Questa pagina descrive gli attributi di origine e gli attributi di destinazione per i criteri Secure Web Proxy. Inoltre, questa pagina spiega il proxy basato su regole Transmission Control Protocol (TCP) e come configurare le regole proxy TCP per la tua applicazione.
Le norme di Secure Web Proxy si basano sui seguenti due parametri:
- Origine del traffico: per identificare l'origine del traffico, Secure Web Proxy utilizza attributi come account di servizio, tag sicuri e indirizzi IP.
- Destinazione consentita: per determinare le destinazioni consentite, Secure Web Proxy utilizza un dominio di destinazione, un percorso URL completo (se l'ispezione TLS è attivata), elenchi di URL, o la porta di destinazione.
Per impostazione predefinita, Secure Web Proxy è configurato in modo da negare qualsiasi traffico web in uscita (HTTP o HTTPS) tramite il proxy, a meno che non includi una regola specifica nel criterio dell'istanza di Secure Web Proxy.
Attributi di origine per le norme
Utilizza i seguenti attributi per consentire all'istanza di Secure Web Proxy di identificare l'origine del traffico:
- Service account: utilizza i service account per identificare l'origine del traffico e configurare i criteri Secure Web Proxy.
- Tag sicuri: utilizza i tag di Resource Manager per controllare l'accesso alle tue Google Cloud risorse.
- Indirizzi IP: assegna gli indirizzi IP della tua azienda (o indirizzi IP statici Google Cloud ) che Secure Web Proxy utilizza per il traffico in uscita.
Identità supportate
Puoi utilizzare le policy di sicurezza basate sull'identità di origine (service account e tag sicuri) per proteggere il traffico web per diversi servizi Google Cloud . La tabella seguente mostra se vari servizi Google Cloud sono supportati quando vengono utilizzati criteri di sicurezza basati sull'identità di origine.
| Google Cloud servizi | Assistenza per i service account | Supporto dei tag protetti |
|---|---|---|
| VM | ||
| Nodo GKE | ||
| Container GKE | 1 | 1 |
| VPC diretta per Cloud Run | 1 | |
| Connettore di accesso VPC serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect on-premise | 1 | 1 |
| Bilanciatore del carico delle applicazioni | ||
| Bilanciatore del carico di rete |
2 L'indirizzo IP di origine è univoco e può essere utilizzato al suo posto.
La tabella seguente mostra se varie architetture Virtual Private Cloud (VPC) sono supportate quando utilizzi criteri di sicurezza basati sull'identità di origine:
| VPC | Architettura VPC | Assistenza |
|---|---|---|
| All'interno di VPC | Tra progetti (VPC condiviso) | |
| All'interno di VPC | Interregionale | |
| Cross VPC | Link di peering incrociato (VPC peer) | |
| Cross VPC | Private Service Connect cross-project | |
| Cross VPC | Spoke di Network Connectivity Center cross-network |
Attributi di destinazione per le policy
Con Secure Web Proxy, puoi configurare policy per la tua applicazione in base ai domini di destinazione e ai percorsi URL completi (se l'ispezione TLS è abilitata).
Utilizza i seguenti attributi per consentire all'istanza Secure Web Proxy di determinare la destinazione del traffico consentito:
- Porta di destinazione: porta upstream a cui l'istanza di Secure Web Proxy invia il traffico.
Per ulteriori informazioni, consulta Attributi disponibili per
SessionMatchereApplicationMatcher. - Elenchi di URL: utilizza gli elenchi di URL per definire gli URL a cui gli utenti possono accedere. Per ulteriori informazioni, consulta la sezione Elenchi di URL.
Per il traffico di destinazione basato su HTTP, puoi utilizzare l'attributo host()
per la tua applicazione.
Per il traffico di destinazione basato su HTTPS, puoi utilizzare vari attributi correlati alla destinazione (ad esempio request.method) per la tua applicazione.request.*
Per saperne di più sugli attributi di destinazione che puoi utilizzare per il traffico HTTP e HTTPS, consulta Attributi.
Regole del proxy TCP
Con l'istanza Secure Web Proxy, puoi configurare regole proxy per il traffico TCP (Transmission Control Protocol), incluso il traffico non associato a protocolli web. Ad esempio, puoi scegliere di consentire o bloccare il traffico di siti web o applicazioni che inviano traffico da porte diverse da 80 (HTTP) o 443 (HTTPS).
