O Secure Web Proxy é um serviço que prioriza a nuvem ajuda a proteger o tráfego de saída da Web (HTTP/S). Configure seus clientes para usar explicitamente o Secure Web Proxy como um gateway. As solicitações da Web podem se originar das seguintes fontes:
- Instâncias de máquina virtual (VM)
- Contêineres
- Ambiente sem servidor que usa um conector sem servidor
- Cargas de trabalho fora do Google Cloud conectadas pelo Cloud VPN ou Cloud Interconnect
O Secure Web Proxy permite políticas flexíveis e granulares com base identidades com foco na nuvem e aplicativos da Web.
Modos de implantação
É possível implantar o Secure Web Proxy das seguintes maneiras:
Modo de roteamento de proxy explícito
É possível configurar os ambientes de carga de trabalho e os clientes para usar explicitamente o servidor proxy. O Secure Web Proxy isola os clientes da Internet criando novas conexões TCP em nome do cliente, mantendo a política de segurança administrada.
Para instruções detalhadas, consulte Implantar uma instância do Secure Web Proxy.
Modo de anexo do serviço Private Service Connect
Para centralizar a implantação do Secure Web Proxy quando há várias redes, use o Network Connectivity Center. No entanto, há algumas limitações ao tentar aumentar a escala com o Network Connectivity Center. Adicionar o proxy seguro da Web como um anexo de serviço do Private Service Connect supera essas limitações. É possível implantar o Secure Web Proxy da seguinte maneira:
- Adicionar o Secure Web Proxy como um serviço do Private Service Connect no lado do produtor de um Private Service Connect uma conexão com a Internet.
- Crie um endpoint de consumidor do Private Service Connect em cada rede VPC que precisa ser conectada ao anexo de serviço do Private Service Connect.
- Direcionar o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplicar políticas a esse tráfego.
A implantação funciona de forma hub e spoke, em que o Secure Web Proxy está no caminho de saída para cargas de trabalho nas várias redes VPC conectadas.
Para instruções detalhadas, consulte Implantar o proxy da Web seguro como um anexo de serviço.
Secure Web Proxy como próximo salto
É possível configurar a implantação do Secure Web Proxy para atuar como um próximo salto para roteamento na rede. Configurar o roteamento de próximo salto para apontar fontes de tráfego para sua instância do Secure Web Proxy reduz a sobrecarga administrativa de configurar uma variável de proxy explícita para cada carga de trabalho de origem. Para mais informações sobre como configurar o roteamento do próximo salto, consulte Implantar o Secure Web Proxy como próximo salto.
Soluções compatíveis com o Secure Web Proxy
O proxy da Web seguro oferece suporte às seguintes soluções.
Migração para o Google Cloud
O proxy seguro da Web ajuda você a migrar para o Google Cloud enquanto mantém suas políticas e requisitos de segurança atuais para o tráfego de saída da Web. Você pode evitar o uso de soluções de terceiros que exijam outro console de gerenciamento. ou editar manualmente os arquivos de configuração.
Acesso a serviços da Web externos confiáveis
O Secure Web Proxy permite aplicar políticas de acesso granular à sua Web de saída para proteger a rede. Você cria e identifica cargas de trabalho identidades de aplicativos e, em seguida, aplicar políticas a locais da Web.
Acesso monitorado a serviços da Web não confiáveis
É possível usar o Secure Web Proxy para fornecer acesso monitorado a sites não confiáveis serviços. O proxy seguro da Web identifica o tráfego que não está em conformidade com a política e o registra no Cloud Logging (registro). Depois, você pode monitorar o uso da Internet, descobrir ameaças à sua rede e responder a elas.
Benefícios do Secure Web Proxy
O proxy seguro da Web oferece os seguintes benefícios.
Economia de tempo operacional
O Proxy seguro da Web não tem VMs para instalar e configurar, não requer atualizações de software para manter a segurança e oferece escalonamento elástico. Após a configuração inicial da política, uma instância regional do Secure Web Proxy funciona assim que é configurada. O Secure Web Proxy oferece ferramentas para simplificar a configuração, o teste e a implantação, para que você possa se concentrar em outras tarefas.
Implantação flexível
O Secure Web Proxy dá suporte a implantações básicas e flexíveis. As instâncias, políticas e listas de URLs do proxy da Web seguro são objetos modulares que podem ser criados ou reutilizados por administradores distintos. Por exemplo, é possível implantar várias instâncias do Secure Web Proxy que usam a mesma política.
Segurança avançada
As políticas e configurações padrão do Secure Web Proxy são "negar tudo" por padrão. Além disso, o Google Cloud atualiza automaticamente o Secure Web Proxy de software e infraestrutura, reduzindo os riscos de vulnerabilidades de segurança.
Recursos compatíveis
O Secure Web Proxy oferece suporte aos seguintes recursos:
Escalonamento automático de proxies Envoy do Secure Web Proxy: suporte automático ajustando o tamanho do pool de proxy Envoy e a capacidade do pool em uma região; o que permite um desempenho consistente em períodos de grande demanda no menor custo.
Políticas de acesso de saída modular:o Secure Web Proxy é compatível especificamente com as seguintes políticas de saída:
- Identidade da origem com base em tags seguras, contas de serviço ou endereços IP.
- Destinos com base em URLs e nomes de host.
- Solicitações baseadas em métodos, cabeçalhos ou URLs. Os URLs podem ser especificados usando listas, caracteres curinga ou padrões.
Criptografia de ponta a ponta:os túneis proxy de cliente podem transitar por TLS. O Secure Web Proxy também oferece suporte a HTTP/S
CONNECTpara processos iniciados pelo cliente, conexões TLS de ponta a ponta com o servidor de destino.Integração do Cloud Audit Logs e do Google Cloud Observability: o Cloud Audit Logs e o Google Cloud Observability registram atividades administrativas e solicitações de acesso para recursos relacionados ao Secure Web Proxy. Eles também registram métricas e registros de transações para solicitações processadas pelo proxy.
Outras ferramentas do Google Cloud a serem consideradas
O Google Cloud oferece as seguintes ferramentas para suas implantações do Google Cloud:
Use o Google Cloud Armor para proteger implantações do Google Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques de aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique as regras de firewall da VPC para proteger as conexões ou das instâncias de VM.
Implementar o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud, como Cloud Storage e BigQuery.
Usar o Cloud NAT para ativar a Internet de saída desprotegida conectividade para determinados recursos do Google Cloud sem um IP externo endereço IP.