Le proxy Web sécurisé est un service cloud-first qui vous aide à sécuriser le trafic Web de sortie (HTTP/S). Vous configurez vos clients pour utiliser explicitement le proxy Web sécurisé comme passerelle. Les requêtes Web peuvent provenir des sources suivantes:
- Instances de machines virtuelles (VM)
- Des conteneurs
- Environnement sans serveur utilisant un connecteur sans serveur
- Charges de travail en dehors de Google Cloud connectées par Cloud VPN ou Cloud Interconnect
Le proxy Web sécurisé permet d'appliquer des règles flexibles et précises basées sur des identités et des applications Web cloud-first.
Modes de déploiement
Vous pouvez déployer un proxy Web sécurisé comme suit:
Mode de routage explicite du proxy
Vous pouvez configurer vos environnements de charge de travail et vos clients pour qu'ils utilisent explicitement le serveur proxy. Le proxy Web sécurisé isole les clients d'Internet en créant de nouvelles connexions TCP pour le compte du client, tout en respectant la règle de sécurité administrée.
Pour obtenir des instructions détaillées, consultez la page Déployer une instance de proxy Web sécurisé.
Mode de rattachement de service Private Service Connect
Pour centraliser le déploiement de votre proxy Web sécurisé lorsqu'il existe plusieurs réseaux, vous pouvez utiliser Network Connectivity Center. Toutefois, il existe certaines limites lorsque vous essayez d'effectuer un scaling à la hausse avec Network Connectivity Center. L'ajout du proxy Web sécurisé en tant que rattachement de service Private Service Connect permet de contourner ces limites. Vous pouvez déployer un proxy Web sécurisé comme suit:
- Ajoutez le proxy Web sécurisé en tant que rattachement de service Private Service Connect côté producteur d'une connexion Private Service Connect.
- Créez un point de terminaison client Private Service Connect dans chaque réseau VPC devant être connecté au rattachement de service Private Service Connect.
- Faites pointer le trafic de sortie de votre charge de travail vers le proxy Web sécurisé centralisé dans la région et appliquez des règles à ce trafic.
Le déploiement fonctionne en étoile, où le proxy Web sécurisé se trouve sur le chemin de sortie des charges de travail dans les différents réseaux VPC connectés.
Pour obtenir des instructions détaillées, consultez l'article Déployer le proxy Web sécurisé en tant que rattachement de service.
Solutions compatibles avec le proxy Web sécurisé
Le proxy Web sécurisé est compatible avec les solutions ci-dessous.
Migration vers Google Cloud
Le proxy Web sécurisé vous aide à migrer vers Google Cloud tout en conservant vos règles de sécurité et exigences de sécurité existantes pour le trafic Web de sortie. Vous pouvez éviter d'utiliser des solutions tierces qui nécessitent l'utilisation d'une autre console de gestion ou la modification manuelle des fichiers de configuration.
Accès à des services Web externes de confiance
Le proxy Web sécurisé vous permet d'appliquer des règles d'accès précises à votre trafic Web de sortie afin de sécuriser votre réseau. Vous créez et identifiez les identités de charge de travail ou d'application, puis vous appliquez des règles aux emplacements Web.
Accès surveillé aux services Web non approuvés
Vous pouvez utiliser le proxy Web sécurisé pour fournir un accès surveillé à des services Web non approuvés. Le proxy Web sécurisé identifie le trafic non conforme à la stratégie et le consigne dans Cloud Logging (Logging). Vous pouvez ensuite surveiller l'utilisation d'Internet, détecter les menaces qui pèsent sur votre réseau et réagir en conséquence.
Avantages du proxy Web sécurisé
Le proxy Web sécurisé offre les avantages suivants.
Gain de temps opérationnel
Le proxy Web sécurisé ne nécessite pas de VM à installer, ne nécessite pas de mises à jour logicielles pour maintenir la sécurité et offre un scaling élastique. Après la configuration initiale des règles, une instance régionale de proxy Web sécurisé est prête à l'emploi. Le proxy Web sécurisé fournit des outils permettant de simplifier la configuration, les tests et le déploiement, afin que vous puissiez vous concentrer sur d'autres tâches.
Déploiement flexible
Le proxy Web sécurisé prend en charge des déploiements de base et flexibles. Les instances de proxy Web sécurisé, les stratégies de proxy Web sécurisé et les listes d'URL sont tous des objets modulaires qui peuvent être créés ou réutilisés par des administrateurs distincts. Par exemple, vous pouvez déployer plusieurs instances de proxy Web sécurisé qui utilisent toutes la même stratégie de proxy Web sécurisé.
Sécurité renforcée
Par défaut, les configurations et les règles du proxy Web sécurisé sont "Tout refuser" par défaut. De plus, Google Cloud met automatiquement à jour le logiciel et l'infrastructure du proxy Web sécurisé, réduisant ainsi les risques de failles de sécurité.
Fonctionnalités compatibles
Le proxy Web sécurisé prend en charge les fonctionnalités suivantes:
Service proxy explicite:les clients sont explicitement configurés pour utiliser le serveur proxy. Le proxy Web sécurisé isole les clients d'Internet en créant des connexions TCP pour le compte du client.
Autoscaling des proxys Envoy sécurisé du proxy Web sécurisé:accepte l'ajustement automatique de la taille et de la capacité du pool de proxys Envoy dans une région, ce qui permet d'assurer des performances constantes lors des périodes de forte demande pour un coût minimal.
Règles d'accès de sortie modulaires:le proxy Web sécurisé est spécifiquement compatible avec les règles de sortie suivantes:
- Identité de la source basée sur des tags sécurisés, des comptes de service ou des adresses IP
- Destinations basées sur des URL et des noms d'hôte.
- Requêtes basées sur des méthodes, des en-têtes ou des URL. Les URL peuvent être spécifiées à l'aide de listes, de caractères génériques ou de modèles.
Chiffrement de bout en bout:les tunnels client-proxy peuvent transiter par TLS. Le proxy Web sécurisé est également compatible avec le protocole
CONNECTHTTP/S pour les connexions TLS de bout en bout déclenchées par le client vers le serveur de destination.Intégration de Cloud Audit Logs et Google Cloud Observability:Cloud Audit Logs et Google Cloud Observability enregistrent les activités d'administration et les demandes d'accès pour les ressources liées au proxy Web sécurisé. Ils enregistrent également des métriques et des journaux de transactions pour les requêtes traitées par le proxy.
Autres outils Google Cloud à envisager
Google Cloud fournit les outils suivants pour vos déploiements Google Cloud:
Utilisez Google Cloud Armor pour protéger les déploiements Google Cloud contre plusieurs menaces, y compris les attaques par déni de service distribué (DDoS) et les attaques d'applications telles que les scripts intersites (XSS) et l'injection SQL (SQLi).
Spécifiez des règles de pare-feu VPC pour sécuriser les connexions depuis ou vers vos instances de VM.
Mettez en œuvre VPC Service Controls pour empêcher l'exfiltration de données à partir des services Google Cloud, tels que Cloud Storage et BigQuery.
Utilisez Cloud NAT pour activer la connectivité Internet sortante non sécurisée pour certaines ressources Google Cloud sans adresse IP externe.