Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica di Secure Web Proxy

Secure Web Proxy ti aiuta a proteggere tutto il traffico web in uscita (HTTP e HTTPS) dalla rete interna della tua organizzazione. Quando configuri i client in modo che utilizzino esplicitamente Secure Web Proxy come gateway, Secure Web Proxy è un checkpoint di sicurezza obbligatorio per qualsiasi applicazione o servizio che tenti di accedere a un sito web al di fuori della tua organizzazione.

Vantaggi

Secure Web Proxy offre i seguenti vantaggi principali:

Manutenzione zero. Dopo aver impostato le policy, Secure Web Proxy gestisce i server, le patch e lo scaling per regolare automaticamente la capacità man mano che il traffico aumenta.
Regole flessibili e riutilizzabili. Con Secure Web Proxy, le policy di sicurezza sono separate dal proxy stesso. Per garantire una gestione coerente, gli amministratori creano un insieme di regole di accesso e le applicano a più proxy in diverse parti dell'organizzazione.
Sicurezza predefinita avanzata. Secure Web Proxy ha un'impostazione predefinita deny-all che blocca tutto il traffico in uscita finché non lo consenti esplicitamente. Google Cloud gestisce automaticamente tutti gli aggiornamenti di software e infrastrutture, il che riduce al minimo il rischio continuo di vulnerabilità della sicurezza.
Controllo dell'accesso basato sull'identità. Poiché Secure Web Proxy controlla da dove proviene una richiesta (l'indirizzo IP) e chi sta effettuando la richiesta (l'identità dell'utente o del servizio), l'accesso si basa sul ruolo e sulle esigenze dell'utente, non solo sulla posizione di rete. L'identità può essere un service account, un tag sicuro o qualsiasi identità fornita da un certificato client verificato tramite mTLS frontend. Secure Web Proxy ti consente di creare regole molto specifiche, ad esempio "Solo i membri del team Finanze possono accedere a questo sito web bancario".
Logging e audit del traffico unificati. Tutto il traffico web che passa attraverso Secure Web Proxy viene registrato e sottoposto ad audit centralmente all'interno di Google Cloud. Questa singola fonte attendibile e chiara per tutti gli accessi in uscita ti aiuta a monitorare l'attività, esaminare gli incidenti di sicurezza e soddisfare i requisiti di conformità.
Ispezione centralizzata. Secure Web Proxy consolida le richieste web in uscita dai workload cloud e dagli uffici connessi in un unico punto di ispezione per un'applicazione coerente delle policy.
Gestione semplificata delle porte. Puoi facoltativamente ascoltare tutte le porte (da 1 a 65535) quando esegui il deployment dell'istanza di Secure Web Proxy come hop successivo. Questa funzionalità elimina la necessità di enumerare porte specifiche ed è utile per ambienti o servizi dinamici che utilizzano più porte. Per informazioni sulle limitazioni relative all'utilizzo della funzionalità all_ports, consulta Limitazioni.

Funzionalità supportate

Secure Web Proxy supporta le seguenti funzionalità:

Proxy Envoy di Secure Web Proxy con scalabilità automatica: Secure Web Proxy supporta la regolazione automatica delle dimensioni del pool di proxy Envoy e della capacità del pool in una regione, il che consente prestazioni coerenti durante i periodi di elevata domanda al costo più basso. La funzionalità di scalabilità automatica gestisce automaticamente le regolazioni della capacità in una regione. Ciò significa che non devi monitorare e ridimensionare manualmente il parco risorse di proxy, garantendo prestazioni migliori con meno tempo operativo.
Policy di accesso in uscita modulari: Secure Web Proxy gestisce il traffico in uscita tramite le seguenti azioni:
- Identifica le entità di origine utilizzando tag sicuri, service account, indirizzi IP o identità di certificati client che sono stati verificati tramite crittografia con mTLS frontend.
- Filtra i target di destinazione in base a nomi host o URL quando abiliti l'ispezione TLS o utilizzi HTTP non criptato.
- Valuta gli attributi della richiesta, come metodi, intestazioni o URL, se il traffico è HTTP non criptato o se l'ispezione TLS è abilitata.
Questa natura modulare delle policy (origini, destinazioni e richieste) consente a vari team di creare e gestire componenti di regole specifici e riutilizzabili. Un amministratore centrale può definire un elenco di URL a cui più proxy possono fare riferimento nelle rispettive policy.
Crittografia end-to-end: i tunnel client-proxy possono transitare su TLS. Secure Web Proxy supporta anche HTTP e HTTPS CONNECT per le connessioni TLS end-to-end avviate dal client al server di destinazione.

