O Secure Web Proxy é um serviço que prioriza a nuvem e ajuda a proteger o tráfego da Web de saída (HTTP/S). Você configura seus clientes para usar explicitamente o Secure Web Proxy como gateway. As solicitações da Web podem se originar das seguintes fontes:
- Instâncias de máquina virtual (VM)
- Contêineres
- Ambiente sem servidor que usa um conector sem servidor
- Cargas de trabalho fora do Google Cloud conectadas pelo Cloud VPN ou Cloud Interconnect
O Secure Web Proxy permite políticas flexíveis e granulares com base identidades com foco na nuvem e aplicativos da Web.
Modos de distribuição
É possível implantar o Secure Web Proxy das seguintes maneiras:
Modo de roteamento de proxy explícito
É possível configurar ambientes de carga de trabalho e clientes para usar explicitamente o servidor proxy. O Secure Web Proxy isola os clientes da Internet criando novas conexões TCP em nome do cliente, aderindo à política política de segurança da nuvem.
Para instruções detalhadas, consulte Implante uma instância do Secure Web Proxy.
Modo de anexo do serviço Private Service Connect
Para centralizar a implantação do Secure Web Proxy quando houver vários use o Network Connectivity Center. No entanto, há algumas limitações ao tentar aumentar a escala com o Network Connectivity Center. Adicionar o proxy seguro da Web como um anexo de serviço do Private Service Connect supera essas limitações. Para implantar o Secure Web Proxy, faça o seguinte:
- Adicione o Secure Web Proxy como um anexo de serviço do Private Service Connect no lado do produtor de uma conexão do Private Service Connect.
- Crie um endpoint de consumidor do Private Service Connect em cada rede VPC que precisa ser conectado ao anexo de serviço do Private Service Connect.
- Direcionar o tráfego de saída da carga de trabalho para o Secure Web Proxy centralizado na região e aplicar políticas a esse tráfego.
A implantação funciona no modo hub e spoke, em que o O Secure Web Proxy está no caminho de saída para cargas de trabalho nos vários redes VPC conectadas.
Para instruções detalhadas, consulte Implantar o Secure Web Proxy como um anexo de serviço.
Secure Web Proxy como próximo salto
É possível configurar a implantação do Secure Web Proxy para atuar como próximo salto para e roteamento em sua rede. Como configurar o roteamento do próximo salto para apontar as origens de tráfego à sua instância do Secure Web Proxy reduz a sobrecarga administrativa de configurando uma variável de proxy explícita para cada carga de trabalho de origem. Para mais informações sobre como configurar o roteamento do próximo salto, consulte Implantar o Secure Web Proxy como próximo salto.
Soluções compatíveis com o Secure Web Proxy
O Secure Web Proxy oferece suporte às soluções a seguir.
Migração para o Google Cloud
O proxy seguro da Web ajuda você a migrar para o Google Cloud enquanto mantém suas políticas e requisitos de segurança atuais para o tráfego de saída da Web. Você pode evitar o uso de soluções de terceiros que exijam outro console de gerenciamento. ou editar manualmente os arquivos de configuração.
Acesso a serviços da Web externos confiáveis
O Secure Web Proxy permite aplicar políticas de acesso granular à sua Web de saída para proteger a rede. Você cria e identifica cargas de trabalho identidades de aplicativos e, em seguida, aplicar políticas a locais da Web.
Acesso monitorado a serviços da Web não confiáveis
É possível usar o Secure Web Proxy para fornecer acesso monitorado a sites não confiáveis serviços. O Secure Web Proxy identifica o tráfego que não está em conformidade com a política e os registra no Cloud Logging (Logging). Você pode monitorar uso da Internet, descobrir ameaças à sua rede e responder a ameaças.
Benefícios do Secure Web Proxy
O Secure Web Proxy oferece os seguintes benefícios.
Economia de tempo operacional
O Secure Web Proxy não tem VMs para configurar e não exige atualizações de software para manter a segurança e oferece escalonamento elástico. Após a inicial configuração da política, uma instância regional do Secure Web Proxy funciona sem caixa O Secure Web Proxy oferece ferramentas para simplificar a configuração, o teste e implantação para que você possa se concentrar em outras tarefas.
Implantação flexível
O Secure Web Proxy dá suporte a implantações básicas e flexíveis. Instâncias, políticas e listas de URLs do proxy da Web seguro são objetos modulares que podem ser criados ou reutilizados por administradores distintos. Por exemplo, é possível implantar várias instâncias do Secure Web Proxy que usem a mesma política do Secure Web Proxy.
Segurança avançada
Por padrão, as políticas e configurações do Proxy seguro da Web bloqueiam tudo. Além disso, o Google Cloud atualiza automaticamente o software e a infraestrutura do Secure Web Proxy, reduzindo os riscos de vulnerabilidades de segurança.
Recursos compatíveis
O Secure Web Proxy oferece suporte aos seguintes recursos:
Escalonamento automático de proxies Envoy do Secure Web Proxy: suporte automático ajustando o tamanho do pool de proxy Envoy e a capacidade do pool em uma região; o que permite um desempenho consistente em períodos de grande demanda no menor custo.
Políticas de acesso de saída modular:o Secure Web Proxy é compatível especificamente com as seguintes políticas de saída:
- Identidade de origem baseada em tags seguras, contas de serviço ou endereços IP.
- Destinos com base em URLs e nomes de host.
- Solicitações com base em métodos, cabeçalhos ou URLs. Os URLs podem ser especificados usando listas, caracteres curinga ou padrões.
Criptografia de ponta a ponta:os túneis proxy de cliente podem transitar por TLS. O Secure Web Proxy também oferece suporte a HTTP/S
CONNECT
para processos iniciados pelo cliente, conexões TLS de ponta a ponta com o servidor de destino.Integração do Cloud Audit Logs e do Google Cloud Observability: o Cloud Audit Logs e o Google Cloud Observability registram atividades administrativas e solicitações de acesso para recursos relacionados ao Secure Web Proxy. Eles também registram métricas e registros de transações para solicitações processadas pelo proxy.
Outras ferramentas do Google Cloud a considerar
O Google Cloud oferece as seguintes ferramentas para os ambientes implantações:
Use o Google Cloud Armor para proteger implantações do Google Cloud contra várias ameaças, incluindo ataques distribuídos de negação de serviço (DDoS) e ataques de aplicativos, como scripting em vários locais (XSS) e injeção de SQL (SQLi).
Especifique regras de firewall da VPC para proteger as conexões de ou para as instâncias de VM.
Implementar o VPC Service Controls para evitar a exfiltração de dados dos serviços do Google Cloud, como Cloud Storage e BigQuery.
Usar o Cloud NAT para ativar a Internet de saída desprotegida conectividade para determinados recursos do Google Cloud sem um IP externo endereço IP.