Halaman ini menjelaskan kebijakan keamanan gateway dan cara membuatnya.
Kebijakan keamanan gateway
Kebijakan keamanan gateway bertindak sebagai penampung terpusat untuk semua aturan keamanan yang mengatur aliran traffic melalui instance Secure Web Proxy Anda. Kebijakan memungkinkan Anda mengelola kontrol akses secara efektif untuk traffic web keluar proxy.
Anda dapat menentukan kebijakan dan mengaitkannya dengan instance Secure Web Proxy. Hal ini membantu memastikan bahwa semua traffic web keluar dari jaringan Anda mematuhi serangkaian standar keamanan yang konsisten.
Kebijakan keamanan gateway didasarkan pada tiga parameter berikut:
Sumber traffic: Secure Web Proxy mengidentifikasi sumber traffic menggunakan berbagai atribut seperti akun layanan, tag aman, dan alamat IP.
Tujuan yang diizinkan: Secure Web Proxy menentukan tujuan yang diizinkan dengan menggunakan domain, jalur URL lengkap (jika pemeriksaan TLS diaktifkan), daftar URL, atau port tujuan.
Detail permintaan: Secure Web Proxy mengevaluasi atribut permintaan seperti protokol, metode HTTP, dan header permintaan. Untuk melakukan analisis ini pada traffic terenkripsi, Anda harus mengaktifkan pemeriksaan TLS.
Atribut sumber
Kebijakan Secure Web Proxy mengidentifikasi sumber traffic menggunakan data identitas cloud dan lokasi jaringan berikut:
- Akun layanan: identitas unik yang ditetapkan ke aplikasi atau beban kerja Anda. Akun layanan memungkinkan Anda membuat kebijakan berdasarkan fungsi spesifik aplikasi.
- Tag aman: label yang dapat Anda terapkan
ke Google Cloud resource seperti instance virtual machine (VM).
Tag memungkinkan Anda mengelompokkan workload berdasarkan fungsi atau lingkungan. Misalnya,
"Izinkan semua resource yang diberi label
Productionuntuk mengakses domain yang disetujui." - Alamat IP: alamat jaringan pengirim. Anda dapat menetapkan alamat IP statis atau perusahaan yang digunakan Secure Web Proxy untuk traffic keluar. Google Cloud
Identitas yang didukung untuk atribut sumber
Secure Web Proxy menggunakan kebijakan berbasis identitas sumber, seperti akun layanan dan tag aman, untuk mengontrol traffic web. Dengan kebijakan ini, Anda dapat menerapkan aturan berdasarkan identitas sumber traffic, bukan hanya alamat IP.
Tabel berikut menunjukkan layanan Google Cloud yang mendukung kebijakan berbasis identitas sumber:
| Google Cloud layanan | Dukungan akun layanan | Dukungan tag aman |
|---|---|---|
| Virtual machine (VM) Compute Engine | ||
| Node Google Kubernetes Engine (GKE) | ||
| Container Google Kubernetes Engine (GKE) | 1 | 1 |
| Direct VPC untuk Cloud Run | 1 | |
| Konektor Akses VPC Serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect di lokasi | 1 | 1 |
| Load Balancer Aplikasi | ||
| Load Balancer Jaringan |
2 Alamat IP sumber bersifat unik dan dapat digunakan sebagai gantinya.
Tabel berikut menunjukkan arsitektur Virtual Private Cloud (VPC) yang mendukung kebijakan keamanan berbasis identitas sumber:
| VPC | Arsitektur VPC | Dukungan |
|---|---|---|
| Dalam VPC | Lintas project (VPC Bersama) | |
| VPC Lintas | Link peering silang (VPC peer) | |
| VPC Lintas | Private Service Connect lintas project | |
| VPC Lintas | Spoke Network Connectivity Center lintas jaringan |
Atribut tujuan
Kebijakan Secure Web Proxy menentukan apakah tujuan disetujui dengan menganalisis atribut berikut dari situs atau layanan target:
Domain tujuan: alamat situs, seperti
example.com.Daftar URL: daftar URL yang disetujui atau diblokir yang telah ditentukan sebelumnya yang menyederhanakan pengelolaan kebijakan.
Port tujuan: port jaringan yang digunakan instance Secure Web Proxy Anda untuk mengirim traffic. Misalnya,
443untuk HTTPS.Jalur URL lengkap: jalur persis situs. Anda harus mengaktifkan pemeriksaan TLS untuk melihat seluruh konten di halaman web tertentu.
Untuk traffic tujuan HTTP dan HTTPS, Anda dapat menggunakan atribut tujuan host dan berbagai atribut terkait tujuan request.*, seperti request.method, untuk aplikasi Anda.
Untuk mengetahui informasi selengkapnya tentang atribut tujuan yang dapat Anda gunakan untuk traffic HTTP dan HTTPS, lihat Atribut.
Membuat kebijakan keamanan
Sebelum membuat kebijakan keamanan gateway, pastikan Anda menyelesaikan langkah-langkah penyiapan awal berikut:
- Mendapatkan peran dan izin Identity and Access Management (IAM)
- Membuat Google Cloud project
- Aktifkan penagihan untuk Google Cloud project Anda
Setelah membuat kebijakan, Anda dapat membuat aturan dan menambahkannya ke kebijakan. Untuk mengetahui informasi selengkapnya tentang cara mengaitkan kebijakan dengan instance Secure Web Proxy, lihat Menyiapkan proxy web.
Konsol
Di konsol Google Cloud , buka halaman SWP Policies.
Klik Buat kebijakan.
Masukkan nama untuk kebijakan yang ingin Anda buat, seperti
policy1.Masukkan deskripsi kebijakan, seperti
My new swp policy.Di daftar Regions, pilih region tempat Anda ingin membuat kebijakan, seperti
us-central1.Jika Anda ingin membuat aturan untuk kebijakan, klik Tambahkan aturan. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan Secure Web Proxy.
Klik Create.
Cloud Shell
Gunakan editor teks pilihan Anda untuk membuat file
policy.yaml.Tambahkan kode berikut ke file
policy.yamlyang Anda buat:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Ganti kode berikut:
PROJECT_ID: ID project AndaREGION: region tempat kebijakan Anda dibuat, sepertius-central1
Buat kebijakan Secure Web Proxy.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Langkah berikutnya
- Aturan keamanan
- Men-deploy Secure Web Proxy sebagai layanan Private Service Connect
- Men-deploy Secure Web Proxy sebagai hop berikutnya