Secure Web Proxy는 조직의 내부 네트워크에서 나가는 모든 웹 트래픽(HTTP 및 HTTPS)을 보호하는 데 도움이 됩니다. 명시적으로 Secure Web Proxy를 게이트웨이로 사용하도록 클라이언트를 구성하면 Secure Web Proxy는 조직 외부의 웹사이트에 액세스하려고 하는 모든 애플리케이션 또는 서비스의 필수 보안 검사점이 됩니다.
이점
Secure Web Proxy는 다음과 같은 주요 이점을 제공합니다.
유지보수 불필요. 정책을 설정하면 Secure Web Proxy가 서버, 패치, 확장을 관리하여 트래픽이 증가함에 따라 용량을 자동으로 조정합니다.
유연하고 재사용 가능한 규칙 Secure Web Proxy를 사용하면 보안 정책이 프록시 자체와 분리됩니다. 일관된 관리를 위해 관리자는 액세스 규칙 집합을 만들고 조직의 여러 부분에 걸쳐 여러 프록시에 규칙을 적용합니다.
강력한 기본 보안 Secure Web Proxy에는 명시적으로 허용할 때까지 모든 아웃바운드 트래픽을 차단하는 기본
deny-all설정이 있습니다. Google Cloud 는 모든 소프트웨어 및 인프라 업데이트를 자동으로 처리하여 보안 취약점의 지속적인 위험을 최소화합니다.ID 인식 액세스 제어 보안 웹 프록시는 요청이 어디에서 (IP 주소) 오는지와 누가 요청을 보내는지(사용자 또는 서비스 ID)를 확인하므로 액세스는 네트워크 위치뿐만 아니라 사용자 역할과 필요에 따라 결정됩니다. ID는 서비스 계정, 보안 태그 또는 프런트엔드 mTLS를 사용하여 인증된 클라이언트 인증서에서 제공하는 ID일 수 있습니다. Secure Web Proxy를 사용하면 '재무팀 구성원만 이 은행 웹사이트에 액세스할 수 있습니다'와 같은 매우 구체적인 규칙을 만들 수 있습니다.
통합 트래픽 로깅 및 감사 Secure Web Proxy를 통과하는 모든 웹 트래픽은 Google Cloud내에서 중앙 집중식으로 로깅되고 감사됩니다. 모든 아웃바운드 액세스에 대한 명확한 단일 정보 소스를 통해 활동을 추적하고, 보안 사고를 조사하고, 규정 준수 요구사항을 충족할 수 있습니다.
중앙 집중식 검사 보안 웹 프록시는 클라우드 워크로드와 연결된 사무실의 아웃바운드 웹 요청을 일관된 정책 시행을 위한 단일 검사 지점으로 통합합니다.
간소화된 포트 관리 Secure Web Proxy 인스턴스를 다음 홉으로 배포할 때 모든 포트(
1~65535)에서 수신 대기할 수도 있습니다. 이 기능을 사용하면 특정 포트를 열거할 필요가 없으며 여러 포트를 사용하는 동적 환경이나 서비스에 유용합니다.all_ports기능 사용과 관련된 제한사항에 대한 자세한 내용은 제한사항을 참고하세요.
지원되는 기능
Secure Web Proxy는 다음 기능을 지원합니다.
Secure Web Proxy Envoy 프록시 자동 확장: Secure Web Proxy는 리전 내 Envoy 프록시 풀 크기와 풀의 용량을 자동으로 조정하므로 수요가 많은 기간 동안 최저 비용으로 일관된 성능이 사용 설정됩니다. 자동 확장 기능은 리전의 용량 조정을 자동으로 관리합니다. 즉, 프록시 풀을 수동으로 모니터링하고 크기를 조정할 필요가 없으므로 운영 시간이 단축되어 성능이 향상됩니다.
모듈식 아웃바운드 액세스 정책: Secure Web Proxy는 다음 작업을 통해 아웃바운드 트래픽을 관리합니다.
- 프런트엔드 mTLS로 암호화 방식으로 확인된 보안 태그, 서비스 계정, IP 주소 또는 클라이언트 인증서 ID를 사용하여 소스 엔티티를 식별합니다.
- TLS 검사를 사용 설정하거나 암호화되지 않은 HTTP를 사용하는 경우 호스트 이름 또는 URL로 대상 타겟을 필터링합니다.
- 트래픽이 암호화되지 않은 HTTP이거나 TLS 검사가 사용 설정된 경우 메서드, 헤더, URL과 같은 요청 속성을 평가합니다.
정책 (소스, 대상, 요청)의 이러한 모듈식 특성을 통해 다양한 팀에서 재사용 가능한 특정 규칙 구성요소를 만들고 관리할 수 있습니다. 중앙 관리자는 여러 프록시가 고유한 정책에서 참조할 수 있는 URL 목록을 정의할 수 있습니다.
엔드 투 엔드 암호화: 클라이언트 프록시 터널이 TLS를 통해 전송될 수 있습니다. Secure Web Proxy는 클라이언트에서 시작된 대상 서버에 대한 엔드 투 엔드 TLS 연결의 HTTP 및 HTTPS
CONNECT도 지원합니다.이 중요한 보안 조치는 서비스에서 자동으로 관리하므로 암호화 표준을 수동으로 구성하거나 모니터링하지 않아도 트래픽이 보호됩니다.
