Secure Web Proxy は、組織の内部ネットワークからのすべての送信ウェブ トラフィック(HTTP と HTTPS)を保護します。ゲートウェイとして Secure Web Proxy を明示的に使用するようにクライアントを構成すると、Secure Web Proxy は、組織外のウェブサイトにアクセスしようとするアプリケーションまたはサービスにとって必須のセキュリティ チェックポイントになります。
利点
Secure Web Proxy には、次のような主な利点があります。
メンテナンス不要。ポリシーを設定すると、Secure Web Proxy はサーバー、パッチ適用、スケーリングを管理し、トラフィックの増加に応じて容量を自動的に調整します。
柔軟で再利用可能なルール。Secure Web Proxy では、セキュリティ ポリシーはプロキシ自体とは分離されています。一貫した管理を確保するため、管理者は一連のアクセスルールを作成し、組織のさまざまな部分にある複数のプロキシにルールを適用します。
デフォルトで強固なセキュリティ。Secure Web Proxy には、明示的に許可するまで、すべての送信トラフィックをブロックするデフォルトの
deny-all設定があります。 Google Cloud は、すべてのソフトウェアとインフラストラクチャの更新を自動的に処理するため、セキュリティの脆弱性の継続的なリスクを最小限に抑えます。ID に基づくアクセス制御。Secure Web Proxy は、リクエストの送信元(IP アドレス)とリクエストの送信者(ユーザーまたはサービス ID)をチェックするため、アクセスはネットワークの場所だけでなく、ユーザーのロールとニーズに基づいて行われます。ID は、サービス アカウント、セキュアタグ、または フロントエンド mTLS を使用して検証されたクライアント証明書によって提供される ID にできます。Secure Web Proxy を使用すると、「財務チームのメンバーのみがこの銀行のウェブサイトにアクセスできる」などの非常に具体的なルールを作成できます。
トラフィックのロギングと監査の統合。Secure Web Proxy を通過するすべてのウェブ トラフィックは、 Google Cloud内で一元的にロギングされ、監査されます。すべての送信アクセスに関する単一の明確な信頼できる情報源により、アクティビティの追跡、セキュリティ インシデントの調査、コンプライアンス要件の遵守が可能になります。
一元化された検査。Secure Web Proxy は、クラウド ワークロードと接続されたオフィスからのアウトバウンド ウェブ リクエストを単一の検査ポイントに統合し、一貫したポリシー適用を実現します。
ポート管理の簡素化。Secure Web Proxy インスタンスをネクストホップとしてデプロイするときに、すべてのポート(
1~65535)でリッスンするように設定することもできます。この機能により、特定のポートを列挙する必要がなくなり、複数のポートを使用する動的環境やサービスに便利です。all_ports機能の使用に関する制限事項については、制限事項をご覧ください。
サポートされている機能
Secure Web Proxy は、次の機能をサポートしています。
Secure Web Proxy Envoy プロキシの自動スケーリング: Secure Web Proxy は、Envoy プロキシプールのサイズとリージョン内のプールの容量を自動的に調整します。これにより、需要が高い期間に最も低コストで、一貫したパフォーマンスが可能になります。自動スケーリング機能は、リージョン内の容量調整を自動的に管理します。つまり、プロキシ フリートを手動でモニタリングしてサイズ変更する必要がなくなり、運用時間を短縮しながらパフォーマンスを向上させることができます。
モジュール型アウトバウンド アクセス ポリシー: Secure Web Proxy は、次のアクションを通じてアウトバウンド トラフィックを管理します。
- フロントエンド mTLS で暗号的に検証されたセキュアタグ、サービス アカウント、IP アドレス、クライアント証明書 ID を使用して、ソース エンティティを識別します。
- TLS インスペクションを有効にするか、暗号化されていない HTTP を使用する場合に、ホスト名または URL で宛先ターゲットをフィルタします。
- トラフィックが暗号化されていない HTTP である場合、または TLS インスペクションが有効になっている場合、メソッド、ヘッダー、URL などのリクエスト属性を評価します。
ポリシー(送信元、宛先、リクエスト)のモジュール性により、さまざまなチームが特定の再利用可能なルール コンポーネントを作成して管理できます。中央管理者は、複数のプロキシがそれぞれのポリシーで参照できる URL リストを定義できます。
エンドツーエンドの暗号化: クライアント プロキシ トンネルは TLS を介して転送できます。Secure Web Proxy は、宛先サーバーへのクライアントが開始したエンドツーエンドの TLS 接続用に HTTP と HTTPS
CONNECTもサポートしています。この重要なセキュリティ対策はサービスによって自動的に管理されるため、暗号化基準の手動構成やモニタリングを行わなくてもトラフィックを保護できます。
Cloud Audit Logs と Google Cloud Observability の統合: Google Cloud Observability を使用すると、Cloud Audit Logs は Secure Web Proxy の管理アクション(ポリシーの変更)とアクセス リクエストおよび指標(プロキシ トランザクション ログ)の両方を記録します。この統合された組み込みビューにより、セキュリティ モニタリングとコンプライアンス レポートの作成が容易になります。
