Cette page décrit les attributs sources et les attributs de destination pour les règles de proxy Web sécurisé. Cette page explique également le proxy basé sur les règles du protocole TCP (Transmission Control Protocol) et comment configurer les règles de proxy TCP pour votre application.
Les règles du proxy Web sécurisé reposent sur les deux paramètres suivants :
- Source du trafic : pour identifier la source du trafic, le proxy Web sécurisé utilise des attributs tels que les comptes de service, les tags sécurisés et les adresses IP.
- Destination autorisée : pour déterminer les destinations autorisées, le proxy Web sécurisé utilise un domaine de destination, un chemin d'URL complet (si l'inspection TLS est activée), des listes d'URL ou le port de destination.
Par défaut, le proxy Web sécurisé est configuré de manière à refuser tout trafic Web sortant (HTTP ou HTTPS) via le proxy, sauf si vous incluez une règle spécifique dans la stratégie de votre instance de proxy Web sécurisé.
Attributs de source pour les règles
Utilisez les attributs suivants pour permettre à votre instance de proxy Web sécurisé d'identifier la source du trafic :
- Comptes de service : utilisez des comptes de service pour identifier la source du trafic et configurer les règles Secure Web Proxy.
- Tags sécurisés : utilisez les tags Resource Manager pour contrôler l'accès à vos ressources Google Cloud .
- Adresses IP : attribuez les adresses IP de votre entreprise (ou les adresses IP statiques Google Cloud ) que Secure Web Proxy utilise pour le trafic sortant.
Identités compatibles
Vous pouvez utiliser des règles de sécurité basées sur l'identité source (comptes de service et tags sécurisés) pour sécuriser le trafic Web de plusieurs services Google Cloud . Le tableau suivant indique si différents services Google Cloud sont compatibles avec les règles de sécurité basées sur l'identité source.
| Google Cloud services | Assistance pour les comptes de service | Compatibilité avec les tags sécurisés |
|---|---|---|
| VM | ||
| Nœud GKE | ||
| Conteneur GKE | 1 | 1 |
| VPC direct pour Cloud Run | 1 | |
| Connecteur d'accès au VPC sans serveur | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect sur site | 1 | 1 |
| Équilibreur de charge d'application | ||
| Équilibreur de charge réseau |
2 L'adresse IP source est unique et peut être utilisée à la place.
Le tableau suivant indique si différentes architectures de cloud privé virtuel (VPC) sont compatibles avec l'utilisation de règles de sécurité basées sur l'identité source :
| VPC | Architecture du VPC | Assistance |
|---|---|---|
| Dans le VPC | Plusieurs projets (VPC partagé) | |
| Dans le VPC | Interrégional | |
| Cross-VPC | Lien d'appairage croisé (VPC de pair) | |
| Cross-VPC | Cross Private Service Connect | |
| Cross-VPC | Spokes Network Connectivity Center multiservices |
Attributs de destination pour les règles
Avec le proxy Web sécurisé, vous pouvez configurer des règles pour votre application en fonction des domaines de destination et des chemins d'URL complets (si l'inspection TLS est activée).
Utilisez les attributs suivants pour permettre à votre instance de proxy Web sécurisé de déterminer la destination du trafic autorisé :
- Port de destination : port en amont vers lequel votre instance de proxy Web sécurisé envoie le trafic.
Pour en savoir plus, consultez Attributs disponibles pour
SessionMatcheretApplicationMatcher. - Listes d'URL : utilisez des listes d'URL pour définir les URL auxquelles vos utilisateurs peuvent accéder. Pour en savoir plus, consultez Listes d'URL.
Pour le trafic de destination basé sur HTTP, vous pouvez utiliser l'attribut de destination host() pour votre application.
Pour le trafic de destination basé sur HTTPS, vous pouvez utiliser différents attributs liés à la destination request.* (tels que request.method) pour votre application.
Pour en savoir plus sur les attributs de destination que vous pouvez utiliser pour le trafic HTTP et HTTPS, consultez Attributs.
Règles de proxy TCP
Avec votre instance de proxy Web sécurisé, vous pouvez configurer des règles de proxy pour le trafic TCP (protocole TCP), y compris le trafic qui n'est pas associé aux protocoles Web. Par exemple, vous pouvez choisir d'autoriser ou de bloquer le trafic des sites Web ou des applications qui envoient du trafic à partir de ports autres que 80 (HTTP) ou 443 (HTTPS).
