Secure Web Proxy 可帮助您保护组织内部网络中的所有出站 Web 流量(HTTP 和 HTTPS)。当您将客户端配置为显式使用 Secure Web Proxy 作为网关时,对于尝试访问组织外部网站的任何应用或服务,Secure Web Proxy 都是强制性安全检查点。
福利
Secure Web Proxy 具有以下主要优势:
零维护 。设置政策后,Secure Web Proxy 会管理您的服务器、补丁和伸缩,以在流量增长时自动调整容量。
灵活且可重复使用的规则 。借助 Secure Web Proxy,安全政策与代理本身是分开的。为了确保管理的一致性,管理员会创建一组访问规则,并将该组规则应用于组织不同部门的多个代理。
强大的默认安全性 。Secure Web Proxy 具有默认的
deny-all设置,该设置会阻止所有出站流量,直到您 明确允许为止。会自动处理所有 软件和基础架构更新,从而最大限度地降低 安全漏洞的持续风险。 Google Cloud身份感知访问权限控制 。由于 Secure Web Proxy 会检查请求的来源(IP 地址)以及发出请求的用户(用户或服务身份),因此访问权限基于用户角色和需求,而不仅仅是网络位置。借助 Secure Web Proxy,您可以创建高度具体的规则,例如“只有财务团队的成员才能访问此银行网站”。
统一的流量日志记录和审核 。通过 Secure Web Proxy 的所有 Web 流量都会在 Google Cloud中集中记录和审核。这种针对所有出站访问的单一明确的事实来源可帮助您跟踪活动、调查安全事件并满足合规性要求。
访问权限控制 。Secure Web Proxy 会将来自云端计算机和已连接办公室的所有 Web 请求(例如访问网站)路由到中央检查点。
简化的端口管理 。您可以选择在将 Secure Web Proxy 实例部署为下一个跃点时侦听所有端口(从
1到65535)。此功能无需枚举特定端口,适用于动态环境或使用多个端口的服务。如需了解与使用all_ports功能相关的限制,请参阅 限制。
支持的功能
Secure Web Proxy 支持以下功能:
自动扩缩 Secure Web Proxy Envoy 代理:Secure Web Proxy 支持自动调整 Envoy 代理池大小和区域中的池容量,从而以最低的成本在需求高峰期实现稳定的性能。自动扩缩功能会自动管理区域中的容量调整。这意味着您无需手动监控和调整代理舰队的大小,从而以更少的运营时间确保更好的性能。
模块化出站访问政策:Secure Web Proxy 通过以下操作管理出站流量:
- 使用安全标记、服务账号或 IP 地址标识来源实体。
- 在启用 TLS 检查或使用未加密的 HTTP 时,按主机名或网址过滤目标。
- 如果流量是未加密的 HTTP 或启用了 TLS 检查,则评估请求属性,例如方法、标头或网址。
政策(来源、目标和请求)的这种模块化特性让各个团队可以创建和管理特定的可重复使用的规则组件。中央管理员可以定义网址列表,然后多个代理可以在其不同的政策中引用该列表。
端到端加密:客户端-代理隧道可以通过 TLS 传输。 Secure Web Proxy 还支持 HTTP 和 HTTPS
CONNECT,用于客户端发起的与目标服务器的端到端 TLS 连接。此关键安全措施由服务自动管理,因此无需手动配置或监控加密标准即可确保流量安全。
Cloud Audit Logs 和 Google Cloud Observability 集成:通过使用 Google Cloud Observability,Cloud Audit Logs 会记录 Secure Web Proxy 的管理操作(政策更改)以及访问请求和指标(代理事务日志)。这种统一的内置视图有助于进行安全监控和合规性报告。
Secure Web Proxy 的工作原理
Secure Web Proxy 充当组织网络到互联网的所有 Web 流量的强制性安全检查点。内部工作负载必须遵守 Secure Web Proxy 安全规则,然后才能访问互联网。
集中式网关:您的工作负载(例如虚拟机 (VM) 和 容器)配置为将所有出站 Web 请求发送到 中央 Secure Web Proxy 实例。
政策强制执行:代理会检查请求并应用您的精细安全政策,以确定是允许还是拒绝连接。
安全出站流量:如果允许该请求,则流量会使用 基础架构(通常是 Cloud NAT)安全地路由到互联网。 Google Cloud 代理还会使用 Cloud DNS 来解析外部网址。
Secure Web Proxy 政策
