Nesta página, descrevemos os atributos de origem e atributos de destino das políticas do Proxy seguro da Web. Além disso, esta página explica o proxy baseado em regras do Transmission Control Protocol (TCP) e como configurar regras de proxy TCP para seu aplicativo.
As políticas do Secure Web Proxy são baseadas nos dois parâmetros a seguir:
- Origem do tráfego: para identificar a origem do tráfego, o Secure Web Proxy usa atributos como contas de serviço, tags seguras e endereços IP.
- Destino permitido: para determinar os destinos permitidos, o Secure Web Proxy usa um domínio de destino, um caminho de URL completo (se a inspeção TLS estiver ativada), listas de URLs ou a porta de destino.
Por padrão, o Secure Web Proxy é configurado para negar qualquer tráfego da Web de saída (HTTP ou HTTPS) pelo proxy, a menos que você inclua uma regra específica na política da instância do Secure Web Proxy.
Atributos de origem para políticas
Use os atributos a seguir para permitir que sua instância do proxy seguro da Web identifique a origem do tráfego:
- Contas de serviço: use contas de serviço para identificar a origem do tráfego e configurar políticas do Secure Web Proxy.
- Tags seguras: use tags do Resource Manager para controlar o acesso aos seus recursos do Google Cloud .
- Endereços IP: atribua os endereços IP da sua empresa (ou endereços IP estáticos Google Cloud ) que o Secure Web Proxy usa para o tráfego de saída.
Identidades compatíveis
É possível usar políticas de segurança baseadas em identidade de origem (contas de serviço e tags seguras) para proteger o tráfego da Web de vários serviços do Google Cloud . A tabela a seguir mostra se vários serviços do Google Cloud são compatíveis com o uso de políticas de segurança baseadas na identidade de origem.
| Google Cloud serviços | Suporte para contas de serviço | Suporte a tags seguras |
|---|---|---|
| VM | ||
| Nó do GKE | ||
| Contêiner do GKE | 1 | 1 |
| VPC direta para o Cloud Run | 1 | |
| Conector de acesso VPC sem servidor | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect no local | 1 | 1 |
| Balanceador de carga de aplicativo | ||
| Balanceador de carga de rede |
2 O endereço IP de origem é exclusivo e pode ser usado.
A tabela a seguir mostra se várias arquiteturas de nuvem privada virtual (VPC) são compatíveis ao usar políticas de segurança baseadas em identidade de origem:
| VPC | Arquitetura da VPC | Suporte |
|---|---|---|
| Na VPC | Entre projetos (VPC compartilhada) | |
| Na VPC | Entre regiões | |
| Entre VPCs | Link de peering cruzado (VPC de peering) | |
| Entre VPCs | Private Service Connect entre projetos | |
| Entre VPCs | Spokes do Network Connectivity Center entre redes |
Atributos de destino para políticas
Com o Secure Web Proxy, é possível configurar políticas para seu aplicativo com base em domínios de destino e caminhos de URL completos (se a inspeção TLS estiver ativada).
Use os atributos a seguir para permitir que sua instância do proxy seguro da Web determine o destino de tráfego permitido:
- Porta de destino: porta upstream para onde a instância do proxy seguro da Web envia tráfego.
Para mais informações, consulte Atributos disponíveis para
SessionMatchereApplicationMatcher. - Listas de URLs: use listas de URLs para definir os URLs que seus usuários podem acessar. Para mais informações, consulte Listas de URLs.
Para tráfego de destino baseado em HTTP, use o atributo host() destino do seu aplicativo.
Para o tráfego de destino baseado em HTTPS, é possível usar vários atributos relacionados ao destino request.*, como request.method, no aplicativo.
Para mais informações sobre os atributos de destino que podem ser usados para tráfego HTTP e HTTPS, consulte Atributos.
Regras de proxy TCP
Com a instância do proxy seguro da Web, é possível configurar regras de proxy para
tráfego do protocolo TCP (TCP), incluindo tráfego não
associado a protocolos da Web. Por exemplo, é possível permitir ou bloquear o tráfego de sites ou aplicativos que enviam tráfego de qualquer porta que não seja 80 (HTTP) ou 443 (HTTPS).
