Übersicht: Secure Web Proxy

Mit Secure Web Proxy können Sie den gesamten ausgehenden Webtraffic – HTTP und HTTPS – aus dem internen Netzwerk Ihrer Organisation sichern. Wenn Sie Ihre Clients so konfigurieren, dass sie Secure Web Proxy explizit als Gateway verwenden, ist Secure Web Proxy ein obligatorischer Sicherheitskontrollpunkt für jede Anwendung oder jeden Dienst, der auf eine Website außerhalb Ihrer Organisation zugreifen möchte.

Vorteile

Secure Web Proxy bietet die folgenden wichtigen Vorteile:

  • Keinerlei Wartung erforderlich : Nachdem Sie Ihre Richtlinien festgelegt haben, verwaltet Secure Web Proxy Ihre Server, Patches und die Skalierung, um die Kapazität automatisch an das steigende Trafficvolumen anzupassen.

  • Flexible und wiederverwendbare Regeln : Bei Secure Web Proxy sind Sicherheitsrichtlinien vom Proxy selbst getrennt. Um eine konsistente Verwaltung zu gewährleisten, erstellen Administratoren eine Reihe von Zugriffsregeln und wenden diese auf mehrere Proxys in verschiedenen Teilen Ihrer Organisation an.

  • Starke Standardsicherheit : Secure Web Proxy hat die Standardeinstellung deny-all die den gesamten ausgehenden Traffic blockiert, bis Sie ihn explizit zulassen. Google Cloud übernimmt automatisch alle Software- und Infrastrukturupdates, wodurch das laufende Risiko von Sicherheitslücken minimiert wird.

  • Identitätssensitive Zugriffssteuerung : Da Secure Web Proxy sowohl prüft, woher eine Anfrage kommt (die IP-Adresse), als auch wer die Anfrage stellt (die Nutzer- oder Dienstidentität), basiert der Zugriff auf der Nutzerrolle und den Anforderungen und nicht nur auf dem Netzwerkstandort. Mit Secure Web Proxy können Sie hochspezifische Regeln erstellen, z. B. „Nur Mitglieder des Finanzteams können auf diese Banking-Website zugreifen“.

  • Einheitliches Traffic-Logging und -Auditing : Der gesamte Webtraffic, der über Secure Web Proxy geleitet wird, wird zentral in protokolliert und geprüft Google Cloud. Diese einzige, klare „Source of Truth“ für den gesamten ausgehenden Zugriff hilft Ihnen, Aktivitäten zu verfolgen, Sicherheitsvorfälle zu untersuchen und Compliance-Anforderungen zu erfüllen.

  • Zugriffssteuerung : Secure Web Proxy leitet alle Webanfragen (z. B. beim Besuch einer Website) von Ihren Cloud-Computern und verbundenen Büros über einen zentralen Kontrollpunkt.

  • Vereinfachte Portverwaltung : Optional können Sie alle Ports (von 1 bis 65535) überwachen, wenn Sie Ihre Secure Web Proxy-Instanz als nächsten Hop bereitstellen. Mit dieser Funktion müssen Sie keine bestimmten Ports auflisten. Sie ist nützlich für dynamische Umgebungen oder Dienste, die mehrere Ports verwenden. Informationen zu den Einschränkungen bei der Verwendung der all_ports Funktion finden Sie unter Beschränkungen.

Unterstützte Features

Secure Web Proxy unterstützt die folgenden Features:

  • Autoscaling von Secure Web Proxy-Envoy-Proxys: Secure Web Proxy unterstützt die automatische Anpassung der Envoy-Proxy-Poolgröße und der Pool kapazität in einer Region. So wird eine konsistente Leistung in Zeiten hoher Nachfrage zu den niedrigsten Kosten ermöglicht. Die Autoscaling-Funktion verwaltet Kapazitätsanpassungen in einer Region automatisch. Das bedeutet, dass Sie Ihre Proxy-Flotte nicht manuell überwachen und ihre Größe anpassen müssen. So erzielen Sie eine bessere Leistung bei weniger Betriebszeit.

  • Modulare Richtlinien für ausgehenden Zugriff: Secure Web Proxy verwaltet ausgehenden Traffic durch die folgenden Aktionen:

    • Quellentitäten werden mithilfe von sicheren Tags, Dienstkonten oder IP-Adressen identifiziert.
    • Zielziele werden nach Hostnamen oder URLs gefiltert, wenn Sie die TLS-Prüfung aktivieren oder unverschlüsseltes HTTP verwenden.
    • Anfrageattribute wie Methoden, Header oder URLs werden ausgewertet, wenn der Traffic unverschlüsseltes HTTP ist oder die TLS-Prüfung aktiviert ist.

