本页面介绍了网关安全政策以及如何创建这些政策。
网关安全政策
网关安全政策充当所有安全规则的集中式容器,这些规则用于管理通过 Secure Web Proxy 实例的流量。借助政策,您可以有效地管理代理的出站 Web 流量的访问权限控制。
您可以定义政策并将其与 Secure Web Proxy 实例相关联。 这有助于确保来自您网络的所有出站 Web 流量都遵循一组一致的安全标准。
网关安全政策基于以下三个参数:
允许的目标网址:Secure Web Proxy 使用网域、完整网址路径(如果 启用了 TLS 检查)、 网址列表或目标端口来确定允许的目标网址。
请求详细信息:Secure Web Proxy 会评估请求 属性,例如协议、HTTP 方法和 请求标头。如需对加密流量执行此分析,您必须 启用 TLS 检查。
来源属性
Secure Web Proxy 政策使用以下云身份和网络位置数据来识别流量来源:
- 服务账号:分配给应用或工作负载的唯一 身份。 借助服务账号,您可以根据应用的 特定功能创建政策。
- 安全标记:您可以应用于虚拟机 (VM) 实例等资源的标签。 Google Cloud 借助标记,您可以按功能或环境对工作负载进行分组。例如,
“允许所有标记为
Production的资源访问已获批准的 网域。” - IP 地址: 发送方的网络地址。您可以分配您的 企业或静态 Google Cloud IP 地址 ,Secure Web Proxy 会将这些地址用于出站流量。
来源属性支持的身份
Secure Web Proxy 使用基于来源身份的政策(例如服务账号和安全标记)来控制 Web 流量。借助这些政策,您可以根据流量的来源身份(而不仅仅是 IP 地址)应用规则。
下表显示了支持基于来源身份的政策的服务: Google Cloud
| Google Cloud 服务 | 服务账号支持 | 安全标记支持 |
|---|---|---|
| Compute Engine 虚拟机 (VM) | ||
| Google Kubernetes Engine (GKE) 节点 | ||
| Google Kubernetes Engine (GKE) 容器 | 1 | 1 |
| 适用于 Cloud Run 的直接 VPC | 1 | |
| 无服务器 VPC 访问通道连接器 | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect 本地 | 1 | 1 |
| 应用负载平衡器 | ||
| 网络负载平衡器 |
2 来源 IP 地址是唯一的,可以用来充当替代方案。
下表显示了支持基于来源身份的安全政策的虚拟私有云 (VPC) 架构:
| VPC | VPC 架构 | 支持 |
|---|---|---|
| 在 VPC 内 | 跨项目(共享 VPC) | |
| 跨 VPC | 跨对等互连链接(对等 VPC) | |
| 跨 VPC | 跨 Private Service Connect | |
| 跨 VPC | 跨 Network Connectivity Center spoke |
目的地属性
Secure Web Proxy 政策通过分析目标网站或服务的以下属性来确定目的地是否已获批准:
目标网域:网站地址,例如
example.com。网址列表:预定义的已获批准或被屏蔽的网址列表,可 简化政策管理。
目标端口:Secure Web Proxy 实例向其 发送流量的网络端口。例如,HTTPS 的端口为
443。完整网址路径:网站的确切路径。您必须启用 TLS 检查才能查看特定网页上的全部内容。
对于 HTTP 和 HTTPS 目标流量,您可以为应用使用 host 目标属性和各种 request.* 与目标相关的属性,例如 request.method。
如需详细了解可用于 HTTP 和 HTTPS 流量的目标属性,请参阅 属性。
创建安全政策
在创建网关安全政策之前,请确保完成以下初始设置步骤:
创建政策后,您可以 创建规则并将其添加到政策中。如需详细了解如何将政策与 您的 Secure Web Proxy 实例相关联,请参阅 设置 Web 代理。
控制台
在 Google Cloud 控制台中,前往 SWP 政策 页面。
点击 创建政策。
输入您要创建的政策的名称,例如
policy1。输入政策的说明,例如
My new swp policy。在区域 列表中,选择要在其中创建政策的区域,例如
us-central1。如果要为政策创建规则,请点击添加规则 。 如需了解详情,请参阅 创建 Secure Web Proxy 规则。
点击创建 。
Cloud Shell
使用您偏好的文本编辑器创建
policy.yaml文件。将以下内容添加到您创建的
policy.yaml文件中:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1替换以下内容:
PROJECT_ID:您的项目的 IDREGION:创建政策的区域,例如us-central1
创建 Secure Web Proxy 政策。
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION