Secure Web Proxy membantu Anda mengamankan semua traffic web keluar—HTTP dan HTTPS—dari jaringan internal organisasi Anda. Saat Anda mengonfigurasi klien untuk menggunakan Secure Web Proxy secara eksplisit sebagai gateway, Secure Web Proxy adalah titik pemeriksaan keamanan wajib untuk aplikasi atau layanan apa pun yang mencoba mengakses situs di luar organisasi Anda.
Manfaat
Secure Web Proxy memberikan manfaat utama berikut:
Tak perlu pemeliharaan. Setelah Anda menetapkan kebijakan, Secure Web Proxy akan mengelola server, patching, dan penskalaan untuk menyesuaikan kapasitas secara otomatis seiring pertumbuhan traffic Anda.
Aturan yang fleksibel dan dapat digunakan kembali. Dengan Secure Web Proxy, kebijakan keamanan terpisah dari proxy itu sendiri. Untuk membantu memastikan pengelolaan yang konsisten, administrator membuat serangkaian aturan akses dan menerapkan serangkaian aturan tersebut ke beberapa proxy di berbagai bagian organisasi Anda.
Keamanan default yang kuat. Secure Web Proxy memiliki setelan
deny-alldefault yang memblokir semua traffic keluar hingga Anda mengizinkannya secara eksplisit. Google Cloud Secara otomatis menangani semua update software dan infrastruktur, yang meminimalkan risiko berkelanjutan kerentanan keamanan.Kontrol akses yang mendukung identitas. Karena Secure Web Proxy memeriksa dari mana permintaan berasal (alamat IP) dan siapa yang membuat permintaan (identitas pengguna atau layanan), akses didasarkan pada peran dan kebutuhan pengguna, bukan hanya lokasi jaringan. Secure Web Proxy memungkinkan Anda membuat aturan yang sangat spesifik, seperti "Hanya anggota tim Keuangan yang dapat mengakses situs perbankan ini".
Audit dan pencatatan log traffic terpadu. Semua traffic web yang melewati Secure Web Proxy dicatat dan diaudit secara terpusat dalam Google Cloud. Sumber kebenaran tunggal yang jelas untuk semua akses keluar ini membantu Anda melacak aktivitas, menyelidiki insiden keamanan, dan memenuhi persyaratan kepatuhan.
Kontrol akses. Secure Web Proxy merutekan semua permintaan web (seperti membuka situs) dari komputer cloud dan kantor yang terhubung untuk melewati titik pemeriksaan pusat.
Fitur yang didukung
Secure Web Proxy mendukung fitur berikut:
Penskalaan otomatis proxy Envoy Secure Web Proxy: Secure Web Proxy mendukung penyesuaian ukuran kumpulan proxy Envoy dan kapasitas kumpulan secara otomatis di suatu region, yang memungkinkan performa yang konsisten selama periode permintaan tinggi dengan biaya terendah. Fitur penskalaan otomatis mengelola penyesuaian kapasitas secara otomatis dalam suatu region. Artinya, Anda tidak perlu memantau dan mengubah ukuran armada proxy secara manual, sehingga memastikan performa yang lebih baik dengan waktu operasional yang lebih singkat.
Kebijakan akses keluar modular: Secure Web Proxy mengelola traffic keluar melalui tindakan berikut:
- Mengidentifikasi entitas sumber menggunakan tag aman, akun layanan, atau alamat IP.
- Memfilter target tujuan menurut nama host atau URL saat Anda mengaktifkan inspeksi TLS atau menggunakan HTTP yang tidak dienkripsi.
- Mengevaluasi atribut permintaan seperti metode, header, atau URL jika traffic adalah HTTP yang tidak dienkripsi atau jika pemeriksaan TLS diaktifkan.