Cloud 감사 로그 및 Google Cloud 관측 가능성 통합: Google Cloud Observability를 사용하여 Cloud 감사 로그는 Secure Web Proxy의 관리 작업 (정책 변경)과 액세스 요청 및 측정항목 (프록시 트랜잭션 로그)을 모두 기록합니다. 이 통합된 기본 제공 뷰를 통해 보안 모니터링 및 규정 준수 보고가 간소화됩니다.
전역 액세스: Secure Web Proxy는 프록시 인스턴스를 만들 때 전역 액세스를 사용 설정하는 옵션을 제공합니다. 이 기능을 사용하면 특정 로컬 지역의 클라이언트뿐만 아니라 모든 Google Cloud 지역의 클라이언트가 프록시에 연결할 수 있습니다. 이 기능은 인프라 복원력을 강화하고 맞춤 아웃바운드 트래픽 요구사항과 같은 교차 리전 사용 사례를 지원합니다. 자세한 내용은 Secure Web Proxy의 전역 액세스 구성을 참고하세요.
Secure Web Proxy 작동 방식
Secure Web Proxy는 조직 네트워크에서 인터넷으로 전송되는 모든 웹 트래픽의 필수 보안 체크포인트 역할을 합니다. 내부 워크로드가 인터넷에 연결되려면 Secure Web Proxy 보안 규칙을 준수해야 합니다.
중앙 집중식 게이트웨이: 가상 머신 (VM), 컨테이너와 같은 워크로드가 모든 아웃바운드 웹 요청을 중앙 Secure Web Proxy 인스턴스로 전송하도록 구성됩니다.
정책 시행: 프록시는 요청을 검사하고 보안 정책을 적용하여 연결을 허용할지 거부할지 결정합니다.
아웃바운드 트래픽 보안: 요청이 허용되면 일반적으로 Cloud NAT인 Google Cloud인프라를 사용하여 트래픽이 인터넷으로 안전하게 라우팅됩니다. 프록시는 Cloud DNS를 사용하여 외부 웹 주소를 확인합니다.
정책 및 규칙
Secure Web Proxy 인스턴스에서 다음 정책과 규칙을 구성할 수 있습니다.
승인 정책: 이러한 정책을 사용하면 Secure Web Proxy 인스턴스를 통해 아웃바운드 요청을 처리할 때 ID 기반 또는 대상 기반 액세스 제어 검사를 설정할 수 있습니다. 인터넷에 액세스하는 소스 워크로드 또는 에이전트의 ID를 검증하도록 승인 정책(
AuthzPolicy)을 구성할 수 있습니다.게이트웨이 보안 정책: 이러한 정책은 특정 게이트웨이의 전반적인 보안 표준을 정의합니다. 게이트웨이 보안 정책은 보안 안내의 기본 컨테이너입니다.
게이트웨이 보안 규칙: 모든 게이트웨이 보안 정책 내에서 하나 이상의 게이트웨이 보안 규칙을 추가할 수 있습니다. 이러한 규칙은 다양한 기준에 따라 트래픽을 허용하거나 거부하는 개별 명령어입니다.
배포 모드
다음 모드 중 하나로 Secure Web Proxy 인스턴스를 배포할 수 있습니다.
명시적 프록시 라우팅 모드: 이 모드에서는 프록시 서버를 직접 가리키도록 워크로드 환경과 클라이언트를 명시적으로 구성해야 합니다. 그런 다음 Secure Web Proxy는 인터넷에서 클라이언트를 격리합니다. 이러한 방식으로 Secure Web Proxy는 중개자 역할을 하여 클라이언트를 위한 새 TCP 연결을 설정하고 모든 연결이 관리되는 보안 정책의 요구사항을 충족하도록 합니다.
Private Service Connect 서비스 연결 모드: 이 모드에서는 복잡한 다중 VPC 아키텍처 전반에서 웹 프록시 배포를 중앙 집중화할 수 있습니다.
다음 홉 모드: 이 모드에서는 Secure Web Proxy 인스턴스가 네트워크 라우팅의 다음 홉으로 작동하도록 구성할 수 있습니다. 즉, 아웃바운드 트래픽이 Secure Web Proxy 인스턴스로 자동 전송되도록 네트워크 라우팅을 구성할 수 있습니다. 이 배포 방법을 사용하면 프록시를 사용하도록 각 소스 워크로드 또는 클라이언트를 수동으로 구성할 필요가 없으므로 조직의 관리 오버헤드가 줄어듭니다.
제한사항
IP 버전: Secure Web Proxy는 IPv4만 지원하며 IPv6는 지원되지 않습니다.
HTTP 버전: Secure Web Proxy는 HTTP/0.9, 1.0, 1.1, 2.0 버전을 지원합니다. HTTP/3은 지원되지 않습니다.
배포 범위: Secure Web Proxy 인스턴스는 서비스 프로젝트가 아닌 호스트 프로젝트에만 배포할 수 있습니다.
고려할 만한 추가 Google Cloud 도구
다음 Google Cloud 도구와 Secure Web Proxy를 통합하여 워크로드 및 애플리케이션의 전반적인 보안 상황을 강화할 수 있습니다.
프런트엔드 상호 TLS(mTLS)를 사용하여 보안 웹 프록시가 승인 정책에서 검증된 클라이언트 ID를 구성하고 아웃바운드 트래픽에 대해 세분화된 액세스 제어를 적용하도록 합니다.
인증서 관리자를 사용하여 Secure Web Proxy에 대한 프런트엔드 mTLS 연결에서 클라이언트 인증서의 유효성을 검사하는 데 필요한 신뢰 앵커 (루트 인증서)와 중간 CA를 관리합니다.
VPC 서비스 제어를 구현하여 Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 데이터 무단 반출을 방지합니다.