Questa pagina descrive gli attributi di origine e gli attributi di destinazione per i criteri del proxy web sicuro. Inoltre, questa pagina spiega il proxy basato su regole Transmission Control Protocol (TCP) e come configurare le regole del proxy TCP per la tua applicazione.
I criteri di Secure Web Proxy si basano sui seguenti due parametri:
- Origine traffico: per identificare l'origine del traffico, Secure Web Proxy utilizza attributi come account di servizio, tag sicuri e indirizzi IP.
- Destinazione consentita: per determinare le destinazioni consentite, Secure Web Proxy utilizza un dominio di destinazione, un percorso URL completo (se l'ispezione TLS è abilitata), elenchi di URL o la porta di destinazione.
Per impostazione predefinita, il proxy web sicuro è impostato in modo da negare qualsiasi traffico web in uscita (HTTP o HTTPS) tramite il proxy, a meno che non includa una regola specifica nel criterio dell'istanza del proxy web sicuro.
Attributi delle origini per le norme
Utilizza i seguenti attributi per consentire all'istanza di Secure Web Proxy di identificare la fonte del traffico:
- Account di servizio: utilizza gli account di servizio per identificare l'origine del traffico e configurare i criteri del proxy web sicuro.
- Tag sicuri: utilizza i tag Resource Manager per controllare l'accesso alle tue risorse Google Cloud .
- Indirizzi IP: assegna gli indirizzi IP della tua azienda (o indirizzi IP Google Cloud statici) che Secure Web Proxy utilizza per il traffico in uscita.
Identità supportate
Puoi utilizzare i criteri di sicurezza basati sull'identità di origine (service account e tag sicuri) per proteggere il traffico web per diversi Google Cloud servizi. La tabella seguente indica se vari Google Cloud servizi sono supportati quando si utilizzano i criteri di sicurezza basati sull'identità dell'origine.
| Google Cloud servizi | Assistenza per gli account di servizio | Supporto dei tag protetti |
|---|---|---|
| VM | ||
| Nodo GKE | ||
| Container GKE | 1 | 1 |
| VPC diretta per Cloud Run | 1 | |
| Connettore di accesso VPC serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect on premises | 1 | 1 |
| Bilanciatore del carico delle applicazioni | ||
| Bilanciatore del carico di rete |
2 L'indirizzo IP di origine è univoco e può essere utilizzato al suo posto.
La tabella seguente indica se varie architetture Virtual Private Cloud (VPC) sono supportate quando si utilizzano criteri di sicurezza basati sull'identità di origine:
| VPC | Architettura VPC | Assistenza |
|---|---|---|
| All'interno della VPC | Tra progetti (VPC condiviso) | |
| All'interno della VPC | Interregionale | |
| VPC incrociato | Link di peering tra reti (VPC peer) | |
| VPC incrociato | Private Service Connect tra organizzazioni | |
| VPC incrociato | Passare da uno spoke all'altro di Network Connectivity Center |
Attributi di destinazione per i criteri
Con Secure Web Proxy, puoi configurare i criteri per la tua applicazione in base ai domini di destinazione e ai percorsi URL completi (se è attiva l'ispezione TLS).
Utilizza i seguenti attributi per consentire all'istanza di Secure Web Proxy di determinare la destinazione del traffico consentito:
- Porta di destinazione: porta a monte a cui l'istanza di Secure Web Proxy invia il traffico.
Per ulteriori informazioni, consulta Attributi disponibili per
SessionMatchereApplicationMatcher. - Elenchi di URL: utilizza gli elenchi di URL per definire gli URL a cui possono accedere gli utenti. Per ulteriori informazioni, consulta la sezione Elenchi di URL.
Per il traffico di destinazione basato su HTTP, puoi utilizzare l'attributo destinazione host() per la tua applicazione.
Inoltre, per il traffico di destinazione basato su HTTPS, puoi utilizzare vari request.*
attributi relativi alla destinazione (ad esempio request.method) per la tua applicazione.
Per ulteriori informazioni sugli attributi di destinazione che puoi utilizzare per il traffico HTTP e HTTPS, consulta Attributi.
Regole del proxy TCP
Con l'istanza Secure Web Proxy, puoi configurare regole del proxy per il traffico TCP (Transmission Control Protocol), incluso il traffico non associato ai protocolli web. Ad esempio, puoi scegliere di consentire o bloccare il traffico di siti web o applicazioni che inviano traffico da qualsiasi porta diversa da 80 (HTTP) o 443 (HTTPS).