Sifat modular kebijakan ini (sumber, tujuan, dan permintaan) memungkinkan berbagai tim membuat dan mengelola komponen aturan spesifik yang dapat digunakan kembali. Administrator pusat dapat menentukan daftar URL yang kemudian dapat dirujuk oleh beberapa proxy dalam kebijakan yang berbeda.
Enkripsi end-to-end: tunnel client-proxy dapat ditransit melalui TLS. Secure Web Proxy juga mendukung HTTP dan HTTPS
CONNECTuntuk koneksi TLS end-to-end yang dimulai klien ke server tujuan.Tindakan keamanan penting ini dikelola secara otomatis oleh layanan sehingga traffic diamankan tanpa memerlukan konfigurasi atau pemantauan standar enkripsi secara manual.
Integrasi Cloud Audit Logs dan Google Cloud Observability: dengan menggunakan Google Cloud Observability, Cloud Audit Logs mencatat tindakan administratif (perubahan kebijakan) dan permintaan akses serta metrik (log transaksi proxy) untuk Secure Web Proxy. Tampilan bawaan yang terpadu ini memfasilitasi pemantauan keamanan dan pelaporan kepatuhan.
Cara kerja Secure Web Proxy
Secure Web Proxy bertindak sebagai titik pemeriksaan keamanan wajib untuk semua traffic web dari jaringan organisasi Anda ke internet. Beban kerja internal harus mematuhi aturan keamanan Secure Web Proxy sebelum dapat mengakses internet.
Gateway terpusat: workload Anda, seperti mesin virtual (VM) dan container dikonfigurasi untuk mengirim semua permintaan web keluar ke instance Secure Web Proxy terpusat.
Penerapan kebijakan: proxy memeriksa permintaan dan menerapkan kebijakan keamanan terperinci Anda untuk menentukan apakah akan mengizinkan atau menolak koneksi.
Mengamankan traffic keluar: jika permintaan diizinkan, traffic akan dirutekan keluar ke internet secara aman menggunakan infrastruktur Google Cloud, biasanya Cloud NAT. Proxy juga menggunakan Cloud DNS untuk me-resolve alamat web eksternal.
Kebijakan Secure Web Proxy
Kebijakan Secure Web Proxy menentukan standar keamanan keseluruhan untuk wilayah atau set workload tertentu karena merupakan penampung utama yang menyimpan semua petunjuk keamanan Anda.
Berikut adalah fitur utama kebijakan Secure Web Proxy:
Setelan default kebijakan adalah menolak semua traffic keluar, yang memastikan tidak ada permintaan web yang keluar dari jaringan Anda kecuali jika Anda secara khusus mengizinkannya.
Anda dapat membuat satu kebijakan dan menggunakannya kembali di beberapa instance Secure Web Proxy, sehingga aturan keamanan Anda tetap konsisten dan efisien.
Untuk mengetahui informasi selengkapnya tentang kebijakan Secure Web Proxy, lihat Ringkasan kebijakan.
Aturan Secure Web Proxy
Dalam setiap kebijakan Secure Web Proxy, terdapat satu atau beberapa aturan Secure Web Proxy. Aturan ini adalah petunjuk individual yang menentukan secara persis traffic yang akan diizinkan, ditolak, atau dicatat.
Berikut adalah fitur utama aturan Secure Web Proxy:
Setiap aturan adalah pernyataan
if-thenyang sangat spesifik yang memeriksa permintaan web terhadap beberapa kriteria:Siapa yang bertanya: identitas sumber, seperti VM atau akun layanan tertentu
Ke mana mereka mencoba membuka: URL atau domain tujuan, seperti
trusted-partner.comTindakan yang perlu diambil: mengizinkan atau menolak traffic
Aturan Secure Web Proxy memberikan kontrol terperinci, sehingga Anda dapat menerapkan standar keamanan yang berbeda untuk berbagai bagian organisasi dengan menggunakan definisi yang jelas dan terstruktur.
Untuk mengetahui informasi selengkapnya tentang aturan Secure Web Proxy, lihat Ringkasan aturan.