    Diese modulare Struktur von Richtlinien (Quellen, Ziele und Anfragen) ermöglicht es verschiedenen Teams, spezifische, wiederverwendbare Regelkomponenten zu erstellen und zu verwalten. Ein zentraler Administrator kann eine URL-Liste definieren, auf die mehrere Proxys dann in ihren jeweiligen Richtlinien verweisen können.

  • End-to-End-Verschlüsselung: Client-Proxy-Tunnel können über TLS übertragen werden. Secure Web Proxy unterstützt auch HTTP und HTTPS CONNECT für clientseitige End-to-End-TLS-Verbindungen zum Zielserver.

    Diese wichtige Sicherheitsmaßnahme wird automatisch vom Dienst verwaltet, sodass der Traffic gesichert wird, ohne dass die Verschlüsselungsstandards manuell konfiguriert oder überwacht werden müssen.

  • Cloud-Audit-Logs- und Google Cloud Observability-Integration: Mit Google Cloud Observability werden in Cloud-Audit-Logs sowohl administrative Aktionen (Richtlinienänderungen) als auch Zugriffsanfragen und Messwerte (Proxy-Transaktions logs) für Secure Web Proxy aufgezeichnet. Diese einheitliche, integrierte Ansicht erleichtert das Sicherheitsmonitoring und die Compliance-Berichterstellung.

Funktionsweise von Secure Web Proxy

Secure Web Proxy fungiert als obligatorischer Sicherheitskontrollpunkt für den gesamten Webtraffic vom Netzwerk Ihrer Organisation zum Internet. Interne Arbeitslasten müssen die Sicherheitsregeln von Secure Web Proxy einhalten, bevor sie das Internet erreichen können.

  1. Zentrales Gateway: Ihre Arbeitslasten, z. B. virtuelle Maschinen (VMs) und Container, sind so konfiguriert, dass alle ausgehenden Webanfragen an die zentrale Secure Web Proxy-Instanz gesendet werden.

  2. Richtlinienerzwingung: Der Proxy prüft die Anfrage und wendet Ihre detaillierten Sicherheitsrichtlinien an, um zu bestimmen, ob die Verbindung zugelassen oder abgelehnt werden soll.

  3. Sicherer ausgehender Traffic: Wenn die Anfrage zulässig ist, wird der Traffic über die Infrastruktur, in der Regel Cloud NAT, sicher ins Internet weitergeleitet. Google Cloud Der Proxy verwendet auch Cloud DNS, um externe Webadressen aufzulösen.

Secure Web Proxy-Richtlinien

Eine Secure Web Proxy-Richtlinie definiert den allgemeinen Sicherheitsstandard für eine bestimmte Region oder eine Reihe von Arbeitslasten, da sie der Hauptcontainer ist, in dem alle Ihre Sicherheitsanweisungen gespeichert sind.

Dies sind die wichtigsten Funktionen einer Secure Web Proxy-Richtlinie:

  • Die Standardeinstellung einer Richtlinie ist, den gesamten ausgehenden Traffic abzulehnen. So wird sichergestellt, dass keine Webanfrage Ihr Netzwerk verlässt, es sei denn, Sie lassen sie ausdrücklich zu.

  • Sie können eine einzelne Richtlinie erstellen und sie für mehrere Secure Web Proxy-Instanzen wiederverwenden. So bleiben Ihre Sicherheitsregeln konsistent und effizient.

Weitere Informationen zu Secure Web Proxy-Richtlinien finden Sie in der Übersicht über Richtlinien.

Secure Web Proxy-Regeln

Jede Secure Web Proxy-Richtlinie enthält eine oder mehrere Secure Web Proxy-Regeln. Diese Regeln sind die einzelnen Anweisungen, die genau festlegen, welcher Traffic zugelassen, abgelehnt oder protokolliert werden soll.

Dies sind die wichtigsten Funktionen von Secure Web Proxy-Regeln:

  • Jede Regel ist eine hochspezifische if-then-Anweisung, die eine Webanfrage anhand mehrerer Kriterien prüft:

    • Wer fragt: die Quellidentität, z. B. eine bestimmte VM oder ein Dienstkonto

    • Wo soll es hingehen: die Ziel-URL oder -Domain, z. B. trusted-partner.com

    • Welche Aktion muss ausgeführt werden: Traffic zulassen oder ablehnen

  • Secure Web Proxy-Regeln ermöglichen eine detaillierte Steuerung, mit der Sie durch klare, strukturierte Definitionen unterschiedliche Sicherheitsstandards für verschiedene Teile Ihrer Organisation erzwingen können.

Weitere Informationen zu Secure Web Proxy-Regeln finden Sie in der Übersicht über Regeln.

