Le proxy Web sécurisé est un service cloud-first vous aide à sécuriser le trafic Web de sortie (HTTP/S). Vous configurez vos clients pour qu'ils utilisent explicitement le proxy Web sécurisé comme passerelle. Les requêtes Web peuvent provenir à partir des sources suivantes:
- Instances de machines virtuelles (VM)
- Conteneurs
- Un environnement sans serveur qui utilise un connecteur sans serveur
- Charges de travail extérieures à Google Cloud connectées par Cloud VPN Cloud Interconnect
Le proxy Web sécurisé permet de créer des stratégies flexibles et précises basées sur les identités cloud first et les applications Web.
Modes de déploiement
Vous pouvez déployer Secure Web Proxy de différentes manières :
Mode de routage par proxy explicite
Vous pouvez configurer vos environnements de charge de travail et vos clients pour qu'ils utilisent explicitement serveur proxy. Le proxy Web sécurisé isole les clients d'Internet en créant de nouvelles connexions TCP pour le compte du client, tout en respectant les stratégie de sécurité.
Pour obtenir des instructions détaillées, consultez la section Déploiement d'une instance de proxy Web sécurisé.
Mode de liaison de service Private Service Connect
Pour centraliser le déploiement de votre proxy Web sécurisé en présence de plusieurs réseaux, vous pouvez utiliser Network Connectivity Center. Mais il y a certains limites lorsque vous essayez d'effectuer un scaling à la hausse avec Network Connectivity Center. Ajouter un proxy Web sécurisé en tant que rattachement de service Private Service Connect remplace limites. Vous pouvez déployer un proxy Web sécurisé comme suit:
- Ajouter le proxy Web sécurisé en tant que service Private Service Connect d'un rattachement de service Private Service Connect côté producteur .
- Créez un point de terminaison client Private Service Connect dans chaque réseau VPC qui doit être connecté au rattachement de service Private Service Connect.
- Faire pointer le trafic de sortie de votre charge de travail vers le proxy Web sécurisé centralisé dans la région et d'appliquer des règles à ce trafic.
Le déploiement fonctionne de manière hub and spoke, où le proxy Web sécurisé se trouve sur le chemin de sortie des charges de travail dans les différents réseaux VPC connectés.
Pour obtenir des instructions détaillées, consultez Déployer le proxy Web sécurisé en tant qu'accessoire de service.
Proxy Web sécurisé comme saut suivant
Vous pouvez configurer le déploiement de votre proxy Web sécurisé de sorte qu'il serve de saut suivant pour le routage sur votre réseau. Configurer le routage de saut suivant pour diriger les sources de trafic vers votre instance de proxy Web sécurisé réduit les coûts administratifs liés à la configuration d'une variable de proxy explicite pour chaque charge de travail source. Pour en savoir plus sur la configuration du routage de saut suivant, consultez la section Déploiement du proxy Web sécurisé en tant que saut suivant.
Solutions compatibles avec le proxy Web sécurisé
Le proxy Web sécurisé est compatible avec les solutions suivantes.
Migration vers Google Cloud
Le proxy Web sécurisé vous aide à migrer vers Google Cloud tout en conservant les règles et les exigences de sécurité existantes de votre organisation concernant le trafic Web sortant. Vous pouvez éviter d'utiliser des solutions tierces nécessitant l'utilisation d'une autre console de gestion ; ou en modifiant manuellement les fichiers de configuration.
Accès à des services Web externes approuvés
Le proxy Web sécurisé vous permet d'appliquer des règles précises d'accès du trafic afin de sécuriser votre réseau. Vous créez et identifiez les charges de travail les identités d'application, puis appliquez des stratégies aux emplacements Web.
Accès surveillé aux services Web non approuvés
Vous pouvez utiliser le proxy Web sécurisé pour fournir un accès surveillé aux services Web non approuvés. Le proxy Web sécurisé identifie le trafic qui ne respecte pas les règles et le consigne dans Cloud Logging (Journalisation). Vous pouvez ensuite surveiller l'utilisation d'Internet, détecter les menaces affectant votre réseau et y répondre.
Avantages du proxy Web sécurisé
Le proxy Web sécurisé offre les avantages suivants.
Gain de temps opérationnel
Le proxy Web sécurisé n'a pas de VM à installer et ne nécessite des mises à jour logicielles pour assurer la sécurité et offre un scaling élastique. Après la date initiale configuration de stratégie, une instance régionale de proxy Web sécurisé . Le proxy Web sécurisé offre des outils pour simplifier la configuration, pour vous concentrer sur d'autres tâches.
Déploiement flexible
Le proxy Web sécurisé prend en charge des déploiements de base et flexibles. Les instances de proxy Web sécurisé, les stratégies de proxy Web sécurisé et les listes d'URL sont tous des objets modulaires pouvant être créés ou réutilisés par des administrateurs distincts. Par exemple, vous pouvez déployer plusieurs instances de proxy Web sécurisé qui utilisent toutes le même Règle de proxy Web sécurisé.
Sécurité renforcée
Par défaut, les configurations et les règles du proxy Web sécurisé sont "Tout refuser" par défaut. De plus, Google Cloud met automatiquement à jour le proxy Web sécurisé les logiciels et l'infrastructure, ce qui réduit les risques de failles de sécurité.
Fonctionnalités compatibles
Le proxy Web sécurisé prend en charge les fonctionnalités suivantes:
Autoscaling des proxys Envoy du proxy Web sécurisé:compatibilité automatique ajuster la taille du pool de proxys Envoy et sa capacité dans une région, ce qui permet d'assurer des performances constantes lors des périodes de forte demande le coût le plus bas.
Règles de contrôle des accès de sortie modulaires : le proxy Web sécurisé est compatible avec les règles de sortie suivantes :
- Identité de la source basée sur des tags sécurisés, des comptes de service ou des adresses IP.
- Destinations basées sur des URL, des noms d'hôte.
- Requêtes basées sur des méthodes, des en-têtes ou des URL Vous pouvez spécifier des URL à l'aide de listes, de caractères génériques ou de modèles.
Chiffrement de bout en bout : les tunnels client-proxy peuvent transiter via TLS. Le proxy Web sécurisé est également compatible avec le
CONNECTHTTP/S pour les requêtes TLS de bout en bout au serveur de destination.Intégration des journaux d'audit Cloud et de Google Cloud Observability : les journaux d'audit Cloud et Google Cloud Observability enregistrent les activités administratives et les demandes d'accès pour les ressources liées au proxy Web sécurisé. Ils enregistrent également des métriques et des journaux de transactions pour les requêtes gérées par le proxy.
Autres outils Google Cloud à envisager
Google Cloud fournit les outils suivants pour votre déploiements:
Utilisez Google Cloud Armor pour protéger vos déploiements Google Cloud contre plusieurs menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et l'injection SQL (SQLi).
Spécifiez des règles de pare-feu VPC pour sécuriser les connexions à ou depuis vos instances de VM.
Implémenter VPC Service Controls pour empêcher l'exfiltration de données à partir des services Google Cloud, Cloud Storage et BigQuery.
Utiliser Cloud NAT pour activer l'Internet sortant non sécurisé la connectivité de certaines ressources Google Cloud sans adresse IP externe adresse e-mail.