グローバル アクセス: Secure Web Proxy では、プロキシ インスタンスの作成時にグローバル アクセスを有効にするオプションが用意されています。この機能を使用すると、特定のローカル リージョンのクライアントだけでなく、任意の Google Cloud リージョンのクライアントがプロキシに接続できるようになります。この機能により、インフラストラクチャの復元力が強化され、カスタマイズされたアウトバウンド トラフィック要件などのクロスリージョン ユースケースがサポートされます。詳細については、Secure Web Proxy のグローバル アクセスを構成するをご覧ください。
Secure Web Proxy の仕組み
Secure Web Proxy は、組織のネットワークからインターネットへのすべてのウェブ トラフィックに対する必須のセキュリティ チェックポイントとして機能します。内部ワークロードがインターネットにアクセスするには、Secure Web Proxy のセキュリティ ルールに準拠する必要があります。
一元化されたゲートウェイ: 仮想マシン(VM)やコンテナなどのワークロードは、すべてのアウトバウンド ウェブ リクエストを一元化された Secure Web Proxy インスタンスに送信するように構成されています。
ポリシーの適用: プロキシはリクエストを検査し、セキュリティ ポリシーを適用して、接続を許可するか拒否するかを決定します。
アウトバウンド トラフィックを保護する: リクエストが許可されると、通常は Cloud NAT である Google Cloudインフラストラクチャを使用して、トラフィックがインターネットに安全にルーティングされます。プロキシは、Cloud DNS を使用して外部ウェブ アドレスを解決します。
ポリシーとルール
Secure Web Proxy インスタンスでは、次のポリシーとルールを構成できます。
認可ポリシー: これらのポリシーを使用すると、Secure Web Proxy インスタンスを介してアウトバウンド リクエストを処理するときに、ID ベースまたは宛先ベースのアクセス制御チェックを確立できます。インターネットにアクセスするソース ワークロードまたはエージェントの ID を検証するように、認証ポリシー(
AuthzPolicy)を構成できます。ゲートウェイ セキュリティ ポリシー: これらのポリシーは、特定のゲートウェイの全体的なセキュリティ標準を定義します。ゲートウェイ セキュリティ ポリシーは、セキュリティ手順のメイン コンテナです。
ゲートウェイ セキュリティ ルール: 各ゲートウェイ セキュリティ ポリシー内で、1 つ以上のゲートウェイ セキュリティ ルールを追加できます。これらのルールは、さまざまな条件に基づいてトラフィックを許可または拒否する個々の手順です。
導入モード
Secure Web Proxy インスタンスは、次のいずれかのモードでデプロイできます。
明示的なプロキシ ルーティング モード: このモードでは、プロキシ サーバーを直接指すようにワークロード環境とクライアントを明示的に構成する必要があります。Secure Web Proxy は、クライアントをインターネットから分離します。このように、Secure Web Proxy は仲介役として機能し、クライアントの新しい TCP 接続を確立して、すべての接続が管理されたセキュリティ ポリシーの要件を満たすようにします。
Private Service Connect サービス アタッチメント モード: このモードでは、複雑なマルチ VPC アーキテクチャ全体でウェブ プロキシのデプロイを集中管理できます。
ネクストホップ モード: このモードでは、ネットワーク内のルーティングのネクストホップとして機能するように Secure Web Proxy インスタンスを構成できます。つまり、アウトバウンド トラフィックを Secure Web Proxy インスタンスに自動的に送信するようにネットワーク ルーティングを構成できます。このデプロイ方法では、各ソース ワークロードまたはクライアントがプロキシを使用するように手動で構成する必要がないため、組織の管理オーバーヘッドが削減されます。
制限事項
IP バージョン: Secure Web Proxy は IPv4 のみをサポートします。IPv6 はサポートされていません。
HTTP バージョン: Secure Web Proxy は、HTTP/0.9、1.0、1.1、2.0 のバージョンをサポートしています。HTTP/3 はサポートされていません。
デプロイ スコープ: Secure Web Proxy インスタンスは、サービス プロジェクトではなく、ホスト プロジェクトにのみデプロイできます。
その他の Google Cloud ツール
Secure Web Proxy を次のツールと統合して、ワークロードとアプリケーションの全体的なセキュリティ体制を強化できます。 Google Cloud
フロントエンド相互 TLS(mTLS)を使用して、Secure Web Proxy が認可ポリシーで検証済みのクライアント ID を構成し、アウトバウンド トラフィックにきめ細かいアクセス制御を適用できるようにします。
Certificate Manager を使用して、Secure Web Proxy へのフロントエンド mTLS 接続でクライアント証明書を検証するために必要なトラスト アンカー(ルート証明書)と中間 CA を管理します。
VPC Service Controls を実装して、Cloud Storage や BigQuery などの Google Cloud サービスからのデータ漏洩を防止します。