En esta página, se describen los atributos de origen y los atributos de destino de las políticas de Proxy web seguro. Además, en esta página, se explica el uso de proxy basado en reglas del Protocolo de control de transmisión (TCP) y cómo configurar reglas de proxy de TCP para tu aplicación.
Las políticas del Proxy web seguro se basan en los siguientes dos parámetros:
- Fuente de tráfico: Para identificar la fuente de tráfico, el proxy web seguro usa atributos como cuentas de servicio, etiquetas seguras y direcciones IP.
- Destino permitido: Para determinar los destinos permitidos, el proxy web seguro usa un dominio de destino, una ruta de URL completa (si la inspección de TLS está habilitada), listas de URLs o el puerto de destino.
De forma predeterminada, el Proxy web seguro se configura de manera que se niegue todo el tráfico web saliente (HTTP o HTTPS) a través del proxy, a menos que incluyas una regla específica en la política de tu instancia de Proxy web seguro.
Atributos de origen para las políticas
Usa los siguientes atributos para permitir que tu instancia de Proxy web seguro identifique la fuente del tráfico:
- Cuentas de servicio: Usa cuentas de servicio para identificar la fuente de tráfico y configurar políticas de proxy web seguro.
- Etiquetas seguras: Usa etiquetas de Resource Manager para controlar el acceso a tus Google Cloud recursos.
- Direcciones IP: Asigna las direcciones IP de tu empresa (o direcciones IP Google Cloud estáticas) que usa el proxy web seguro para el tráfico saliente.
Identidades admitidas
Puedes usar políticas de seguridad basadas en la identidad de origen (cuentas de servicio y etiquetas seguras) para proteger el tráfico web de varios Google Cloud servicios. En la siguiente tabla, se muestra si se admiten varios servicios de Google Cloud cuando se usan políticas de seguridad basadas en la identidad de la fuente.
| Servicios deGoogle Cloud | Compatibilidad con cuentas de servicio | Compatibilidad con etiquetas seguras |
|---|---|---|
| VM | ||
| Nodo de GKE | ||
| Contenedor de GKE | 1 | 1 |
| VPC directa para Cloud Run | 1 | |
| Conector de Acceso a VPC sin servidores | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect local | 1 | 1 |
| Balanceador de cargas de aplicaciones | ||
| Balanceador de cargas de red |
2 La dirección IP de origen es única y se puede usar en su lugar.
En la siguiente tabla, se muestra si se admiten varias arquitecturas de nube privada virtual (VPC) cuando se usan políticas de seguridad basadas en la identidad de origen:
| VPC | Arquitectura de VPC | Asistencia |
|---|---|---|
| Dentro de la VPC | Entre proyectos (VPC compartida) | |
| Dentro de la VPC | Entre regiones | |
| VPC cruzada | Vínculo de intercambio de tráfico entre VPC | |
| VPC cruzada | Private Service Connect cruzado | |
| VPC cruzada | Conexión entre radios de Network Connectivity Center |
Atributos de destino para las políticas
Con el Proxy web seguro, puedes configurar políticas para tu aplicación según los dominios de destino y las rutas de URL completas (si está habilitada la inspección de TLS).
Usa los siguientes atributos para permitir que tu instancia de Proxy web seguro determine el destino de tráfico permitido:
- Puerto de destino: Es el puerto upstream al que tu instancia de Proxy web seguro envía tráfico.
Para obtener más información, consulta Atributos disponibles para
SessionMatcheryApplicationMatcher. - Listas de URLs: Usa las listas de URLs para definir las URLs a las que pueden acceder tus usuarios. Para obtener más información, consulta Listas de URLs.
Para el tráfico de destino basado en HTTP, puedes usar el atributo de destino host() para tu aplicación.
Y para el tráfico de destino basado en HTTPS, puedes usar varios atributos request.* relacionados con el destino (como request.method) para tu aplicación.
Para obtener más información sobre los atributos de destino que puedes usar para el tráfico HTTP y HTTPS, consulta Atributos.
Reglas de proxy TCP
Con tu instancia de Secure Web Proxy, puedes configurar reglas de proxy para el tráfico del Protocolo de control de transmisión (TCP), incluido el tráfico que no está asociado con protocolos web. Por ejemplo, puedes permitir o bloquear el tráfico de sitios web o aplicaciones que envían tráfico desde cualquier puerto que no sea 80 (HTTP) o 443 (HTTPS).