Se il tuo carico di lavoro (ad esempio le tue applicazioni e i tuoi servizi) utilizza Secure Web Proxy come hop successivo, l'applicazione delle regole proxy TCP è vantaggiosa. Questo perché l'utilizzo di un processo di reindirizzamento basato su route indirizza il traffico non HTTP(S) e non web all'istanza di Secure Web Proxy. In questo modo, puoi bloccare il traffico dannoso prima che raggiunga la tua applicazione e controllare quali applicazioni o siti web possono accedere alla tua rete.
Configura le regole del proxy TCP per la tua applicazione
Per implementare le regole del proxy TCP e creare una regola di autorizzazione o blocco del traffico per la tua
applicazione, devi specificare la porta di destinazione. Se vuoi, puoi includere
uno qualsiasi dei seguenti attributi SessionMatcher per perfezionare i criteri della
regola di autorizzazione o blocco.
| Attributo | Tipo di attributo | Descrizione |
|---|---|---|
source.ip |
string | L'indirizzo IP del client che ha inviato la richiesta. |
source.port |
string | Porta client che ha inviato la richiesta. |
destination.port |
string | Porta upstream a cui l'istanza di Secure Web Proxy invia il traffico. |
source.matchTag(SECURE_TAG) |
boolean |
L'argomento è l'ID permanente del tag sicuro, ad esempio
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
boolean | True, se la fonte è associata a
SERVICE_ACCOUNT, ad esempio
source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
boolean | True, se IP_ADDRESS è
contenuto in IP_RANGE, ad esempio
inIpRange(source.ip, '1.2.3.0/24'). Le subnet mask
per gli indirizzi IPv6 non possono superare /64.
|
Limitazioni
Secure Web Proxy non supporta la possibilità di configurare regole proxy TCP per le applicazioni User Datagram Protocol (UDP). Di conseguenza, Secure Web Proxy blocca il traffico delle applicazioni basate su UDP.
Regole di corrispondenza host
Quando configuri le regole di uscita per l'istanza di Secure Web Proxy, assicurati di definire le regole in base all'host di destinazione delle richieste in uscita. Devi anche considerare come funziona la corrispondenza degli host in base alla modalità di deployment della tua istanza di Secure Web Proxy.
Modalità proxy esplicito
Per le richieste HTTP non criptate, puoi utilizzare la regola
host() == "myownpersonaldomain.com"inSessionMatcher. Secure Web Proxy convalida questa regola rispetto al campohostnell'intestazioneCONNECTdella richiesta HTTP.Se vuoi abilitare l'ispezione TLS e impostare regole basate su
Application Matcher, devi impostare una regolaSessionMatcherche restituiscaTRUE. Ad esempio, puoi utilizzare la regolahost() == "myownpersonaldomain.com"inSessionMatchere poi aggiungere la regolarequest.host() == "myownpersonaldomain.com"inApplicationMatcher.Secure Web Proxy convalida innanzitutto
SessionMatcherrispetto al campohostnell'intestazioneCONNECTdella richiesta HTTP. Solo se la regolaSessionMatcherè valida, Secure Web Proxy esamina le regoleApplicationMatcher.
Modalità hop successivo
Per le richieste HTTP non criptate, puoi utilizzare la regola
host() == "myownpersonaldomain.com"inSessionMatcher. Secure Web Proxy convalida questa regola rispetto al campohostnell'intestazione della richiesta HTTP standard.Tuttavia, se la richiesta è criptata con TLS, Secure Web Proxy convalida la stessa regola rispetto all'intestazione Server Name Indication (SNI) nella richiesta in uscita.
Se vuoi abilitare l'ispezione TLS e impostare regole in base a
ApplicationMatcher, devi impostare una regolaSessionMatcherche restituiscaTRUE. Ad esempio, puoi utilizzare la regolahost() == "myownpersonaldomain.com"inSessionMatchere poi aggiungere la regolarequest.host() == "myownpersonaldomain.com"inApplicationMatcher.Secure Web Proxy convalida innanzitutto
SessionMatcherrispetto all'intestazione SNI nella richiesta in uscita. e solo se la regolaSessionMatcherè valida, Secure Web Proxy esamina le regoleApplicationMatcher.