Esta página descreve os atributos de origem e de destino para políticas de Proxy seguro da Web. Além disso, esta página explica o proxy baseado em regras do Transmission Control Protocol (TCP) e como configurar regras de proxy TCP para seu aplicativo.
As políticas do proxy da Web seguro são baseadas nestes dois parâmetros:
- Origem do tráfego: para identificar a origem do tráfego, o Proxy seguro da Web usa atributos como contas de serviço, tags seguras e endereços IP.
- Destino permitido: para determinar os destinos permitidos, o Secure Web Proxy usa um domínio de destino, um caminho de URL completo (se a inspeção TLS estiver ativada), listas de URLs ou a porta de destino.
Por padrão, o Secure Web Proxy é configurado de modo a negar qualquer tráfego da Web de saída (HTTP ou HTTPS) pelo proxy, a menos que você inclua uma regra específica na política da sua instância do Secure Web Proxy.
Atributos de origem para políticas
Use os atributos a seguir para permitir que a instância do Secure Web Proxy identifique a fonte do tráfego:
- Contas de serviço: use contas de serviço para identificar a origem do tráfego e configurar políticas de proxy seguro da Web.
- Tags seguras: use tags do Resource Manager para controlar o acesso aos seus Google Cloud recursos.
- Endereços IP: atribua os endereços IP da empresa (ou endereços IP Google Cloud estáticos) que o Secure Web Proxy usa para o tráfego de saída.
Identidades compatíveis
É possível usar políticas de segurança com base na identidade de origem (contas de serviço e tags seguras) para proteger o tráfego da Web em vários Google Cloud serviços. A tabela a seguir mostra se vários serviços Google Cloud são compatíveis com o uso de políticas de segurança baseadas na identidade de origem.
| serviços deGoogle Cloud | Suporte para contas de serviço | Suporte a tags seguras |
|---|---|---|
| VM | ||
| Nó do GKE | ||
| Contêiner do GKE | 1 | 1 |
| VPC direta para o Cloud Run | 1 | |
| Conector de acesso VPC sem servidor | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect no local | 1 | 1 |
| Balanceador de carga de aplicativo | ||
| Balanceador de carga de rede |
2 O endereço IP de origem é exclusivo e pode ser usado.
A tabela a seguir mostra se várias arquiteturas de nuvem privada virtual (VPC) são compatíveis com políticas de segurança baseadas na identidade de origem:
| VPC | Arquitetura da VPC | Suporte |
|---|---|---|
| Na VPC | Entre projetos (VPC compartilhada) | |
| Na VPC | Entre regiões | |
| VPC cruzada | Vínculo de peering cruzado (VPC com peering) | |
| VPC cruzada | Cross Private Service Connect | |
| VPC cruzada | Spokes da Central de conectividade de rede |
Atributos de destino para políticas
Com o Secure Web Proxy, é possível configurar políticas para seu aplicativo com base nos domínios de destino e nos caminhos de URL completos (se a inspeção TLS estiver ativada).
Use os atributos a seguir para permitir que a instância do proxy seguro da Web determine o destino do tráfego permitido:
- Porta de destino: porta upstream para a qual a instância do Secure Web Proxy envia tráfego.
Para mais informações, consulte Atributos disponíveis para
SessionMatchereApplicationMatcher. - Listas de URLs: use listas de URLs para definir os URLs que os usuários podem acessar. Para mais informações, consulte Listas de URLs.
Para o tráfego de destino baseado em HTTP, use o atributo de destino host()
no seu aplicativo.
E para o tráfego de destino baseado em HTTPS, é possível usar vários atributos relacionados a request.* (como request.method) para seu aplicativo.
Para mais informações sobre os atributos de destino que podem ser usados para tráfego HTTP e HTTPS, consulte Atributos.
Regras de proxy TCP
Com a instância do Secure Web Proxy, é possível configurar regras de proxy para
tráfego do protocolo TCP (TCP), incluindo o tráfego não
associado a protocolos da Web. Por exemplo, você pode permitir ou
bloquear o tráfego de sites ou aplicativos que enviam tráfego de qualquer porta
diferente de 80 (HTTP) ou 443 (HTTPS).