Si tu carga de trabajo (como tus aplicaciones y servicios) usa Proxy web seguro como siguiente salto, aplicar reglas de proxy TCP es beneficioso. Esto se debe a que usar un proceso de redireccionamiento basado en rutas dirige el tráfico que no es HTTP(S) ni web a tu instancia de Proxy web seguro. De esta manera, puedes bloquear el tráfico malicioso para que no llegue a tu aplicación y controlar qué aplicaciones o sitios web pueden acceder a tu red.
Configura reglas de proxy TCP para tu aplicación
Para implementar reglas de proxy TCP y crear una regla de tráfico de permiso o bloqueo para tu
aplicación, debes especificar el puerto de destino. De manera opcional, puedes incluir cualquiera de los siguientes atributos SessionMatcher para definir mejor los criterios de la regla de permiso o bloqueo.
| Atributo | Tipo de atributo | Descripción |
|---|---|---|
source.ip |
string | Es la dirección IP del cliente que envió la solicitud. |
source.port |
string | Es el puerto del cliente que envió la solicitud. |
destination.port |
string | Es el puerto upstream al que tu instancia de Proxy web seguro envía el tráfico. |
source.matchTag(SECURE_TAG) |
booleano |
El argumento es el ID permanente de la etiqueta segura, como
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
booleano | True, si la fuente está asociada con SERVICE_ACCOUNT, como source.matchServiceAccount('[email protected]')
|
inIpRange(IP_ADDRESS, |
booleano | True, si IP_ADDRESS está
contenido en IP_RANGE, como
inIpRange(source.ip, '1.2.3.0/24'). Las máscaras de subred para las direcciones IPv6 no pueden ser mayores que /64.
|
Limitaciones
El proxy web seguro no admite la configuración de reglas de proxy de TCP para aplicaciones de protocolo de datagramas de usuario (UDP). Como resultado, el proxy web seguro bloquea el tráfico de las aplicaciones basadas en UDP.
Reglas de coincidencia de host
Cuando configures las reglas de salida para tu instancia de Proxy web seguro, asegúrate de definirlas según el host de destino de las solicitudes salientes. También debes considerar cómo funciona la coincidencia de host según el modo de implementación de tu instancia de Proxy web seguro.
Modo de proxy explícito
Para las solicitudes HTTP sin encriptar, puedes usar la regla
host() == "myownpersonaldomain.com"enSessionMatcher. El proxy web seguro valida esta regla en función del campohosten el encabezadoCONNECTde la solicitud HTTP.Si deseas habilitar la inspección de TLS y establecer reglas en función de
Application Matcher, debes establecer una reglaSessionMatcherque evalúe comoTRUE. Por ejemplo, puedes usar la reglahost() == "myownpersonaldomain.com"enSessionMatchery, luego, agregar la reglarequest.host() == "myownpersonaldomain.com"enApplicationMatcher.El Proxy web seguro primero valida el
SessionMatcheren función del campohosten el encabezadoCONNECTde la solicitud HTTP. Y solo si la reglaSessionMatcheres válida, el Proxy web seguro examina las reglasApplicationMatcher.
Modo de próximo salto
Para las solicitudes HTTP sin encriptar, puedes usar la regla
host() == "myownpersonaldomain.com"enSessionMatcher. El proxy web seguro valida esta regla en función del campohosten el encabezado de solicitud HTTP estándar.Sin embargo, si la solicitud está encriptada con TLS, el proxy web seguro valida la misma regla en el encabezado Indicación de nombre de servidor (SNI) de la solicitud saliente.
Si deseas habilitar la inspección de TLS y establecer reglas en función de
ApplicationMatcher, debes establecer una reglaSessionMatcherque evalúe comoTRUE. Por ejemplo, puedes usar la reglahost() == "myownpersonaldomain.com"enSessionMatchery, luego, agregar la reglarequest.host() == "myownpersonaldomain.com"enApplicationMatcher.El proxy web seguro primero valida el
SessionMatcheren función del encabezado SNI en la solicitud saliente. Y solo si la reglaSessionMatcheres válida, el Proxy web seguro examina las reglasApplicationMatcher.