En esta página se describen los atributos de origen y los atributos de destino de las políticas de proxy web seguro. Además, en esta página se explica el proxy basado en reglas del protocolo de control de la transmisión (TCP) y cómo configurar reglas de proxy TCP para tu aplicación.
Las políticas de proxy web seguro se basan en los dos parámetros siguientes:
- Fuente de tráfico: para identificar la fuente de tráfico, el proxy web seguro usa atributos como cuentas de servicio, etiquetas seguras y direcciones IP.
- Destino permitido: para determinar los destinos permitidos, el proxy web seguro usa un dominio de destino, una ruta de URL completa (si la inspección TLS está habilitada), listas de URLs o el puerto de destino.
De forma predeterminada, el proxy web seguro se configura para denegar cualquier tráfico web de salida (HTTP o HTTPS) a través del proxy, a menos que incluyas una regla específica en la política de tu instancia de proxy web seguro.
Atributos de origen de las políticas
Utilice los siguientes atributos para que su instancia de Secure Web Proxy identifique la fuente del tráfico:
- Cuentas de servicio: usa cuentas de servicio para identificar la fuente del tráfico y configurar las políticas de proxy web seguro.
- Etiquetas seguras: usa etiquetas de Resource Manager para controlar el acceso a tus recursos. Google Cloud
- Direcciones IP: asigna las direcciones IP de tu empresa (o direcciones IP estáticas Google Cloud ) que Secure Web Proxy usa para el tráfico saliente.
Identidades admitidas
Puedes usar políticas de seguridad basadas en la identidad de origen (cuentas de servicio y etiquetas seguras) para proteger el tráfico web de varios Google Cloud servicios. En la siguiente tabla se indica si se admiten varios servicios de Google Cloud al usar políticas de seguridad basadas en la identidad de origen.
| Google Cloud servicios | Asistencia para cuentas de servicio | Compatibilidad con etiquetas seguras |
|---|---|---|
| VM | ||
| Nodo de GKE | ||
| Contenedor de GKE | 1 | 1 |
| VPC directa para Cloud Run | 1 | |
| Conector de Acceso a VPC sin servidor | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect en las instalaciones | 1 | 1 |
| Balanceador de carga de aplicación | ||
| Balanceador de carga de red |
2 La dirección IP de origen es única y se puede usar en su lugar.
En la siguiente tabla se indica si se admiten varias arquitecturas de nube privada virtual (VPC) al usar políticas de seguridad basadas en la identidad de origen:
| VPC | Arquitectura de VPC | Asistencia |
|---|---|---|
| En la VPC | Entre proyectos (VPC compartida) | |
| En la VPC | Entre regiones | |
| Entre VPCs | Enlace de emparejamiento cruzado (VPC emparejada) | |
| Entre VPCs | Private Service Connect entre organizaciones | |
| Entre VPCs | Radios de Network Connectivity Center entre redes |
Atributos de destino de las políticas
Con el proxy web seguro, puedes configurar políticas para tu aplicación en función de los dominios de destino y las rutas de URL completas (si la inspección TLS está habilitada).
Usa los siguientes atributos para que tu instancia de Secure Web Proxy determine el destino del tráfico permitido:
- Puerto de destino: puerto upstream al que tu instancia de Secure Web Proxy envía el tráfico.
Para obtener más información, consulta Atributos disponibles para
SessionMatcheryApplicationMatcher. - Listas de URLs: úsalas para definir las URLs a las que pueden acceder tus usuarios. Para obtener más información, consulta el artículo Listas de URLs.
En el caso del tráfico de destino basado en HTTP, puede usar el atributo host() de destino de su aplicación.
En el caso del tráfico de destino basado en HTTPS, puedes usar varios request.*atributos relacionados con el destino (como request.method) en tu aplicación.
Para obtener más información sobre los atributos de destino que puedes usar para el tráfico HTTP y HTTPS, consulta Atributos.
Reglas de proxy TCP
Con tu instancia de proxy web seguro, puedes configurar reglas de proxy para el tráfico del protocolo de control de la transmisión (TCP), incluido el tráfico que no esté asociado a protocolos web. Por ejemplo, puedes permitir o bloquear el tráfico de sitios web o aplicaciones que envíen tráfico desde cualquier puerto que no sea 80 (HTTP) o 443 (HTTPS).
