Mit Secure Web Proxy können Sie den gesamten ausgehenden Webtraffic – HTTP und HTTPS – aus dem internen Netzwerk Ihrer Organisation sichern. Wenn Sie Ihre Clients so konfigurieren, dass sie Secure Web Proxy explizit als Gateway verwenden, ist Secure Web Proxy ein obligatorischer Sicherheitskontrollpunkt für jede Anwendung oder jeden Dienst, der versucht, auf eine Website außerhalb Ihrer Organisation zuzugreifen.
Vorteile
Secure Web Proxy bietet die folgenden wichtigen Vorteile:
Keinerlei Wartung erforderlich : Nachdem Sie Ihre Richtlinien festgelegt haben, verwaltet Secure Web Proxy Ihre Server, Patches und die Skalierung, um die Kapazität automatisch an das steigende Trafficvolumen anzupassen.
Flexible und wiederverwendbare Regeln : Bei Secure Web Proxy sind Sicherheitsrichtlinien vom Proxy selbst getrennt. Um eine konsistente Verwaltung zu gewährleisten, erstellen Administratoren eine Reihe von Zugriffsregeln und wenden sie auf mehrere Proxys in verschiedenen Teilen Ihrer Organisation an.
Starke Standardsicherheit : Secure Web Proxy hat die Standardeinstellung
deny-alldie den gesamten ausgehenden Traffic blockiert, bis Sie ihn explizit zulassen. Google Cloud Alle Software- und Infrastrukturupdates werden automatisch verarbeitet, wodurch das laufende Risiko von Sicherheitslücken minimiert wird.Identitätssensitive Zugriffssteuerung : Da Secure Web Proxy prüft, woher eine Anfrage kommt (die IP-Adresse) und wer die Anfrage stellt (die Nutzer- oder Dienstidentität), basiert der Zugriff auf der Nutzerrolle und dem Bedarf und nicht nur auf dem Netzwerkstandort. Die Identität kann ein Dienstkonto, ein sicheres Tag oder eine beliebige Identität sein, die von einem Client zertifikat bereitgestellt wird, das mit Frontend mTLS überprüft wird. Mit Secure Web Proxy können Sie sehr spezifische Regeln erstellen, z. B. „Nur Mitglieder des Finanzteams können auf diese Bankwebsite zugreifen“.
Einheitliches Traffic-Logging und -Auditing : Der gesamte Webtraffic, der über Secure Web Proxy geleitet wird, wird zentral in Cloud Logging protokolliert und geprüft Google Cloud. Diese einzige, klare Quelle der Wahrheit für alle ausgehenden Zugriffe hilft Ihnen, Aktivitäten zu verfolgen, Sicherheitsvorfälle zu untersuchen und Compliance-Anforderungen zu erfüllen.
Zentrale Prüfung : Secure Web Proxy konsolidiert ausgehende Webanfragen von Ihren Cloud-Arbeitslasten und verbundenen Büros an einem einzigen Prüfpunkt, um eine konsistente Richtliniendurchsetzung zu gewährleisten.
Vereinfachte Portverwaltung : Optional können Sie alle Ports (von
1bis65535) überwachen, wenn Sie Ihre Secure Web Proxy-Instanz als nächsten Hop bereitstellen. Mit dieser Funktion müssen Sie keine bestimmten Ports auflisten und sie ist nützlich für dynamische Umgebungen oder Dienste, die mehrere Ports verwenden. Informationen zu den Einschränkungen bei der Verwendung derall_portsFunktion finden Sie unter Beschränkungen.
Unterstützte Features
Secure Web Proxy unterstützt die folgenden Features:
Autoscaling von Secure Web Proxy-Envoy-Proxys: Secure Web Proxy unterstützt die automatische Anpassung der Envoy-Proxy-Poolgröße und der Pool kapazität in einer Region. So wird eine konsistente Leistung in Zeiten hoher Nachfrage zu den niedrigsten Kosten ermöglicht. Die Autoscaling-Funktion verwaltet Kapazitätsanpassungen in einer Region automatisch. Das bedeutet, dass Sie Ihre Proxyflotte nicht manuell überwachen und ihre Größe anpassen müssen. So erzielen Sie eine bessere Leistung bei weniger Betriebszeit.