Se il tuo carico di lavoro (ad esempio le applicazioni e i servizi) utilizza Secure Web Proxy come hop successivo, l'applicazione di regole proxy TCP è utile. Questo accade perché l'utilizzo di una procedura di reindirizzamento basata su route indirizza il traffico non HTTP(S) e non web all'istanza di Secure Web Proxy. In questo modo, puoi bloccare il traffico dannoso che raggiunge la tua applicazione e controllare quali applicazioni o siti web possono accedere alla tua rete.
Configura le regole del proxy TCP per la tua applicazione
Per implementare le regole del proxy TCP e creare una regola di traffico che consenta o blocchi il traffico per la tua applicazione, devi specificare la porta di destinazione. Se vuoi, puoi includere uno dei seguenti attributi SessionMatcher per perfezionare i criteri della regola di autorizzazione o blocco.
| Attributo | Tipo di attributo | Descrizione |
|---|---|---|
source.ip |
string | Indirizzo IP del client che ha inviato la richiesta. |
source.port |
string | Porta del client che ha inviato la richiesta. |
destination.port |
string | Porta a monte a cui l'istanza di Secure Web Proxy invia il traffico. |
source.matchTag(SECURE_TAG) |
boolean |
L'argomento è l'ID permanente del tag sicuro, ad esempio
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
boolean | True, se l'origine è associata a
SERVICE_ACCOUNT, ad esempio
source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
boolean | True, se IP_ADDRESS è
contenuto in IP_RANGE, ad esempio
inIpRange(source.ip, '1.2.3.0/24'). Le subnet mask per gli indirizzi IPv6 non possono essere maggiori di /64.
|
Limitazioni
Il proxy web sicuro non supporta la possibilità di configurare regole del proxy TCP per le applicazioni User Datagram Protocol (UDP). Di conseguenza, Secure Web Proxy blocca il traffico delle applicazioni basate su UDP.
Regole di corrispondenza dell'host
Quando configuri le regole in uscita per l'istanza di Secure Web Proxy, assicurati di definire le regole in base all'host di destinazione delle richieste in uscita. Devi anche considerare come funziona la corrispondenza degli host in base alla modalità di deployment della tua istanza Secure Web Proxy.
Modalità proxy esplicita
Per le richieste HTTP non criptate, puoi utilizzare la regola
host() == "myownpersonaldomain.com"inSessionMatcher. Il proxy web sicuro convalida questa regola in base al campohostnell'intestazioneCONNECTdella richiesta HTTP.Se vuoi abilitare l'ispezione TLS e impostare regole in base a
Application Matcher, devi impostare una regolaSessionMatcherche abbia un valoreTRUE. Ad esempio, puoi utilizzare la regolahost() == "myownpersonaldomain.com"inSessionMatchere poi aggiungere la regolarequest.host() == "myownpersonaldomain.com"inApplicationMatcher.Il proxy web sicuro convalida innanzitutto il valore
SessionMatcherin base al campohostnell'intestazioneCONNECTdella richiesta HTTP. Solo se la regolaSessionMatcherè valida, Secure Web Proxy esamina le regoleApplicationMatcher.
Modalità hop successivo
Per le richieste HTTP non criptate, puoi utilizzare la regola
host() == "myownpersonaldomain.com"inSessionMatcher. Il proxy web sicuro convalida questa regola in base al campohostnell'intestazione della richiesta HTTP standard.Tuttavia, se la richiesta è criptata con TLS, Secure Web Proxy convalida la stessa regola in base all'intestazione Server Name Indication (SNI) nella richiesta in uscita.
Se vuoi abilitare l'ispezione TLS e impostare regole in base a
ApplicationMatcher, devi impostare una regolaSessionMatcherche abbia un valore valutato pari aTRUE. Ad esempio, puoi utilizzare la regolahost() == "myownpersonaldomain.com"inSessionMatchere poi aggiungere la regolarequest.host() == "myownpersonaldomain.com"inApplicationMatcher.Secure Web Proxy convalida prima
SessionMatcherrispetto all'intestazione SNI nella richiesta in uscita. E solo se la regolaSessionMatcherè valida, Secure Web Proxy esamina le regoleApplicationMatcher.