Questa misura di sicurezza cruciale viene gestita automaticamente dal servizio, in modo che il traffico sia protetto senza richiedere la configurazione o il monitoraggio manuale degli standard di crittografia.
Integrazione di Cloud Audit Logs e Google Cloud Observability: utilizzando Google Cloud Observability, Cloud Audit Logs registra sia le azioni amministrative (modifiche delle policy) sia le richieste di accesso e le metriche (log delle transazioni proxy) per Secure Web Proxy. Questa visualizzazione unificata e integrata facilita il monitoraggio della sicurezza e la generazione di report di conformità.

Come funziona Secure Web Proxy

Secure Web Proxy funge da checkpoint di sicurezza obbligatorio per tutto il traffico web dalla rete della tua organizzazione a internet. I workload interni devono rispettare le regole di sicurezza di Secure Web Proxy prima di poter raggiungere internet.

Gateway centralizzato: i workload, come le macchine virtuali (VM) e i container, sono configurati per inviare tutte le richieste web in uscita all' istanza centrale di Secure Web Proxy.
Applicazione delle policy: il proxy ispeziona la richiesta e applica le policy di sicurezza per determinare se consentire o negare la connessione.
Traffico in uscita sicuro: se la richiesta è consentita, il traffico viene instradato in modo sicuro a internet utilizzando l' Google Cloud infrastruttura, in genere Cloud NAT. Il proxy utilizza anche Cloud DNS per risolvere gli indirizzi web esterni.

Policy e regole

Puoi configurare le seguenti policy e regole nell'istanza di Secure Web Proxy:

Policy di autorizzazione: queste policy consentono di stabilire controlli di accesso basati sull'identità o sulla destinazione durante l'elaborazione delle richieste in uscita tramite l'istanza di Secure Web Proxy. Puoi configurare le policy di autorizzazione (AuthzPolicy) per convalidare l'identità di un workload o di un agente di origine che accede a internet.
Policy di sicurezza del gateway: queste policy definiscono lo standard di sicurezza generale per un gateway specifico. Una policy di sicurezza del gateway è il contenitore principale per le istruzioni di sicurezza.
Regole di sicurezza del gateway: all'interno di ogni policy di sicurezza del gateway, puoi aggiungere una o più regole di sicurezza del gateway. Queste regole sono le singole istruzioni che consentono o negano il traffico in base a vari criteri.

Modalità di deployment

Puoi eseguire il deployment dell'istanza di Secure Web Proxy in una delle seguenti modalità:

Modalità di routing proxy esplicito: in questa modalità, devi configurare esplicitamente gli ambienti e i client dei workload in modo che puntino direttamente al server proxy. Secure Web Proxy isola quindi i client da internet. In questo modo, Secure Web Proxy funge da intermediario, stabilendo nuove connessioni TCP per il client e assicurandosi che ogni connessione soddisfi i requisiti della policy di sicurezza gestita.
Modalità di collegamento del servizio Private Service Connect: in questa modalità, puoi centralizzare i deployment del proxy web in un'architettura multi-VPC complessa.
Modalità hop successivo: in questa modalità, puoi configurare l'istanza di Secure Web Proxy in modo che funga da hop successivo per il routing nella rete. In altre parole, puoi configurare il routing di rete in modo che invii automaticamente il traffico in uscita all'istanza di Secure Web Proxy. Questo metodo di deployment riduce il sovraccarico amministrativo della tua organizzazione perché non devi configurare manualmente ogni workload o client di origine per utilizzare il proxy.

Limitazioni

Versioni IP: Secure Web Proxy supporta solo IPv4; IPv6 non è supportato.
Versioni HTTP: Secure Web Proxy supporta le versioni HTTP/0.9, 1.0, 1.1 e 2.0 versioni. HTTP/3 non è supportato.
Ambito di deployment: puoi eseguire il deployment di un'istanza di Secure Web Proxy solo in un progetto host, non in un progetto di servizio.

Altri Google Cloud strumenti da prendere in considerazione

Puoi integrare Secure Web Proxy con i seguenti Google Cloud strumenti per migliorare la postura di sicurezza complessiva dei workload e delle applicazioni:

Utilizza mutual TLS frontend (mTLS) per consentire a Secure Web Proxy di configurare le identità client convalidate nelle policy di autorizzazione e applicare un controllo dell'accesso granulare per il traffico in uscita.
Utilizza Certificate Manager per gestire gli ancoraggi di attendibilità (certificati radice) e le CA intermedie necessarie per convalidare i certificati client nelle connessioni mTLS frontend a Secure Web Proxy.
Implementa Controlli di servizio VPC per impedire l'esfiltrazione di dati da Google Cloud servizi come Cloud Storage e BigQuery.

Panoramica di Secure Web Proxy Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.