Secure Web Proxy 政策定义了特定区域或一组工作负载的总体安全标准,因为它是存储所有安全说明的主要容器。
以下是 Secure Web Proxy 政策的主要功能:
政策的默认设置是拒绝所有出站流量,这可确保除非您明确允许,否则不会有任何 Web 请求离开您的网络。
您可以创建一项政策,并在多个 Secure Web Proxy 实例中重复使用该政策,从而确保安全规则的一致性和效率。
如需详细了解 Secure Web Proxy 政策,请参阅 政策概览。
Secure Web Proxy 规则
在每个 Secure Web Proxy 政策中,都有一条或多条 Secure Web Proxy 规则。这些规则是单独的说明,用于确定要允许、拒绝或记录哪些流量。
以下是 Secure Web Proxy 规则的主要功能:
每条规则都是高度具体的
if-then语句,用于根据多个条件检查 Web 请求:请求者:来源身份,例如特定虚拟机或服务账号
尝试访问的目标:目标网址或网域,例如
trusted-partner.com需要采取的操作:允许或拒绝流量
Secure Web Proxy 规则提供精细的控制,让您可以通过清晰的结构化定义,为组织的不同部门强制执行不同的安全标准。
如需详细了解 Secure Web Proxy 规则,请参阅 规则概览。
部署模式
本部分介绍您可以部署 Secure Web Proxy 的各种模式。
显式代理路由模式
在此模式下,您必须明确配置工作负载环境和客户端,以直接指向代理服务器。然后,Secure Web Proxy 会将客户端与互联网隔离开。这样,Secure Web Proxy 充当中间媒介,为客户端建立新的 TCP 连接,并确保每个连接都满足所管理的安全政策的要求。如需详细了解如何部署显式代理路由模式,请参阅 创建和部署 Secure Web Proxy 实例。
下图展示了 Secure Web Proxy 作为环境出站流量的集中式、强制网关的角色: Google Cloud
Private Service Connect 服务连接模式
借助此模式,您可以集中管理复杂的多 Virtual Private Cloud (VPC) 架构中的 Web 代理部署。如需在有多个网络时集中管理 Secure Web Proxy 部署,请使用 Network Connectivity Center。
当您尝试使用 Network Connectivity Center 扩缩部署时,会受到一些 限制。 通过将 Secure Web Proxy 部署为 Private Service Connect 服务连接,您可以解决这些与伸缩相关的限制。
如下图所示,此部署模式会创建中心辐射型模式。在此部署中,Secure Web Proxy(中心)管理所有已连接 VPC 网络(辐射)中工作负载的出站流量。如需了解详情,请参阅 将 Secure Web Proxy 部署为服务连接。
下一个跃点模式
在此模式下,您可以将 Secure Web Proxy Deployment 配置为充当网络中路由的下一个跃点。换句话说,您可以将网络路由配置为自动将出站流量发送到 Secure Web Proxy 实例。此部署方法可减少组织的管理开销,因为您无需手动配置每个来源工作负载或客户端以使用代理。
如需了解详情,请参阅 将 Secure Web Proxy 部署为下一个跃点。
限制
IP 版本:Secure Web Proxy 仅支持 IPv4,不支持 IPv6。
HTTP 版本:Secure Web Proxy 支持 HTTP/0.9、1.0、1.1 和 2.0 版本。不支持 HTTP/3。
部署范围:Secure Web Proxy 实例只能部署在宿主项目中,而不能部署在服务项目中。
其他 Google Cloud 工具注意事项
您可以将 Secure Web Proxy 与以下 Google Cloud 工具集成,以增强工作负载和应用的整体安全状况:
使用 Google Cloud Armor 保护 Google Cloud 部署免受多种威胁,包括 分布式拒绝服务 (DDoS 攻击) 攻击以及 跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等应用攻击。
指定 VPC 防火墙规则,以保护传入或传出虚拟机实例的连接 。
实施 VPC Service Controls,以防止数据从 Google Cloud Cloud Storage 和 BigQuery 等服务中渗漏。
使用 Cloud NAT 为某些没有外部 IP 地址的资源启用不安全的出站互联网 连接。 Google Cloud