico web de salida. Puedes evitar usar soluciones de terceros que requieran otra consola de gestión o editar manualmente archivos de configuración.

Acceso a servicios web externos de confianza

El proxy web seguro te permite aplicar políticas de acceso granular al tráfico web de salida para proteger tu red. Crea e identifica identidades de carga de trabajo o de aplicación y, a continuación, aplica políticas a ubicaciones web.

Acceso monitorizado a servicios web no fiables

Puedes usar el proxy web seguro para proporcionar acceso monitorizado a servicios web que no sean de confianza. El proxy web seguro identifica el tráfico que no cumple la política y lo registra en Cloud Logging. De este modo, puedes monitorizar el uso de Internet, descubrir amenazas para tu red y responder a ellas.

Ventajas de Secure Web Proxy

Secure Web Proxy ofrece las siguientes ventajas.

Ahorro de tiempo operativo

Secure Web Proxy no tiene VMs que configurar, no requiere actualizaciones de software para mantener la seguridad y ofrece un escalado elástico. Una vez configurada la política inicial, una instancia regional de proxy web seguro funciona de forma predeterminada. El proxy web seguro proporciona herramientas para simplificar la configuración, las pruebas y la implementación, de modo que puedas centrarte en otras tareas.

Despliegue flexible

Secure Web Proxy admite implementaciones básicas y flexibles. Las instancias de proxy web seguro, las políticas de proxy web seguro y las listas de URLs son objetos modulares que pueden crear o reutilizar los distintos administradores. Por ejemplo, puedes desplegar varias instancias de proxy web seguro que utilicen la misma política de proxy web seguro.

Mayor seguridad

Las configuraciones y las políticas predeterminadas de Secure Web Proxy son de denegación predeterminada. Además, Google Cloud actualiza automáticamente el software y la infraestructura de Secure Web Proxy, lo que reduce los riesgos de vulnerabilidades de seguridad.

Funciones compatibles

Secure Web Proxy admite las siguientes funciones:

  • Proxies de Envoy de proxy web seguro con escalado automático: admite el ajuste automático del tamaño del grupo de proxies de Envoy y de la capacidad del grupo en una región, lo que permite mantener un rendimiento constante durante los periodos de alta demanda al menor coste.

  • Políticas de acceso de salida modulares: el proxy web seguro admite específicamente las siguientes políticas de salida:

    • Identidad de origen basada en etiquetas seguras, cuentas de servicio o direcciones IP.
    • Destinos basados en URLs y nombres de host.
    • Solicitudes basadas en métodos, encabezados o URLs. Las URLs se pueden especificar con listas, comodines o patrones.

  • Cifrado de extremo a extremo: los túneles de proxy de cliente pueden transitar a través de TLS. Secure Web Proxy también admite HTTP/S CONNECT para conexiones TLS de extremo a extremo iniciadas por el cliente con el servidor de destino.

  • Integración de los registros de auditoría de Cloud y Google Cloud Observability: los registros de auditoría de Cloud y Google Cloud Observability registran las actividades administrativas y las solicitudes de acceso a los recursos relacionados con Secure Web Proxy. También registran métricas y registros de transacciones de las solicitudes gestionadas por el proxy.

Otras Google Cloud herramientas que puedes tener en cuenta

Google Cloud proporciona las siguientes herramientas para tus implementaciones de Google Cloud:

  • Usa Google Cloud Armor para proteger las implementaciones deGoogle Cloud frente a varias amenazas, como los ataques de denegación de servicio distribuido (DDoS) y los ataques a aplicaciones, como los de cross-site scripting (XSS) y de inyección de SQL (SQLi).

  • Especifica reglas de cortafuegos de VPC para proteger las conexiones hacia o desde tus instancias de VM.

  • Implementa Controles de Servicio de VPC para evitar la exfiltración de datos de servicios de Google Cloud , como Cloud Storage y BigQuery.

  • Usa Cloud NAT para habilitar la conectividad saliente a Internet sin seguridad para determinados recursos Google Cloud sin una dirección IP externa.