Si votre charge de travail (telle que vos applications et services) utilise Secure Web Proxy comme prochain saut, il est avantageux d'appliquer des règles de proxy TCP. En effet, l'utilisation d'un processus de redirection basé sur les routes redirige le trafic non HTTP(S) et non Web vers votre instance Secure Web Proxy. Vous pouvez ainsi empêcher le trafic malveillant d'atteindre votre application et contrôler les applications ou sites Web qui peuvent accéder à votre réseau.
Configurer des règles de proxy TCP pour votre application
Pour implémenter des règles de proxy TCP et créer une règle d'autorisation ou de blocage du trafic pour votre application, vous devez spécifier le port de destination. Vous pouvez également inclure l'un des attributs SessionMatcher suivants pour affiner les critères de la règle d'autorisation ou de blocage.
| Attribut | Type d'attribut | Description |
|---|---|---|
source.ip |
chaîne | Adresse IP du client qui a envoyé la requête. |
source.port |
chaîne | Port client ayant envoyé la requête. |
destination.port |
chaîne | Port en amont vers lequel votre instance de proxy Web sécurisé envoie le trafic. |
source.matchTag(SECURE_TAG) |
booléen |
L'argument est l'ID permanent du tag sécurisé, tel que |
source.matchServiceAccount(SERVICE_ACCOUNT) |
booléen | True, si la source est associée à SERVICE_ACCOUNT, par exemple source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
booléen | True, si IP_ADDRESS est contenu dans IP_RANGE, par exemple inIpRange(source.ip, '1.2.3.0/24'). Les masques de sous-réseau des adresses IPv6 ne peuvent pas excéder /64.
|
Limites
Secure Web Proxy ne permet pas de configurer des règles de proxy TCP pour les applications User Datagram Protocol (UDP). Par conséquent, le proxy Web sécurisé bloque le trafic des applications basées sur UDP.
Règles de mise en correspondance des hôtes
Lorsque vous configurez des règles de sortie pour votre instance de proxy Web sécurisé, veillez à les définir en fonction de l'hôte de destination des requêtes sortantes. Vous devez également tenir compte du fonctionnement de la correspondance d'hôte en fonction du mode de déploiement de votre instance Secure Web Proxy.
Mode proxy explicite
Pour les requêtes HTTP non chiffrées, vous pouvez utiliser la règle
host() == "myownpersonaldomain.com"dansSessionMatcher. Secure Web Proxy valide cette règle par rapport au champhostdans l'en-têteCONNECTde la requête HTTP.Si vous souhaitez activer l'inspection TLS et définir des règles basées sur
Application Matcher, vous devez définir une règleSessionMatcherqui renvoieTRUE. Par exemple, vous pouvez utiliser la règlehost() == "myownpersonaldomain.com"dansSessionMatcher, puis ajouter la règlerequest.host() == "myownpersonaldomain.com"dansApplicationMatcher.Secure Web Proxy valide d'abord le
SessionMatcherpar rapport au champhostdans l'en-têteCONNECTde la requête HTTP. Le proxy Web sécurisé n'examine les règlesApplicationMatcherque si la règleSessionMatcherest valide.
Mode du saut suivant
Pour les requêtes HTTP non chiffrées, vous pouvez utiliser la règle
host() == "myownpersonaldomain.com"dansSessionMatcher. Secure Web Proxy valide cette règle par rapport au champhostdans l'en-tête de requête HTTP standard.Toutefois, si la requête est chiffrée en TLS, le proxy Web sécurisé valide la même règle par rapport à l'en-tête Server Name Indication (SNI) dans la requête sortante.
Si vous souhaitez activer l'inspection TLS et définir des règles basées sur
ApplicationMatcher, vous devez définir une règleSessionMatcherqui renvoieTRUE. Par exemple, vous pouvez utiliser la règlehost() == "myownpersonaldomain.com"dansSessionMatcher, puis ajouter la règlerequest.host() == "myownpersonaldomain.com"dansApplicationMatcher.Le proxy Web sécurisé valide d'abord
SessionMatcherpar rapport à l'en-tête SNI dans la requête sortante. De plus, le proxy Web sécurisé n'examine les règlesApplicationMatcherque si la règleSessionMatcherest valide.