安全性政策

本頁說明閘道安全政策,以及如何建立這類政策。

閘道安全性政策

閘道安全政策是所有安全規則的集中式容器,可控管通過 Secure Web Proxy 執行個體的流量。政策可讓您有效管理 Proxy 輸出網路流量的存取控管。

您可以定義政策,並將政策與 Secure Web Proxy 執行個體建立關聯。 這有助於確保網路的所有輸出網路流量都符合一致的安全標準。

閘道安全性政策是根據下列三個參數制定:

  • 流量來源:Secure Web Proxy 會使用各種屬性 (例如服務帳戶安全標記IP 位址) 識別流量來源。

  • 允許的目的地:Secure Web Proxy 會使用網域、完整網址路徑 (如果已啟用 TLS 檢查)、網址清單或目的地通訊埠,判斷允許的目的地。

  • 要求詳細資料:Secure Web Proxy 會評估要求屬性,例如通訊協定、HTTP 方法和要求標頭。如要對加密流量執行這項分析,請啟用 TLS 檢查功能

來源屬性

Secure Web Proxy 政策會使用下列雲端身分和網路位置資料,識別流量來源:

來源屬性支援的身分

Secure Web Proxy 會使用以來源身分為依據的政策 (例如服務帳戶和安全標記) 控制網路流量。這些政策可讓您根據流量的來源身分套用規則,而不只是 IP 位址。

下表列出支援以來源身分識別為依據的政策的 Google Cloud 服務:

Google Cloud 服務 服務帳戶支援 安全標記支援
Compute Engine 虛擬機器 (VM)
Google Kubernetes Engine (GKE) 節點
Google Kubernetes Engine (GKE) 容器 1 1
Cloud Run 的直連虛擬私有雲 1
無伺服器 VPC 存取連接器 2 2
Cloud VPN 1 1
Cloud Interconnect 內部部署 1 1
應用程式負載平衡器
網路負載平衡器
1 Google Cloud不支援這項功能。
2 來源 IP 位址是專屬位址,可做為替代位址。

下表列出支援以來源身分識別為依據的安全政策的虛擬私有雲 (VPC) 架構:

虛擬私人雲端 虛擬私有雲架構 支援
虛擬私有雲內 跨專案 (Shared VPC)
跨虛擬私有雲 跨對等互連連結 (對等互連虛擬私有雲)
跨虛擬私有雲 跨 Private Service Connect
跨虛擬私有雲 跨 Network Connectivity Center 輪輻

目的地屬性

Secure Web Proxy 政策會分析目標網站或服務的下列屬性,判斷是否核准目的地:

  • 目標網域:網站位址,例如 example.com

  • 網址清單:預先定義的核准或封鎖網址清單,可簡化政策管理作業。

  • 目的地通訊埠:您的 Secure Web Proxy 執行個體傳送流量的網路通訊埠。舉例來說,HTTPS 的通訊埠為 443

  • 完整網址路徑:網站的確切路徑。您必須啟用 TLS 檢查功能,才能查看特定網頁的完整內容。

如要處理 HTTP 和 HTTPS 目的地流量,您可以在應用程式中使用 host 目的地屬性和各種目的地相關屬性,例如 request.*request.method

如要進一步瞭解可用於 HTTP 和 HTTPS 流量的目的地屬性,請參閱「屬性」。

建立安全性政策

建立閘道安全政策前,請務必完成下列初始設定步驟:

建立政策後,您可以建立規則並新增至政策。如要進一步瞭解如何將政策與 Secure Web Proxy 執行個體建立關聯,請參閱「設定網頁 Proxy」。

控制台

  1. 前往 Google Cloud 控制台的「SWP Policies」(SWP 政策) 頁面。

    前往 SWP 政策

  2. 按一下「建立政策」

  3. 輸入要建立的政策名稱,例如 policy1

  4. 輸入政策說明,例如 My new swp policy

  5. 在「Regions」(區域) 清單中,選取要建立政策的區域,例如 us-central1

  6. 如要為政策建立規則,請按一下「新增規則」。 詳情請參閱「建立 Secure Web Proxy 規則」。

  7. 點選「建立」

Cloud Shell

  1. 使用偏好的文字編輯器建立 policy.yaml 檔案。

  2. 在您建立的 policy.yaml 檔案中新增下列內容:

    description: basic Secure Web Proxy policy
    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    

    更改下列內容:

    • PROJECT_ID:專案 ID
    • REGION:建立政策的區域,例如 us-central1
  3. 建立 Secure Web Proxy 政策。

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

後續步驟