Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדיניות אבטחה

בדף הזה מוסבר על מדיניות אבטחה של שערים ואיך ליצור אותה.

מדיניות אבטחה של שערים

מדיניות אבטחה של שער משמשת כמאגר מרכזי לכל כללי האבטחה ששולטים בזרימת התנועה דרך מופע ה-Secure Web Proxy. כללי המדיניות מאפשרים לכם לנהל ביעילות את בקרת הגישה לתנועת האינטרנט היוצאת של ה-proxy.

אפשר להגדיר מדיניות ולשייך אותה למופע של Secure Web Proxy. כך אפשר לוודא שכל התנועה היוצאת מהרשת שלכם באינטרנט עומדת במערכת עקבית של תקני אבטחה.

מדיניות האבטחה של שערים מבוססת על שלושת הפרמטרים הבאים:

מקור התנועה: שרת ה-proxy המאובטח לאינטרנט מזהה את מקור התנועה באמצעות מאפיינים שונים כמו חשבונות שירות, תגים מאובטחים וכתובות IP.
יעד מותר: Secure Web Proxy קובע את היעדים המותרים באמצעות דומיין, נתיב כתובת ה-URL מלא (אם בדיקת TLS מופעלת), רשימות כתובות URL או יציאת היעד.
פרטי הבקשה: Secure Web Proxy מעריך את מאפייני הבקשה, כמו הפרוטוקול, שיטת ה-HTTP וכותרות הבקשה. כדי לבצע את הניתוח הזה לתנועה מוצפנת, צריך להפעיל את הבדיקה של TLS.

מאפייני המקור

מדיניות Secure Web Proxy מזהה את מקור התנועה באמצעות הנתונים הבאים של זהות בענן ומיקום ברשת:

חשבונות שירות: זהויות ייחודיות שמוקצות לאפליקציות או לעומסי העבודה שלכם. חשבונות שירות מאפשרים ליצור מדיניות על סמך פונקציה ספציפית של אפליקציה.
תגים מאובטחים: תוויות שאפשר להחיל על משאבים ב- Google Cloud , כמו מכונות וירטואליות (VM). תגים מאפשרים לקבץ עומסי עבודה לפי פונקציה או סביבה. לדוגמה: "אפשר לתת גישה לכל המשאבים עם התווית Production לדומיינים שאושרו".
כתובות IP‏: כתובת הרשת של השולח. אתם יכולים להקצות את כתובות ה-IP הארגוניות או הסטטיות שלכם ש-Secure Web Proxy משתמש בהן לתנועה יוצאת. Google Cloud

זהויות נתמכות למאפייני מקור

Secure Web Proxy משתמש בכללי מדיניות שמבוססים על זהות המקור, כמו חשבונות שירות ותגים מאובטחים, כדי לשלוט בתעבורת האינטרנט. כללי המדיניות האלה מאפשרים לכם להחיל כללים על סמך זהות המקור של התנועה, ולא רק על כתובת ה-IP.

בטבלה הבאה מפורטים Google Cloud השירותים שתומכים במדיניות שמבוססת על זהות המקור:

Google Cloud שירותים	תמיכה בחשבון שירות	תמיכה בתגים מאובטחים
מכונה וירטואלית (VM) ב-Compute Engine
צומת של Google Kubernetes Engine‏ (GKE)
מאגר Google Kubernetes Engine‏ (GKE)	¹	¹
Direct VPC for Cloud Run		¹
מחבר חיבור לרשת (VPC) מאפליקציית serverless	²	²
‫Cloud VPN	¹	¹
Cloud Interconnect on premises	¹	¹
‫Application Load Balancer
מאזן עומסים ברשת

^‫1 לא נתמך על ידי Google Cloud.
‫² כתובת ה-IP של המקור היא ייחודית ואפשר להשתמש בה במקום זאת.

בטבלה הבאה מוצגות ארכיטקטורות של ענן וירטואלי פרטי (VPC) שתומכות במדיניות אבטחה שמבוססת על זהות המקור:

VPC	ארכיטקטורת VPC	תמיכה
בתוך VPC	בין פרויקטים (VPC משותף)
Cross VPC	קישור בין רשתות שכנות (VPC שכנה)
Cross VPC	התחברות בין רשתות Private Service Connect
Cross VPC	Cross Network Connectivity Center spokes

מאפייני יעד

מדיניות Secure Web Proxy קובעת אם יעד מאושר על ידי ניתוח המאפיינים הבאים של אתר או שירות היעד:

דומיין היעד: כתובת האתר, לדוגמה example.com.
רשימות של כתובות URL: רשימות מוגדרות מראש של כתובות URL מאושרות או חסומות שמפשטות את ניהול המדיניות.
יציאת יעד: יציאת הרשת שאליה מופנית תנועת הנתונים ממופע Secure Web Proxy. לדוגמה, 443 עבור HTTPS.
נתיב כתובת ה-URL המלא: הנתיב המדויק של האתר. כדי לראות את כל התוכן בדף האינטרנט הספציפי, צריך להפעיל את הבדיקה של TLS.

כדי לעקוב אחרי תנועת נתונים ליעדים של HTTP ו-HTTPS, אפשר להשתמש באפליקציה במאפיין host destination ובמאפיינים שונים שקשורים ליעד, כמו request.method.request.*

מידע נוסף על מאפייני היעד שאפשר להשתמש בהם לתנועת HTTP ו-HTTPS זמין במאמר מאפיינים.

יצירת מדיניות אבטחה

לפני שיוצרים מדיניות אבטחה של שער, צריך לוודא שמשלימים את שלבי ההגדרה הראשונית הבאים:

אחרי שיוצרים מדיניות, אפשר ליצור כללים ולהוסיף אותם למדיניות. מידע נוסף על שיוך מדיניות למופע של Secure Web Proxy זמין במאמר בנושא הגדרת שרת proxy לאינטרנט.

המסוף

נכנסים לדף SWP Policies במסוף Google Cloud .

מעבר אל מדיניות SWP
לוחצים על יצירת מדיניות.
מזינים שם למדיניות שרוצים ליצור, למשל policy1.
מזינים תיאור של המדיניות, כמו My new swp policy.
ברשימה Regions, בוחרים את האזור שבו רוצים ליצור את המדיניות, למשל us-central1.
אם רוצים ליצור כללים למדיניות, לוחצים על הוספת כלל. מידע נוסף מופיע במאמר בנושא יצירת כלל של Secure Web Proxy.
לוחצים על יצירה.

Cloud Shell

משתמשים בעורך הטקסט המועדף כדי ליצור קובץ policy.yaml.
מוסיפים את הטקסט הבא לקובץ policy.yaml שיצרתם:
```
description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫REGION: האזור שבו נוצרה המדיניות, למשל us-central1
חשוב: כדי ליצור מדיניות עם בדיקת TLS, אפשר לעיין במאמר בנושא הפעלת בדיקת TLS.

יוצרים את מדיניות Secure Web Proxy.

gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

מדיניות אבטחה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.