本頁說明閘道安全政策,以及如何建立這類政策。
閘道安全性政策
閘道安全政策是所有安全規則的集中式容器,可控管通過 Secure Web Proxy 執行個體的流量。政策可讓您有效管理 Proxy 輸出網路流量的存取控管。
您可以定義政策,並將政策與 Secure Web Proxy 執行個體建立關聯。 這有助於確保網路的所有輸出網路流量都符合一致的安全標準。
閘道安全性政策是根據下列三個參數制定:
允許的目的地:Secure Web Proxy 會使用網域、完整網址路徑 (如果已啟用 TLS 檢查)、網址清單或目的地通訊埠,判斷允許的目的地。
要求詳細資料:Secure Web Proxy 會評估要求屬性,例如通訊協定、HTTP 方法和要求標頭。如要對加密流量執行這項分析,請啟用 TLS 檢查功能。
來源屬性
Secure Web Proxy 政策會使用下列雲端身分和網路位置資料,識別流量來源:
- 服務帳戶:指派給應用程式或工作負載的專屬身分。服務帳戶可讓您根據應用程式的特定功能建立政策。
- 安全標記:可套用至 Google Cloud 資源 (例如虛擬機器 (VM) 執行個體) 的標籤。標記可讓您依功能或環境將工作負載分組。舉例來說,「允許標示為
Production的所有資源存取核准的網域」。 - IP 位址:寄件者的網路位址。您可以指派企業或靜態 Google Cloud IP 位址,供 Secure Web Proxy 用於外送流量。
來源屬性支援的身分
Secure Web Proxy 會使用以來源身分為依據的政策 (例如服務帳戶和安全標記) 控制網路流量。這些政策可讓您根據流量的來源身分套用規則,而不只是 IP 位址。
下表列出支援以來源身分識別為依據的政策的 Google Cloud 服務:
| Google Cloud 服務 | 服務帳戶支援 | 安全標記支援 |
|---|---|---|
| Compute Engine 虛擬機器 (VM) | ||
| Google Kubernetes Engine (GKE) 節點 | ||
| Google Kubernetes Engine (GKE) 容器 | 1 | 1 |
| Cloud Run 的直連虛擬私有雲 | 1 | |
| 無伺服器 VPC 存取連接器 | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect 內部部署 | 1 | 1 |
| 應用程式負載平衡器 | ||
| 網路負載平衡器 |
2 來源 IP 位址是專屬位址,可做為替代位址。
下表列出支援以來源身分識別為依據的安全政策的虛擬私有雲 (VPC) 架構:
| 虛擬私人雲端 | 虛擬私有雲架構 | 支援 |
|---|---|---|
| 虛擬私有雲內 | 跨專案 (Shared VPC) | |
| 跨虛擬私有雲 | 跨對等互連連結 (對等互連虛擬私有雲) | |
| 跨虛擬私有雲 | 跨 Private Service Connect | |
| 跨虛擬私有雲 | 跨 Network Connectivity Center 輪輻 |
目的地屬性
Secure Web Proxy 政策會分析目標網站或服務的下列屬性,判斷是否核准目的地:
目標網域:網站位址,例如
example.com。網址清單:預先定義的核准或封鎖網址清單,可簡化政策管理作業。
目的地通訊埠:您的 Secure Web Proxy 執行個體傳送流量的網路通訊埠。舉例來說,HTTPS 的通訊埠為
443。完整網址路徑:網站的確切路徑。您必須啟用 TLS 檢查功能,才能查看特定網頁的完整內容。
如要處理 HTTP 和 HTTPS 目的地流量,您可以在應用程式中使用 host 目的地屬性和各種目的地相關屬性,例如 request.*request.method。
如要進一步瞭解可用於 HTTP 和 HTTPS 流量的目的地屬性,請參閱「屬性」。
建立安全性政策
建立閘道安全政策前,請務必完成下列初始設定步驟:
建立政策後,您可以建立規則並新增至政策。如要進一步瞭解如何將政策與 Secure Web Proxy 執行個體建立關聯,請參閱「設定網頁 Proxy」。
控制台
前往 Google Cloud 控制台的「SWP Policies」(SWP 政策) 頁面。
按一下「建立政策」。
輸入要建立的政策名稱,例如
policy1。輸入政策說明,例如
My new swp policy。在「Regions」(區域) 清單中,選取要建立政策的區域,例如
us-central1。如要為政策建立規則,請按一下「新增規則」。 詳情請參閱「建立 Secure Web Proxy 規則」。
點選「建立」。
Cloud Shell
使用偏好的文字編輯器建立
policy.yaml檔案。在您建立的
policy.yaml檔案中新增下列內容:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1更改下列內容:
PROJECT_ID:專案 IDREGION:建立政策的區域,例如us-central1
建立 Secure Web Proxy 政策。
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION