Esta página descreve os atributos de origem e os atributos de destino para políticas do proxy Web seguro. Além disso, esta página explica o encaminhamento por proxy baseado em regras do Protocolo de controlo de transmissão (TCP) e como configurar regras de proxy TCP para a sua aplicação.
As políticas de proxy Web seguro baseiam-se nos dois parâmetros seguintes:
- Origem do tráfego: para identificar a origem do tráfego, o proxy Web seguro usa atributos como contas de serviço, etiquetas seguras e endereços IP.
- Destino permitido: para determinar os destinos permitidos, o proxy Web seguro usa um domínio de destino, um caminho de URL completo (se a inspeção de TLS estiver ativada), listas de URLs, ou a porta de destino.
Por predefinição, o proxy Web seguro está definido de forma a negar qualquer tráfego Web de saída (HTTP ou HTTPS) através do proxy, a menos que inclua uma regra específica na política da sua instância do proxy Web seguro.
Atributos de origem para políticas
Use os seguintes atributos para permitir que a sua instância do proxy Web seguro identifique a origem do tráfego:
- Contas de serviço: use contas de serviço para identificar a origem do tráfego e configurar políticas de proxy Web seguro.
- Etiquetas seguras: use etiquetas do Resource Manager para controlar o acesso aos seus Google Cloud recursos.
- Endereços IP: atribua os endereços IP da sua empresa (ou endereços IP estáticos) que o proxy Web seguro usa para o tráfego de saída. Google Cloud
Identidades suportadas
Pode usar políticas de segurança baseadas na identidade de origem (contas de serviço e etiquetas seguras) para proteger o tráfego Web de vários serviços. Google Cloud A tabela seguinte mostra se vários serviços Google Cloud são suportados quando usa políticas de segurança baseadas na identidade de origem.
| Google Cloud serviços | Apoio técnico da conta de serviço | Suporte de etiquetas seguras |
|---|---|---|
| Máquina virtual (VM) | ||
| Nó do GKE | ||
| Contentor do GKE | 1 | 1 |
| VPC direta para o Cloud Run | 1 | |
| Conetor do Acesso a VPC sem servidor | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect no local | 1 | 1 |
| Balanceador de carga de aplicações | ||
| Balanceador de carga de rede |
2 O endereço IP de origem é único e pode ser usado em alternativa.
A tabela seguinte mostra se várias arquiteturas de nuvem virtual privada (VPC) são suportadas quando usa políticas de segurança baseadas na identidade de origem:
| VPC | Arquitetura de VPC | Apoio técnico |
|---|---|---|
| Na VPC | Entre projetos (VPC partilhada) | |
| Na VPC | Entre regiões | |
| VPC cruzada | Link de intercâmbio (VPC de pares) | |
| VPC cruzada | Private Service Connect entre projetos | |
| VPC cruzada | Hubs do Network Connectivity Center de várias redes |
Atributos de destino para políticas
Com o proxy Web seguro, pode configurar políticas para a sua aplicação com base em domínios de destino e caminhos de URL completos (se a inspeção TLS estiver ativada).
Use os seguintes atributos para permitir que a sua instância de proxy Web seguro determine o destino do tráfego permitido:
- Porta de destino: porta a montante para a qual a sua instância de proxy Web seguro envia tráfego.
Para mais informações, consulte os Atributos disponíveis para
SessionMatchereApplicationMatcher. - Listas de URLs: use listas de URLs para definir os URLs aos quais os seus utilizadores podem aceder. Para mais informações, consulte o artigo Listas de URLs.
Para o tráfego de destino baseado em HTTP, pode usar o atributo host()destination
para a sua aplicação.
Além disso, para o tráfego de destino baseado em HTTPS, pode usar vários request.*
atributos relacionados com o destino (como request.method) para a sua aplicação.
Para mais informações sobre os atributos de destino que pode usar para tráfego HTTP e HTTPS, consulte Atributos.
Regras de proxy TCP
Com a sua instância de proxy Web seguro, pode configurar regras de proxy para o tráfego do Protocolo de controlo de transmissão (TCP), incluindo o tráfego que não está associado a protocolos Web. Por exemplo, pode optar por permitir ou bloquear o tráfego de Websites ou aplicações que enviam tráfego de portas diferentes de 80 (HTTP) ou 443 (HTTPS).
