Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Políticas y reglas

En esta página, se explica cómo configurar reglas para tu tráfico web saliente con Secure Web Proxy. Puedes controlar qué tráfico se permite o rechaza según varios criterios, lo que garantiza que solo el tráfico autorizado salga de tu red. Secure Web Proxy proporciona dos mecanismos principales para definir estos controles: políticas de autorización y políticas de seguridad de la puerta de enlace.

Las políticas de autorización proporcionan un marco de trabajo flexible para proteger tu tráfico saliente. Puedes usar estas políticas para habilitar controles detallados, incluidas las políticas basadas en la identidad y el contenido, y admitir la delegación a motores de autorización externos con las Extensiones de servicio.

Las políticas de seguridad de la puerta de enlace son la base para definir reglas de seguridad en el Proxy web seguro. Permiten o deniegan solicitudes según la identidad de origen, como las cuentas de servicio o las etiquetas seguras, y los atributos de destino, como las listas de URLs.

Usa el tipo de política adecuado

Secure Web Proxy te permite administrar el tráfico saliente con una política de autorización o una política de seguridad de la puerta de enlace. No puedes usar ambos tipos de políticas en la misma puerta de enlace.

Elige un tipo de política según tus requisitos:

Política de autorización: Usa este tipo de política para funciones como las extensiones de autorización personalizadas con Service Extensions o la mTLS de frontend.

Si deseas adoptar estas funciones para una implementación existente, debes migrar tus reglas de tráfico saliente de la política de seguridad de tu puerta de enlace a una política de autorización.

Precaución: Antes de migrar tus reglas, debes verificar que las políticas de autorización admitan todos los criterios de coincidencia requeridos. Por ejemplo, las políticas de autorización no admiten listas de URLs.
Política de seguridad de la puerta de enlace: Usa este tipo de política si necesitas un filtrado estándar a nivel de la conexión basado en la identidad de origen y los atributos de destino, o bien listas de URLs en tu política. Las políticas de seguridad de la puerta de enlace no admiten el uso de funciones como extensiones de autorización personalizadas o mTLS de frontend.

Políticas de autorización

Las políticas de autorización te permiten establecer verificaciones de control de acceso basadas en la identidad cuando procesas solicitudes salientes a través de Secure Web Proxy. Puedes configurar políticas de autorización (AuthzPolicy) para validar la identidad de una carga de trabajo o un agente de origen que accede a Internet.

Una política de autorización te permite especificar condiciones para permitir, rechazar o delegar la autorización de solicitudes según su origen, destino y otros atributos. Las solicitudes que pasan estas verificaciones se reenvían al destino web. Las solicitudes que no pasan las verificaciones se rechazan con un error 403 Forbidden.

En el caso de Secure Web Proxy, puedes adjuntar políticas de autorización a tu recurso de puerta de enlace para definir el perímetro de seguridad de tu tráfico saliente y evaluar las reglas de la política de autorización en Secure Web Proxy. Además, puedes configurar Secure Web Proxy para delegar las decisiones de autorización a un motor de autorización externo con las extensiones de servicio (extensiones de autorización).

Para obtener más información sobre cómo configurar políticas de autorización, consulta Configura políticas de autorización para Secure Web Proxy.

Las políticas de autorización proporcionan los siguientes beneficios en comparación con las políticas de seguridad de la puerta de enlace estándar:

Superficie de política coherente: Usa la API unificada de AuthzPolicy para administrar la autorización del tráfico para Secure Web Proxy junto con otros servicios, como el balanceador de cargas de aplicaciones y Cloud Service Mesh (CSM).
Compatibilidad con Service Extensions: Usa Service Extensions para delegar las decisiones de autorización a tu lógica personalizada. Puedes usar extensiones de autorización para realizar la autorización a nivel de la solicitud (según los encabezados, la identidad y mucho más) y la limpieza del contenido (como la protección de datos sensibles o la detección de amenazas).
Seguridad centrada en la identidad: Si bien las políticas de autorización siguen admitiendo reglas basadas en IP, proporcionan una postura de seguridad más sólida, ya que te permiten aplicar controles basados en la identidad. Puedes definir tu perímetro de seguridad con cuentas de servicio, etiquetas o TLS mutua de frontend. También puedes usar Service Extensions para delegar decisiones de autorización a servicios basados en la identidad, como Identity-Aware Proxy.

Políticas y reglas de seguridad de la puerta de enlace

Una política de seguridad de la puerta de enlace es el elemento de seguridad principal que define los controles de acceso para todo el tráfico web saliente.

Las políticas de seguridad de la puerta de enlace incluyen las siguientes funciones clave:

Control de políticas: Una política contiene las reglas de seguridad de la puerta de enlace que el proxy usa para permitir o rechazar una solicitud web. Puedes crear una sola política y reutilizarla en varias instancias de Secure Web Proxy para mantener la coherencia y la eficiencia de tus reglas de seguridad.
Seguridad predeterminada: Las políticas de seguridad de la puerta de enlace están deny-all de forma predeterminada. El proxy bloquea todas las solicitudes HTTP y HTTPS hasta que creas una regla específica para permitirlas. Esto aplica una arquitectura de confianza cero desde el principio.
Lógica de la política: Cada política se basa en dos verificaciones principales: determinar la fuente de tráfico y verificar el destino permitido.

Una regla de seguridad de la puerta de enlace es una instrucción en una política de seguridad de la puerta de enlace que coincide con la acción final y la define: permitir o rechazar.

Tu instancia de Secure Web Proxy evalúa las reglas según la prioridad, y primero se verifica el número más bajo. El proxy se detiene y actúa según la primera regla que coincide con la solicitud.

Session Matcher: Verifica la información básica sobre la conexión de red a medida que se configura. Session Matcher incluye los siguientes elementos:
- Identidad de origen (cuenta de servicio o etiqueta segura)
- Nombre de host de destino (el nombre de dominio)
- Puerto de destino
Application Matcher: Inspecciona el contenido de la solicitud web real. Por lo general, se usa para garantizar un control detallado y requiere la inspección de TLS para verificar el tráfico encriptado. Application Matcher incluye los siguientes elementos:
- Ruta de URL completa
- Método de solicitud (por ejemplo, bloquear todas las acciones de DELETE)
- Encabezados HTTP específicos

Limitaciones

Cuando configuras políticas en Secure Web Proxy, se aplican las siguientes limitaciones:

Políticas de seguridad de la puerta de enlace: Estas políticas no admiten extensiones de autorización. Las capacidades avanzadas, como el uso de lógica personalizada o la delegación de decisiones de autorización a servicios externos, solo están disponibles a través de políticas de autorización.
Políticas de autorización: Estas políticas no admiten listas de URLs ni coincidencias de expresiones regulares (regex) para cadenas de URL.