Sicherheitsrichtlinien

Auf dieser Seite werden Gateway-Sicherheitsrichtlinien und ihre Erstellung erläutert.

Gateway-Sicherheitsrichtlinien

Eine Gateway-Sicherheitsrichtlinie dient als zentraler Container für alle Sicherheitsregeln, die den Trafficfluss durch Ihre Secure Web Proxy-Instanz steuern. Mit Richtlinien können Sie die Zugriffssteuerung für den ausgehenden Webtraffic des Proxys effektiv verwalten.

Sie können eine Richtlinie definieren und sie mit Ihrer Secure Web Proxy-Instanz verknüpfen. So wird sichergestellt, dass der gesamte ausgehende Webtraffic aus Ihrem Netzwerk einheitlichen Sicherheitsstandards entspricht.

Gateway-Sicherheitsrichtlinien basieren auf den folgenden drei Parametern:

  • Trafficquelle: Secure Web Proxy identifiziert die Trafficquelle anhand verschiedener Attribute wie Dienstkonten, sicherer Tags und IP-Adressen.

  • Zulässiges Ziel: Secure Web Proxy bestimmt die zulässigen Ziele anhand einer Domain, eines vollständigen URL-Pfads (wenn die TLS-Prüfung aktiviert ist), von URL-Listen oder des Zielports.

  • Anfragedetails: Secure Web Proxy wertet Anfrage attribute wie das Protokoll, die HTTP-Methode und die Anfrageheader aus. Wenn Sie diese Analyse für verschlüsselten Traffic durchführen möchten, müssen Sie die TLS-Prüfung aktivieren.

Quellattribute

Secure Web Proxy-Richtlinien identifizieren die Quelle des Traffics anhand der folgenden Daten zur Cloud-Identität und zum Netzwerkstandort:

  • Dienstkonten: eindeutige Identitäten, die Ihren Anwendungen oder Arbeitslasten zugewiesen sind. Mit Dienstkonten können Sie Richtlinien basierend auf der spezifischen Funktion einer Anwendung erstellen.
  • Sichere Tags: Labels, die Sie auf Ihre Ressourcen wie VM-Instanzen (virtuelle Maschinen) anwenden können. Google Cloud Mit Tags können Sie Arbeitslasten nach Funktion oder Umgebung gruppieren. Beispiel: „Allen Ressourcen mit dem Label Production den Zugriff auf genehmigte Domains erlauben“.
  • IP-Adressen: Netzwerkadresse des Absenders. Sie können Ihrem Unternehmen oder statische Google Cloud IP-Adressen zuweisen, die Secure Web Proxy für ausgehenden Traffic verwendet.

Unterstützte Identitäten für Quellattribute

Secure Web Proxy verwendet Richtlinien, die auf der Quellidentität basieren, z. B. Dienstkonten und sichere Tags, um den Webtraffic zu steuern. Mit diesen Richtlinien können Sie Regeln basierend auf der Quellidentität des Traffics anwenden und nicht nur auf der IP-Adresse.

In der folgenden Tabelle sind die Google Cloud Dienste aufgeführt, die Richtlinien unterstützen, die auf der Quellidentität basieren:

Google Cloud Dienste Unterstützung für Dienstkonten Unterstützung für sichere Tags
Compute Engine-VM
GKE-Knoten (Google Kubernetes Engine)
GKE-Container (Google Kubernetes Engine) 1 1
Direct VPC für Cloud Run 1
Connector für serverlosen VPC-Zugriff 2 2
Cloud VPN 1 1
Cloud Interconnect lokal 1 1
Application Load Balancer
Network Load Balancer
1 Wird von nicht unterstützt Google Cloud.
2 Die Quell-IP-Adresse ist eindeutig und kann stattdessen verwendet werden.

In der folgenden Tabelle sind die VPC-Architekturen (Virtual Private Cloud) aufgeführt, die Sicherheitsrichtlinien unterstützen, die auf der Quellidentität basieren:

VPC VPC-Architektur Unterstützung
Innerhalb der VPC Projektübergreifend (freigegebene VPC)
VPC-übergreifend Peering-Link-übergreifend (Peer-VPC)
VPC-übergreifend Private Service Connect-übergreifend
VPC-übergreifend Network Connectivity Center-Spokes-übergreifend

Zielattribute

Secure Web Proxy-Richtlinien bestimmen, ob ein Ziel genehmigt ist, indem sie die folgenden Attribute der Zielwebsite oder des Zieldienstes analysieren:

  • Zieldomain: die Websiteadresse, z. B. example.com.

  • URL-Listen: vordefinierte Listen mit genehmigten oder blockierten URLs, die die Richtlinienverwaltung vereinfachen.

  • Zielport: Netzwerkport, an den Ihre Secure Web Proxy-Instanz Traffic sendet. Beispiel: 443 für HTTPS.

  • Vollständiger URL-Pfad: genauer Pfad der Website. Sie müssen die TLS-Prüfung aktivieren, um den gesamten Inhalt auf der jeweiligen Webseite zu sehen.

Für HTTP- und HTTPS-Zieltraffic können Sie das Zielattribut host und verschiedene zielbezogene request.*-Attribute wie request.method für Ihre Anwendung verwenden.

Weitere Informationen zu den Zielattributen, die Sie für HTTP und HTTPS-Traffic verwenden können, finden Sie unter Attribute.

Sicherheitsrichtlinie erstellen

Bevor Sie eine Gateway-Sicherheitsrichtlinie erstellen, müssen Sie die folgenden Schritte zur Ersteinrichtung ausführen:

Nachdem Sie eine Richtlinie erstellt haben, können Sie Regeln erstellen und diese der Richtlinie hinzufügen. Weitere Informationen zum Verknüpfen einer Richtlinie mit Ihrer Secure Web Proxy-Instanz finden Sie unter Web-Proxy einrichten.

Console

  1. Öffnen Sie in der Google Cloud Console die SWP-Richtlinien Seite.

    Zu „SWP-Richtlinien“

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. policy1.

  4. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  5. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten, z. B. us-central1.

  6. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Regel hinzufügen. Weitere Informationen finden Sie unter Secure Web Proxy-Regel erstellen.

  7. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine Datei policy.yaml.

  2. Fügen Sie der erstellten Datei policy.yaml Folgendes hinzu:

    description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID.
    • REGION: die Region, in der Ihre Richtlinie erstellt wird, z. B. us-central1.

  3. Erstellen Sie die Secure Web Proxy-Richtlinie.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Nächste Schritte