Se a sua carga de trabalho (como as suas aplicações e serviços) usar o proxy Web seguro como o próximo salto, é vantajoso aplicar regras de proxy TCP. Isto deve-se ao facto de usar um processo de redirecionamento baseado em rotas que direciona o tráfego não HTTP(S) e não Web para a sua instância de proxy Web seguro. Ao fazê-lo, pode bloquear o tráfego malicioso de alcançar a sua aplicação e controlar que aplicações ou Websites podem aceder à sua rede.
Configure regras de proxy TCP para a sua aplicação
Para implementar regras de proxy TCP e criar uma regra de tráfego de permissão ou bloqueio para a sua aplicação, tem de especificar a porta de destino. Opcionalmente, pode incluir qualquer um dos seguintes atributos SessionMatcher para refinar os critérios da regra de permissão ou bloqueio.
| Atributo | Tipo de atributo | Descrição |
|---|---|---|
source.ip |
de string | Endereço IP do cliente que enviou o pedido. |
source.port |
de string | Porta do cliente que enviou o pedido. |
destination.port |
de string | Porta a montante para a qual a sua instância de proxy Web seguro envia o tráfego. |
source.matchTag(SECURE_TAG) |
booleano |
O argumento é o ID permanente da etiqueta segura, como
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
booleano | True, se a origem estiver associada a
SERVICE_ACCOUNT, como
source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
booleano | True, se IP_ADDRESS estiver
contido no IP_RANGE, como
inIpRange(source.ip, '1.2.3.0/24'). As máscaras de sub-rede
para endereços IPv6 não podem ser superiores a /64.
|
Limitações
O proxy Web seguro não suporta a capacidade de configurar regras de proxy TCP para aplicações do Protocolo UDP (User Datagram Protocol). Como resultado, o proxy Web seguro bloqueia o tráfego de aplicações baseadas em UDP.
Regras de correspondência de anfitriões
Quando configurar as regras de saída para a sua instância de proxy Web seguro, certifique-se de que define as regras consoante o anfitrião de destino dos pedidos de saída. Também deve considerar como funciona a correspondência de anfitriões com base no modo de implementação da sua instância do proxy Web seguro.
Modo proxy explícito
Para pedidos HTTP não encriptados, pode usar a regra
host() == "myownpersonaldomain.com"noSessionMatcher. O proxy Web seguro valida esta regra com base no campohostno cabeçalhoCONNECTdo pedido HTTP.Se quiser ativar a inspeção TLS e definir regras com base no
Application Matcher, tem de definir uma regraSessionMatcherque seja avaliada comoTRUE. Por exemplo, pode usar a regrahost() == "myownpersonaldomain.com"noSessionMatchere, em seguida, adicionar a regrarequest.host() == "myownpersonaldomain.com"noApplicationMatcher.O proxy Web seguro valida primeiro o
SessionMatcherem relação ao campohostno cabeçalhoCONNECTdo pedido HTTP. Além disso, apenas se a regraSessionMatcherfor válida, o proxy Web seguro examina as regrasApplicationMatcher.
Modo de salto seguinte
Para pedidos HTTP não encriptados, pode usar a regra
host() == "myownpersonaldomain.com"noSessionMatcher. O proxy Web seguro valida esta regra em relação ao campohostno cabeçalho do pedido HTTP padrão.No entanto, se o pedido estiver encriptado com TLS, o proxy Web seguro valida a mesma regra em relação ao cabeçalho Indicação do nome do servidor (SNI) no pedido de saída.
Se quiser ativar a inspeção TLS e definir regras com base no
ApplicationMatcher, tem de definir uma regraSessionMatcherque seja avaliada comoTRUE. Por exemplo, pode usar a regrahost() == "myownpersonaldomain.com"noSessionMatchere, em seguida, adicionar a regrarequest.host() == "myownpersonaldomain.com"noApplicationMatcher.O proxy Web seguro valida primeiro o
SessionMatcherem relação ao cabeçalho SNI no pedido de saída. E apenas se a regraSessionMatcherfor válida, o proxy Web seguro examina as regrasApplicationMatcher.