Limitaciones conocidas

En esta guía, se describen las limitaciones conocidas del Proxy web seguro.

Limitaciones de Cloud NAT

Cada instancia del Proxy web seguro requiere una puerta de enlace de Cloud NAT que esté habilitada solo para los extremos del Proxy web seguro en esa región. El primer proxies web seguro aprovisionado en una región de red de nube privada virtual (VPC) también aprovisiona una puerta de enlace de Cloud NAT. La puerta de enlace de Cloud NAT permite la salida para todas las instancias del Proxy web seguro en esa red virtual y región.

Limitaciones de red en las identidades

No se puede acceder a la información de identidad del cliente en ninguna VPC ni proyecto límites.

Solo se admite IPv4

El Proxy web seguro solo es compatible con IPv4. IPv6 no es compatible.

Las direcciones IP internas son regionales

El proxy web seguro asigna direcciones IP virtuales dentro de una región. Solo se puede acceder a las direcciones IP virtuales en la región a la que se asignan. Además, Las instancias del Proxy web seguro se aprovisionan en una región dentro de de VPC de Google Cloud. En consecuencia, las direcciones IPv4 deben asignarse dentro de una subred de la región en la que se encuentra la instancia del Proxy web seguro en el que te etiquetaron.

A continuación, se describe cómo el Proxy web seguro asigna direcciones IP:

  • Si se especifica una dirección IP no reservada durante el aprovisionamiento, esa IP una nueva dirección de correo electrónico.
  • Si no se especifica una dirección IP, pero sí se especifican una subred y una red se asigna una dirección IP automáticamente dentro del rango subred.
  • Si no se especifican una dirección IP, una subred ni una red, entonces se asigna automáticamente dentro de la subred predeterminada de la red predeterminada.

El aprovisionamiento de IP falla si no se cumple ninguno de los elementos anteriores.

Las direcciones IP que asigna el proxy web seguro son IP virtuales y se asignan a un grupo de proxies distribuidos en varias celdas dentro de una región. El Proxy web seguro actúa como un servidor proxy explícito, lo que requiere que los clientes tengan conectividad con la dirección IP virtual para pasar el tráfico HTTP(S) de salida. Los clientes que tienen conectividad a la dirección IP virtual pueden acceder al Proxy web seguro mediante los siguientes métodos:

  • Intercambio de tráfico entre redes de VPC
  • VPC compartida
  • De forma local con Cloud VPN o Cloud Interconnect

Tráfico TLS encriptado y HTTPS

Las políticas de seguridad redujeron el acceso a los atributos de solicitud de tráfico encriptados con TLS entre el cliente y el destino. Esta encriptación es distinta del TLS opcional entre el cliente y el proxy web seguro.

La información de origen y el host de destino están disponibles. Sin embargo, la ruta de acceso, el método HTTP y los encabezados no lo son. Por lo tanto, si usas los atributos request en una GatewaySecurityPolicyRule ApplicationMatcher implícitamente implica coincidencia en el tráfico HTTP, pero no en el tráfico HTTPS.

Versiones de HTTP compatibles

Se admiten las versiones HTTP 0.9, 1.0, 1.1 y 2.0. HTTP 3 no es compatible.

Proxy web seguro en VPC compartida

Solo puedes implementar el proxy web seguro en un proyecto host. No puedes implementar el proxy web seguro en un proyecto de servicio.