Modulare Richtlinien für ausgehenden Zugriff: Secure Web Proxy verwaltet ausgehenden Traffic durch die folgenden Aktionen:
- Quellentitäten werden mithilfe von sicheren Tags, Dienstkonten, IP-Adressen oder Identitäten von Clientzertifikaten identifiziert, die mit Frontend-mTLS kryptografisch überprüft wurden.
- Zielziele werden nach Hostnamen oder URLs gefiltert, wenn Sie die TLS-Prüfung aktivieren oder unverschlüsseltes HTTP verwenden.
- Anfrageattribute wie Methoden, Header oder URLs werden ausgewertet, wenn der Traffic unverschlüsseltes HTTP ist oder die TLS-Prüfung aktiviert ist.
Diese modulare Struktur von Richtlinien (Quellen, Ziele und Anfragen) ermöglicht es verschiedenen Teams, spezifische, wiederverwendbare Regelkomponenten zu erstellen und zu verwalten. Ein zentraler Administrator kann eine URL-Liste definieren, auf die mehrere Proxys dann in ihren unterschiedlichen Richtlinien verweisen können.
End-to-End-Verschlüsselung: Client-Proxy-Tunnel können über TLS übertragen werden. Secure Web Proxy unterstützt auch HTTP und HTTPS
CONNECTfür clientseitige End-to-End-TLS-Verbindungen zum Zielserver.Diese wichtige Sicherheitsmaßnahme wird automatisch vom Dienst verwaltet, sodass der Traffic gesichert wird, ohne dass die Verschlüsselungsstandards manuell konfiguriert oder überwacht werden müssen.
Cloud-Audit-Logs- und Google Cloud Observability-Integration: Mit Google Cloud Observability werden in Cloud-Audit-Logs sowohl administrative Aktionen (Richtlinienänderungen) als auch Zugriffsanfragen und Messwerte (Proxy-Transaktions logs) für Secure Web Proxy aufgezeichnet. Diese einheitliche, integrierte Ansicht erleichtert das Sicherheitsmonitoring und die Compliance-Berichterstellung.
Globaler Zugriff: Secure Web Proxy bietet die Möglichkeit, beim Erstellen einer Proxy-Instanz den globalen Zugriff zu aktivieren. Mit dieser Funktion können Sie Clients aus jeder Google Cloud Region eine Verbindung zum Proxy erlauben, nicht nur Clients in einer bestimmten lokalen Region. Diese Funktion verbessert die Infrastrukturresilienz und unterstützt regionsübergreifende Anwendungsfälle wie benutzerdefinierte Anforderungen an den ausgehenden Traffic. Weitere Informationen finden Sie unter Globalen Zugriff für Secure Web Proxy konfigurieren.
Funktionsweise von Secure Web Proxy
Secure Web Proxy fungiert als obligatorischer Sicherheitskontrollpunkt für den gesamten Webtraffic vom Netzwerk Ihrer Organisation zum Internet. Interne Arbeitslasten müssen die Sicherheitsregeln von Secure Web Proxy einhalten, bevor sie das Internet erreichen können.
Zentrales Gateway: Ihre Arbeitslasten wie virtuelle Maschinen (VMs) und Container sind so konfiguriert, dass alle ausgehenden Webanfragen an die zentrale Secure Web Proxy-Instanz gesendet werden.
Richtliniendurchsetzung: Der Proxy prüft die Anfrage und wendet Ihre Sicherheitsrichtlinien an, um zu bestimmen, ob die Verbindung zugelassen oder abgelehnt werden soll.
Sicherer ausgehender Traffic: Wenn die Anfrage zulässig ist, wird der Traffic sicher über die Infrastruktur, in der Regel Cloud NAT, ins Internet weitergeleitet. Google Cloud Der Proxy verwendet auch Cloud DNS, um externe Webadressen aufzulösen.