Si tu carga de trabajo (como tus aplicaciones y servicios) usa Secure Web Proxy como próximo salto, te recomendamos que apliques reglas de proxy TCP. Esto se debe a que, al usar un proceso de redirección basado en rutas, el tráfico que no es HTTP(S) ni web se dirige a su instancia de proxy web seguro. De esta forma, puedes bloquear el tráfico malicioso para que no llegue a tu aplicación y controlar qué aplicaciones o sitios web pueden acceder a tu red.
Configurar reglas de proxy TCP para tu aplicación
Para implementar reglas de proxy TCP y crear una regla de tráfico permitido o bloqueado para su aplicación, debe especificar el puerto de destino. También puedes incluir cualquiera de los siguientes atributos SessionMatcher para acotar los criterios de la regla de permitir o bloquear.
| Atributo | Tipo de atributo | Descripción |
|---|---|---|
source.ip |
cadena | Dirección IP del cliente que ha enviado la solicitud. |
source.port |
cadena | Puerto del cliente que ha enviado la solicitud. |
destination.port |
cadena | Puerto de upstream al que tu instancia de proxy web seguro envía el tráfico. |
source.matchTag(SECURE_TAG) |
booleano |
El argumento es el ID permanente de la etiqueta segura, como
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
booleano | True, si la fuente está asociada a
SERVICE_ACCOUNT, como
source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
booleano | True, si IP_ADDRESS está
dentro de IP_RANGE, como
inIpRange(source.ip, '1.2.3.0/24'). Las máscaras de subred
de las direcciones IPv6 no pueden ser superiores a /64.
|
Limitaciones
Secure Web Proxy no permite configurar reglas de proxy TCP para aplicaciones del protocolo de datagramas de usuario (UDP). Por lo tanto, el proxy web seguro bloquea el tráfico de las aplicaciones basadas en UDP.
Reglas de coincidencia de host
Cuando configures las reglas de salida de tu instancia de Secure Web Proxy, asegúrate de definir las reglas en función del host de destino de las solicitudes salientes. También debes tener en cuenta cómo funciona la coincidencia de hosts en función del modo de implementación de tu instancia de proxy web seguro.
Modo proxy explícito
En el caso de las solicitudes HTTP sin cifrar, puede usar la regla
host() == "myownpersonaldomain.com"en elSessionMatcher. Secure Web Proxy valida esta regla con el campohostde la cabeceraCONNECTde la solicitud HTTP.Si quieres habilitar la inspección TLS y definir reglas basadas en el
Application Matcher, debes definir una reglaSessionMatcherque dé como resultadoTRUE. Por ejemplo, puede usar la reglahost() == "myownpersonaldomain.com"enSessionMatchery, a continuación, añadir la reglarequest.host() == "myownpersonaldomain.com"enApplicationMatcher.Secure Web Proxy primero valida el
SessionMatchercon el campohostde la cabeceraCONNECTde la solicitud HTTP. Solo si la reglaSessionMatcheres válida, el proxy web seguro examina las reglasApplicationMatcher.
Modo del siguiente salto
En el caso de las solicitudes HTTP sin cifrar, puede usar la regla
host() == "myownpersonaldomain.com"en elSessionMatcher. El proxy web seguro valida esta regla con el campohostdel encabezado de solicitud HTTP estándar.Sin embargo, si la solicitud está cifrada con TLS, el proxy web seguro valida la misma regla con el encabezado Indicación de nombre de servidor (SNI) de la solicitud saliente.
Si quieres habilitar la inspección TLS y definir reglas basadas en
ApplicationMatcher, debes definir una reglaSessionMatcherque dé como resultadoTRUE. Por ejemplo, puede usar la reglahost() == "myownpersonaldomain.com"enSessionMatchery, a continuación, añadir la reglarequest.host() == "myownpersonaldomain.com"enApplicationMatcher.Secure Web Proxy primero valida el
SessionMatchercon el encabezado SNI de la solicitud saliente. Y solo si la reglaSessionMatcheres válida, el proxy web seguro examina las reglasApplicationMatcher.