Visão geral do Secure Web Proxy

O Secure Web Proxy é um serviço que prioriza a nuvem ajuda a proteger o tráfego de saída da Web (HTTP/S). Configure seus clientes para usar explicitamente o Secure Web Proxy como um gateway. As solicitações da Web podem se originar das seguintes fontes:

  • Instâncias de máquina virtual (VM)
  • Contêineres
  • Ambiente sem servidor que usa um conector sem servidor
  • Cargas de trabalho fora do Google Cloud conectadas pelo Cloud VPN ou Cloud Interconnect

O Secure Web Proxy permite políticas flexíveis e granulares com base identidades com foco na nuvem e aplicativos da Web.

Modos de implantação

É possível implantar o Secure Web Proxy das seguintes maneiras:

Modo de roteamento de proxy explícito

É possível configurar os ambientes de carga de trabalho e os clientes para usar explicitamente o servidor proxy. O Secure Web Proxy isola os clientes da Internet criando novas conexões TCP em nome do cliente, mantendo a política de segurança administrada.

Para instruções detalhadas, consulte Implantar uma instância do Secure Web Proxy.

Modo de anexo do serviço Private Service Connect

Para centralizar a implantação do Secure Web Proxy quando há várias redes, use o Network Connectivity Center. No entanto, há algumas limitações ao tentar aumentar a escala com o Network Connectivity Center. Adicionar o proxy seguro da Web como um anexo de serviço do Private Service Connect supera essas limitações. É possível implantar o Secure Web Proxy da seguinte maneira:

  1. Adicionar o Secure Web Proxy como um serviço do Private Service Connect no lado do produtor de um Private Service Connect uma conexão com a Internet.
  2. Crie um endpoint de consumidor do Private Service Connect em cada rede VPC que precisa ser conectada ao anexo de serviço do Private Service Connect.
  3. Direcionar o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplicar políticas a esse tráfego.

A implantação funciona de forma hub e spoke, em que o Secure Web Proxy está no caminho de saída para cargas de trabalho nas várias redes VPC conectadas.

Para instruções detalhadas, consulte Implantar o proxy da Web seguro como um anexo de serviço.

Secure Web Proxy como próximo salto

É possível configurar a implantação do Secure Web Proxy para atuar como um próximo salto para roteamento na rede. Configurar o roteamento de próximo salto para apontar fontes de tráfego para sua instância do Secure Web Proxy reduz a sobrecarga administrativa de configurar uma variável de proxy explícita para cada carga de trabalho de origem. Para mais informações sobre como configurar o roteamento do próximo salto, consulte Implantar o Secure Web Proxy como próximo salto.

Soluções compatíveis com o Secure Web Proxy

O proxy da Web seguro oferece suporte às seguintes soluções.

Migração para o Google Cloud

O proxy seguro da Web ajuda você a migrar para o Google Cloud enquanto mantém suas políticas e requisitos de segurança atuais para o tráfego de saída da Web. Você pode evitar o uso de soluções de terceiros que exijam outro console de gerenciamento. ou editar manualmente os arquivos de configuração.

Acesso a serviços da Web externos confiáveis

O Secure Web Proxy permite aplicar políticas de acesso granular à sua Web de saída para proteger a rede. Você cria e identifica cargas de trabalho identidades de aplicativos e, em seguida, aplicar políticas a locais da Web.

Acesso monitorado a serviços da Web não confiáveis

É possível usar o Secure Web Proxy para fornecer acesso monitorado a sites não confiáveis serviços. O proxy seguro da Web identifica o tráfego que não está em conformidade com a política e o registra no Cloud Logging (registro). Depois, você pode monitorar o uso da Internet, descobrir ameaças à sua rede e responder a elas.

Benefícios do Secure Web Proxy

O proxy seguro da Web oferece os seguintes benefícios.

Economia de tempo operacional

O Proxy seguro da Web não tem VMs para instalar e configurar, não requer atualizações de software para manter a segurança e oferece escalonamento elástico. Após a configuração inicial da política, uma instância regional do Secure Web Proxy funciona assim que é configurada. O Secure Web Proxy oferece ferramentas para simplificar a configuração, o teste e a implantação, para que você possa se concentrar em outras tarefas.

Implantação flexível

O Secure Web Proxy dá suporte a implantações básicas e flexíveis. As instâncias, políticas e listas de URLs do proxy da Web seguro são objetos modulares que podem ser criados ou reutilizados por administradores distintos. Por exemplo, é possível implantar várias instâncias do Secure Web Proxy que usam a mesma política.

Segurança avançada

As políticas e configurações padrão do Secure Web Proxy são "negar tudo" por padrão. Além disso, o Google Cloud atualiza automaticamente o Secure Web Proxy de software e infraestrutura, reduzindo os riscos de vulnerabilidades de segurança.

Recursos compatíveis

O Secure Web Proxy oferece suporte aos seguintes recursos:

  • Escalonamento automático de proxies Envoy do Secure Web Proxy: suporte automático ajustando o tamanho do pool de proxy Envoy e a capacidade do pool em uma região; o que permite um desempenho consistente em períodos de grande demanda no menor custo.

  • Políticas de acesso de saída modular:o Secure Web Proxy é compatível especificamente com as seguintes políticas de saída:

    • Identidade da origem com base em tags seguras, contas de serviço ou endereços IP.
    • Destinos com base em URLs e nomes de host.
    • Solicitações baseadas em métodos, cabeçalhos ou URLs. Os URLs podem ser especificados usando listas, caracteres curinga ou padrões.
  • Criptografia de ponta a ponta:os túneis proxy de cliente podem transitar por TLS. O Secure Web Proxy também oferece suporte a HTTP/S CONNECT para processos iniciados pelo cliente, conexões TLS de ponta a ponta com o servidor de destino.

  • Integração do Cloud Audit Logs e do Google Cloud Observability: o Cloud Audit Logs e o Google Cloud Observability registram atividades administrativas e solicitações de acesso para recursos relacionados ao Secure Web Proxy. Eles também registram métricas e registros de transações para solicitações processadas pelo proxy.

Outras ferramentas do Google Cloud a serem consideradas

O Google Cloud oferece as seguintes ferramentas para suas implantações do Google Cloud:

  • Use o Google Cloud Armor para proteger implantações do Google Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques de aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).

  • Especifique as regras de firewall da VPC para proteger as conexões ou das instâncias de VM.

  • Implementar o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud, como Cloud Storage e BigQuery.

  • Usar o Cloud NAT para ativar a Internet de saída desprotegida conectividade para determinados recursos do Google Cloud sem um IP externo endereço IP.