Richtlinien und Regeln
Sie können die folgenden Richtlinien und Regeln in Ihrer Secure Web Proxy-Instanz konfigurieren:
Autorisierungsrichtlinien: Mit diesen Richtlinien können Sie identitätsbasierte oder zielbasierte Zugriffs steuerungsprüfungen einrichten, wenn ausgehende Anfragen über Ihre Secure Web Proxy Instanz verarbeitet werden. Sie können Autorisierungsrichtlinien (
AuthzPolicy) konfigurieren, um die Identität einer Quellarbeitslast oder eines Agents zu validieren, der auf das Internet zugreift.Gateway-Sicherheitsrichtlinien: Diese Richtlinien definieren den allgemeinen Sicherheitsstandard für ein bestimmtes Gateway. Eine Gateway-Sicherheitsrichtlinie ist der Hauptcontainer für Ihre Sicherheitsanweisungen.
Gateway-Sicherheitsregeln: In jeder Gateway-Sicherheitsrichtlinie können Sie eine oder mehrere Gateway-Sicherheits regeln hinzufügen. Diese Regeln sind die einzelnen Anweisungen, die Traffic anhand verschiedener Kriterien zulassen oder ablehnen.
Bereitstellungsmodi
Sie können Ihre Secure Web Proxy-Instanz in einem der folgenden Modi bereitstellen:
Expliziter Proxy-Routingmodus: In diesem Modus müssen Sie Ihre Arbeitslastumgebungen und Clients explizit so konfigurieren, dass sie direkt auf den Proxyserver verweisen. Secure Web Proxy isoliert Ihre Clients dann vom Internet. Auf diese Weise fungiert Secure Web Proxy als Vermittler, der neue TCP-Verbindungen für den Client herstellt und dafür sorgt, dass jede Verbindung die Anforderungen der verwalteten Sicherheitsrichtlinie erfüllt.
Private Service Connect-Dienstanhangmodus: In diesem Modus können Sie Ihre Web-Proxy-Bereitstellungen in einer komplexen Multi-VPC-Architektur zentralisieren.
Modus „Nächster Hop“: In diesem Modus können Sie Ihre Secure Web Proxy-Instanz so konfigurieren, dass sie als nächster Hop für das Routing in Ihrem Netzwerk fungiert. Mit anderen Worten: Sie können das Netzwerkrouting so konfigurieren, dass ausgehender Traffic automatisch an Ihre Secure Web Proxy-Instanz gesendet wird. Diese Bereitstellungsmethode reduziert den Verwaltungsaufwand Ihrer Organisation, da Sie nicht jede Quellarbeitslast oder jeden Client manuell für die Verwendung des Proxys konfigurieren müssen.
Beschränkungen
IP-Versionen: Secure Web Proxy unterstützt nur IPv4. IPv6 wird nicht unterstützt.
HTTP-Versionen: Secure Web Proxy unterstützt die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0. HTTP/3 wird nicht unterstützt.
Bereitstellungsbereich: Sie können eine Secure Web Proxy-Instanz nur in einem Hostprojekt, nicht in einem Dienstprojekt bereitstellen.
Zusätzliche Google Cloud Tools
Sie können Secure Web Proxy in die folgenden Google Cloud Tools einbinden, um die allgemeine Sicherheit Ihrer Arbeitslasten und Anwendungen zu verbessern:
Verwenden Sie Frontend-mTLS , damit Secure Web Proxy validierte Clientidentitäten in Autorisierungsrichtlinien konfigurieren und eine detaillierte Zugriffssteuerung für ausgehenden Traffic erzwingen kann.
Verwenden Sie Zertifikatmanager, um die Trust-Anchor (Root-Zertifikate) und Zwischen-CAs zu verwalten, die zum Validieren von Clientzertifikaten in Frontend-mTLS-Verbindungen zu Secure Web Proxy erforderlich sind.
Implementieren Sie VPC Service Controls, um die Daten-Exfiltration aus Google Cloud Diensten wie Cloud Storage und BigQuery zu verhindern.