Mode deployment
Bagian ini menjelaskan berbagai mode yang dapat Anda gunakan untuk men-deploy Secure Web Proxy.
Mode perutean proxy eksplisit
Dalam mode ini, Anda harus mengonfigurasi lingkungan dan klien workload secara eksplisit agar mengarah langsung ke server proxy. Secure Web Proxy kemudian mengisolasi klien Anda dari internet. Dengan cara ini, Secure Web Proxy bertindak sebagai perantara, membuat koneksi TCP baru untuk klien dan memastikan bahwa setiap koneksi memenuhi persyaratan kebijakan keamanan yang dikelola. Untuk mengetahui informasi selengkapnya tentang cara men-deploy mode pemilihan rute proxy eksplisit, lihat Membuat dan men-deploy instance Secure Web Proxy.
Diagram berikut menunjukkan peran Secure Web Proxy sebagai gateway terpusat dan wajib untuk traffic yang keluar dari lingkungan Google Cloud :
Mode lampiran layanan Private Service Connect
Dengan mode ini, Anda dapat memusatkan deployment proxy web di seluruh arsitektur multi-Virtual Private Cloud (VPC) yang kompleks. Untuk memusatkan deployment Secure Web Proxy saat ada beberapa jaringan, gunakan Network Connectivity Center.
Saat Anda mencoba menskalakan deployment dengan Network Connectivity Center, ada beberapa batasan. Dengan men-deploy Secure Web Proxy sebagai lampiran layanan Private Service Connect, Anda dapat mengatasi batasan terkait penskalaan tersebut.
Seperti yang ditunjukkan dalam diagram berikut, mode deployment ini membuat pola hub dan spoke. Dalam deployment ini, Secure Web Proxy (hub) mengelola traffic keluar untuk workload di semua jaringan VPC yang terhubung (spoke). Untuk mengetahui informasi selengkapnya, lihat Men-deploy Secure Web Proxy sebagai lampiran layanan.
Mode hop berikutnya
Dalam mode ini, Anda dapat mengonfigurasi deployment Secure Web Proxy untuk bertindak sebagai next hop untuk perutean di jaringan Anda. Dengan kata lain, Anda dapat mengonfigurasi perutean jaringan untuk otomatis mengirim traffic keluar ke instance Secure Web Proxy. Metode deployment ini mengurangi beban administratif organisasi Anda karena Anda tidak perlu mengonfigurasi setiap workload atau klien sumber secara manual untuk menggunakan proxy.
Untuk mengetahui informasi selengkapnya, lihat Men-deploy Secure Web Proxy sebagai next hop.
Batasan
Versi IP: Secure Web Proxy hanya mendukung IPv4, IPv6 tidak didukung.
Versi HTTP: Secure Web Proxy mendukung versi HTTP/0.9, 1.0, 1.1, dan 2.0. HTTP/3 tidak didukung.
Cakupan deployment: Instance Secure Web Proxy hanya dapat di-deploy di project host, bukan di project layanan.
Alat Google Cloud tambahan yang perlu dipertimbangkan
Anda dapat mengintegrasikan Secure Web Proxy dengan Google Cloud alat berikut untuk meningkatkan postur keamanan keseluruhan workload dan aplikasi Anda:
Gunakan Google Cloud Armor untuk melindungi deploymentGoogle Cloud dari berbagai ancaman, termasuk serangan distributed denial-of-service (DDoS) dan serangan aplikasi seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL (SQLi).
Tentukan aturan firewall VPC untuk mengamankan koneksi ke atau dari instance VM Anda.
Terapkan Kontrol Layanan VPC untuk mencegah pemindahan data yang tidak sah dari layanan Google Cloud , seperti Cloud Storage dan BigQuery.
Gunakan Cloud NAT untuk mengaktifkan konektivitas internet keluar yang tidak aman bagi resource Google Cloud tertentu tanpa alamat IP eksternal.