Se a carga de trabalho (como aplicativos e serviços) usar o Secure Web Proxy como próximo salto, a aplicação de regras de proxy TCP será benéfica. Isso ocorre porque o uso de um processo de redirecionamento baseado em rota direciona o tráfego não HTTP(S) e não da Web para sua instância do Secure Web Proxy. Assim, você pode impedir que o tráfego malicioso acesse seu aplicativo e controlar quais aplicativos ou sites podem acessar sua rede.
Configurar regras de proxy TCP para seu aplicativo
Para implementar regras de proxy TCP e criar uma regra de permissão ou bloqueio de tráfego para seu
aplicativo, especifique a porta de destino. Opcionalmente, é possível incluir
qualquer um dos seguintes atributos SessionMatcher para refinar os critérios da
regra de permissão ou bloqueio.
| Atributo | Tipo de atributo | Descrição |
|---|---|---|
source.ip |
string | Endereço IP do cliente que enviou a solicitação. |
source.port |
string | Porta do cliente que enviou a solicitação. |
destination.port |
string | Porta upstream para a qual a instância do Secure Web Proxy envia o tráfego. |
source.matchTag(SECURE_TAG) |
booleano |
O argumento é o ID permanente da tag segura, como |
source.matchServiceAccount(SERVICE_ACCOUNT) |
booleano | True, se a origem estiver associada a SERVICE_ACCOUNT, como source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
booleano | True, se IP_ADDRESS estiver
contido no IP_RANGE, como
inIpRange(source.ip, '1.2.3.0/24'). As máscaras de sub-rede
para endereços IPv6 não podem ser maiores que /64.
|
Limitações
O proxy da Web seguro não oferece suporte à capacidade de configurar regras de proxy TCP para aplicativos do protocolo de datagramas do usuário (UDP). Como resultado, o proxy seguro da Web bloqueia o tráfego de aplicativos baseados em UDP.
Regras de correspondência de host
Ao configurar regras de saída para a instância do proxy seguro da Web, defina as regras de acordo com o host de destino das solicitações de saída. Você também precisa considerar como a correspondência de host funciona com base no modo de implantação da instância do Secure Web Proxy.
Modo de proxy explícito
Para solicitações HTTP não criptografadas, use a regra
host() == "myownpersonaldomain.com"noSessionMatcher. O proxy da Web seguro valida essa regra em relação ao campohostno cabeçalhoCONNECTda solicitação HTTP.Se você quiser ativar a inspeção TLS e definir regras com base no
Application Matcher, defina uma regraSessionMatcherque seja avaliada comoTRUE. Por exemplo, é possível usar a regrahost() == "myownpersonaldomain.com"naSessionMatchere adicionar a regrarequest.host() == "myownpersonaldomain.com"naApplicationMatcher.O Secure Web Proxy primeiro valida o
SessionMatcherem relação ao campohostno cabeçalhoCONNECTda solicitação HTTP. E somente se a regraSessionMatcherfor válida, o Secure Web Proxy examinará asApplicationMatcher.
Modo de próximo salto
Para solicitações HTTP não criptografadas, use a regra
host() == "myownpersonaldomain.com"noSessionMatcher. O proxy da Web seguro valida essa regra em relação ao campohostno cabeçalho de solicitação HTTP padrão.No entanto, se a solicitação for criptografada pelo TLS, o proxy da Web seguro vai validar a mesma regra com o cabeçalho Indicação do nome do servidor (SNI) na solicitação de saída.
Se você quiser ativar a inspeção TLS e definir regras com base no
ApplicationMatcher, defina uma regraSessionMatcherque seja avaliada comoTRUE. Por exemplo, é possível usar a regrahost() == "myownpersonaldomain.com"naSessionMatchere adicionar a regrarequest.host() == "myownpersonaldomain.com"naApplicationMatcher.O Proxy seguro da Web primeiro valida o
SessionMatcherem relação ao cabeçalho SNI na solicitação de saída. E somente se a regraSessionMatcherfor válida, o Secure Web Proxy vai examinar as regrasApplicationMatcher.