Configurar políticas de autorização para o Secure Web Proxy

Esta página descreve como configurar políticas de autorização para o Secure Web Proxy.

Antes de começar

• Consulte as páginas Visão geral do Secure Web Proxy e Visão geral da política de autorização.

• Ative as APIs a seguir:

  • API Network Security
  • API Network Services
  • API Certificate Manager

• Verifique se você tem os papéis e as permissões adequados .

• Você precisa ter uma instância ativa do Secure Web Proxy implantada e associada a uma GatewaySecurityPolicy. Para mais informações, consulte Implantar uma instância do Secure Web Proxy.

• Para configurar políticas de autorização do Secure Web Proxy, é necessário ativar uma política de inspeção TLS policy.

Criar uma política de autorização

Esta seção explica como criar diferentes tipos de políticas de autorização anexadas a uma instância do Secure Web Proxy.

Para criar uma política de autorização para o Secure Web Proxy, faça o seguinte:

• Configure um arquivo YAML que defina o destino e as regras.
• Importe o arquivo usando o gcloud network-security authz-policies import comando.

Política de autorização com base na identidade mTLS

O Secure Web Proxy oferece suporte à aplicação de regras de segurança com base em identidades derivadas de certificados TLS mútuos (mTLS). A aplicação de regras com base nessas identidades é particularmente útil em ambientes de confiança zero, em que o tráfego entre clientes e o proxy é protegido por mTLS. Para mais informações, consulte Política de autorização com base em principais.

O exemplo a seguir mostra uma política de autorização para uma instância do Secure Web Proxy chamada swp1. Este exemplo pressupõe que o tráfego para o proxy usa o protocolo HTTPS.

A política com o perfil REQUEST_AUTHZ exige que todo o tráfego para example.com/mcp exija a autenticação mTLS de um principal específico antes que o tráfego possa passar. A política também nega todo o tráfego de saída que não se destina a example.com/mcp.

1. Crie o arquivo YAML da política de autorização.

   O exemplo a seguir cria um arquivo authz-policy.yaml. A política permite o tráfego para o host e o caminho especificados somente se o cliente apresentar um certificado que corresponda ao principal SPIFFE ID definido.

   $ cat >authz-policy.yaml <<EOF
   name: test-authz-policy-mtls
   target:
     resources:
     - "projects/ PROJECT_ID /locations/ LOCATION /gateways/swp1"
   policyProfile: REQUEST_AUTHZ
   httpRules:
   - to:
     operations:
     - hosts:
         - exact: "example.com"
       paths:
         - exact: "/mcp"
     from:
       sources:
       - principals:
         - principalSelector: CLIENT_CERT_URI_SAN
           principal:
             exact: "spiffe:// PROJECT_ID .global.123.workload.id.goog/ns/ns1/sa/hellomcp"
   action: ALLOW
   EOF
   

   Substitua:

   • PROJECT_ID: ID do seu Google Cloud projeto
   • LOCATION: região da instância do Secure Web Proxy

2. Crie uma política de autorização e importe o arquivo YAML usando o gcloud network-security authz-policies import comando.

   gcloud beta network-security authz-policies import my-authz-policy-allow
       --source=authz-policy.yaml
       --location= LOCATION 
   

   Substitua LOCATION pela região da instância do Secure Web Proxy.

Política de autorização com base em contas de serviço ou tags

É possível aplicar uma política de autorização com base em contas de serviço ou tags anexadas a vários Google Cloud recursos.

Este exemplo pressupõe que você concluiu o seguinte:

• Criou uma conta de serviço e a anexou a um Google Cloud recurso.

• Criou uma tag e a anexou a um Google Cloud recurso como um par de chave-valor. Ao criar uma tag, defina o flag --purpose como GCE_FIREWALL. As políticas de autorização exigem a finalidade GCE_FIREWALL para aplicar a tag.

Política de autorização para delegar decisões de autorização

Para decisões de autorização complexas que não podem ser expressas usando regras ALLOW ou DENY padrão, é possível criar uma política de autorização com uma ação CUSTOM. Em seguida, você pode delegar suas decisões de autorização para extensões de autorização (Service Extensions).

Ao configurar uma política com uma ação CUSTOM, o Secure Web Proxy descarrega os metadados ou o payload da solicitação para Service Extensions. Dependendo da resposta das Service Extensions, o proxy permite ou rejeita o tráfego.

O Secure Web Proxy oferece suporte aos seguintes tipos de delegações:

• Delegar decisões de autorização de solicitação para Service Extensions: é possível usar uma política de autorização configurada com uma ação CUSTOM e um perfil REQUEST_AUTHZ para delegar decisões com base em metadados e cabeçalhos de solicitação. Nesse modo, a decisão de acesso é delegada a uma extensão de autorização. É possível usar esse modo para verificar identidades e permissões.

• Delegar decisões de autorização de conteúdo para Service Extensions: é possível usar uma política de autorização com uma ação CUSTOM e um CONTENT_AUTHZ perfil para delegar decisões a uma extensão de autorização com base no payload de dados real da solicitação. Esse modo permite a inspeção de conteúdo detalhada e a aplicação de segurança, permitindo que você verifique informações sensíveis ou padrões maliciosos integrando-se a serviços como o Model Armor.

Limitações

Ao implementar políticas de autorização para o Secure Web Proxy, as seguintes limitações se aplicam:

• Restrições de destino e conectividade: as extensões de autorização para o Secure Web Proxy não oferecem suporte ao Identity-Aware Proxy (IAP) como um destino direto.

• Conflito e compatibilidade de políticas: se você tiver uma política de segurança de gateway com regras de segurança atuais, não será necessário removê-las. O Secure Web Proxy ignora essas regras quando você aplica uma política de autorização à instância.

• Requisitos de protocolo e inspeção: para configurar políticas de autorização do Secure Web Proxy, é necessário ativar a inspeção TLS.

A seguir

• Usar mTLS de front-end com o Secure Web Proxy