Se sua carga de trabalho (como aplicativos e serviços) usar o proxy seguro da Web como próximo salto, será útil aplicar regras de proxy TCP. Isso acontece porque o uso de um processo de redirecionamento baseado em rotas aponta o tráfego não HTTP(S) e não da Web para sua instância do Secure Web Proxy. Assim, você pode bloquear o tráfego malicioso de chegar ao seu aplicativo e controlar quais aplicativos ou sites podem acessar sua rede.
Configurar regras de proxy TCP para seu aplicativo
Para implementar regras de proxy TCP e criar uma regra de permissão ou bloqueio de tráfego para seu
aplicativo, especifique a porta de destino. Se quiser, inclua qualquer um dos seguintes atributos SessionMatcher para refinar os critérios da regra de permissão ou bloqueio.
| Atributo | Tipo de atributo | Descrição |
|---|---|---|
source.ip |
string | Endereço IP do cliente que enviou a solicitação. |
source.port |
string | Porta do cliente que enviou a solicitação. |
destination.port |
string | Porta upstream para onde a instância do proxy seguro da Web envia o tráfego. |
source.matchTag(SECURE_TAG) |
booleano |
O argumento é o ID permanente da tag segura, como
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
booleano | True, se a fonte estiver associada a
SERVICE_ACCOUNT, como
source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
booleano | True, se IP_ADDRESS estiver contido em IP_RANGE, como inIpRange(source.ip, '1.2.3.0/24'). As máscaras de sub-rede para endereços IPv6 não podem ser maiores que /64.
|
Limitações
O Secure Web Proxy não oferece suporte à configuração de regras de proxy TCP para aplicativos do protocolo de datagramas do usuário (UDP). Como resultado, o proxy seguro da Web bloqueia o tráfego de aplicativos baseados em UDP.
Regras de correspondência de host
Ao configurar regras de saída para sua instância do proxy seguro da Web, defina as regras dependendo do host de destino das solicitações de saída. Considere também como a correspondência de host funciona com base no modo de implantação da instância do Secure Web Proxy.
Modo de proxy explícito
Para solicitações HTTP não criptografadas, use a regra
host() == "myownpersonaldomain.com"emSessionMatcher. O Secure Web Proxy valida essa regra no campohostdo cabeçalhoCONNECTda solicitação HTTP.Se você quiser ativar a inspeção TLS e definir regras com base no
Application Matcher, defina uma regraSessionMatcherque seja avaliada comoTRUE. Por exemplo, é possível usar a regrahost() == "myownpersonaldomain.com"noSessionMatchere adicionar a regrarequest.host() == "myownpersonaldomain.com"noApplicationMatcher.Primeiro, o Secure Web Proxy valida o
SessionMatcherno campohostdo cabeçalhoCONNECTda solicitação HTTP. E somente se a regraSessionMatcherfor válida, o Secure Web Proxy vai examinar as regrasApplicationMatcher.
Modo de próximo salto
Para solicitações HTTP não criptografadas, use a regra
host() == "myownpersonaldomain.com"emSessionMatcher. O Secure Web Proxy valida essa regra no campohostdo cabeçalho de solicitação HTTP padrão.No entanto, se a solicitação for criptografada com TLS, o Secure Web Proxy vai validar a mesma regra no cabeçalho Indicação do nome do servidor (SNI) na solicitação de saída.
Se você quiser ativar a inspeção TLS e definir regras com base no
ApplicationMatcher, defina uma regraSessionMatcherque seja avaliada comoTRUE. Por exemplo, é possível usar a regrahost() == "myownpersonaldomain.com"noSessionMatchere adicionar a regrarequest.host() == "myownpersonaldomain.com"noApplicationMatcher.O Proxy seguro da Web primeiro valida o
SessionMatcherno cabeçalho SNI na solicitação de saída. E somente se a regraSessionMatcherfor válida, o Secure Web Proxy vai examinar as regrasApplicationMatcher.