Bereitstellungsmodi

In diesem Abschnitt werden die verschiedenen Modi beschrieben, in denen Sie Secure Web Proxy bereitstellen können.

Expliziter Proxy-Routingmodus

In diesem Modus müssen Sie Ihre Arbeitslastumgebungen und Clients explizit so konfigurieren, dass sie direkt auf den Proxyserver verweisen. Secure Web Proxy isoliert Ihre Clients dann vom Internet. So fungiert Secure Web Proxy als Vermittler, der neue TCP-Verbindungen für den Client herstellt und dafür sorgt, dass jede Verbindung die Anforderungen der verwalteten Sicherheitsrichtlinie erfüllt. Weitere Informationen zum Bereitstellen des expliziten Proxy-Routingmodus finden Sie unter Secure Web Proxy-Instanz erstellen und bereitstellen.

Das folgende Diagramm zeigt die Rolle von Secure Web Proxy als zentrales, obligatorisches Gateway für Traffic, der die Google Cloud Umgebung verlässt:

Stellen Sie Secure Web Proxy im Modus für explizites Proxy-Routing bereit.
Secure Web Proxy im expliziten Proxy-Routingmodus bereitstellen (zum Vergrößern klicken).

Modus für Private Service Connect-Dienstanhänge

In diesem Modus können Sie Ihre Webproxy-Bereitstellungen in einer komplexen Architektur mit mehreren VPC-Netzwerken (Virtual Private Cloud) zentralisieren. Wenn Sie Ihre Secure Web Proxy-Bereitstellung zentralisieren möchten, wenn mehrere Netzwerke vorhanden sind, verwenden Sie Network Connectivity Center.

Wenn Sie versuchen, Ihre Bereitstellung mit Network Connectivity Center zu skalieren, gibt es einige Einschränkungen. Wenn Sie Secure Web Proxy als Private Service Connect-Dienstanhang bereitstellen, können Sie diese Einschränkungen im Zusammenhang mit der Skalierung beheben.

Wie im folgenden Diagramm dargestellt, wird in diesem Bereitstellungsmodus ein Hub-and-Spoke-Muster erstellt. Bei dieser Bereitstellung verwaltet Secure Web Proxy (der Hub) den ausgehenden Traffic für Arbeitslasten in allen verbundenen VPC-Netzwerken (den Spokes). Weitere Informationen finden Sie unter Secure Web Proxy als Dienstanhang bereitstellen.

Secure Web Proxy als Private Service Connect-Dienstanhang bereitstellen
Secure Web Proxy als Private Service Connect-Dienstanhang bereitstellen (zum Vergrößern klicken).

Modus für nächsten Hop

In diesem Modus können Sie Ihre Secure Web Proxy-Bereitstellung so konfigurieren, dass sie als nächster Hop für das Routing in Ihrem Netzwerk fungiert. Mit anderen Worten: Sie können Ihr Netzwerkrouting so konfigurieren, dass ausgehender Traffic automatisch an Ihre Secure Web Proxy-Instanz gesendet wird. Diese Bereitstellungsmethode reduziert den Verwaltungsaufwand Ihrer Organisation, da Sie nicht jede Quellarbeitslast oder jeden Client manuell für die Verwendung des Proxys konfigurieren müssen.

Weitere Informationen finden Sie unter Secure Web Proxy als nächsten Hop bereitstellen.

Beschränkungen

  • IP-Versionen: Secure Web Proxy unterstützt nur IPv4, IPv6 wird nicht unterstützt.

  • HTTP-Versionen: Secure Web Proxy unterstützt die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0. HTTP/3 wird nicht unterstützt.

  • Bereitstellungsbereich: Secure Web Proxy-Instanzen können nur in einem Hostprojekt, nicht in einem Dienstprojekt bereitgestellt werden.

Weitere Google Cloud Tools

Sie können Secure Web Proxy in die folgenden Google Cloud Tools integrieren, um die allgemeine Sicherheit Ihrer Arbeitslasten und Anwendungen zu verbessern:

  • Mit Google Cloud Armor können Sie Google Cloud Bereitstellungen vor mehreren Bedrohungen schützen, darunter DDoS-Angriffe (Distributed Denial of Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi).

  • Geben Sie VPC-Firewallregeln an, um Verbindungen zu oder von Ihren VM-Instanzen zu sichern.

  • Implementieren Sie VPC Service Controls, um die Daten-Exfiltration aus Google Cloud Diensten wie Cloud Storage und BigQuery zu verhindern.

  • Mit Cloud NAT können Sie für bestimmte Ressourcen ohne externe IP Adresse eine ungesicherte ausgehende Internet verbindung aktivieren. Google Cloud

Nächste Schritte