Secure Web Proxy は、組織の内部ネットワークからのすべての送信ウェブ トラフィック(HTTP と HTTPS)を保護します。ゲートウェイとして Secure Web Proxy を明示的に使用するようにクライアントを構成すると、Secure Web Proxy は、組織外のウェブサイトにアクセスしようとするアプリケーションまたはサービスにとって必須のセキュリティ チェックポイントになります。
利点
Secure Web Proxy には、次のような主な利点があります。
メンテナンス不要。ポリシーを設定すると、Secure Web Proxy がサーバー、パッチ適用、スケーリングを管理し、トラフィックの増加に応じて容量を自動的に調整します。
柔軟で再利用可能なルール。Secure Web Proxy では、セキュリティ ポリシーはプロキシ自体とは分離されています。一貫した管理を確保するために、管理者は一連のアクセスルールを作成し、組織のさまざまな部分にある複数のプロキシに適用します。
デフォルトで強力なセキュリティ。Secure Web Proxy には、明示的に許可するまで、すべての送信トラフィックをブロックするデフォルトの
deny-all設定があります。 Google Cloud は、すべてのソフトウェアとインフラストラクチャの更新を自動的に処理するため、セキュリティの脆弱性の継続的なリスクを最小限に抑えます。ID 認識アクセス制御。Secure Web Proxy は、リクエストの送信元(IP アドレス)とリクエストの送信者(ユーザーまたはサービス ID)の両方を確認するため、アクセスはネットワークの場所だけでなく、ユーザーのロールとニーズに基づいて行われます。Secure Web Proxy を使用すると、「財務チームのメンバーのみがこの銀行のウェブサイトにアクセスできる」などの非常に具体的なルールを作成できます。
トラフィックのロギングと監査の統合。Secure Web Proxy を通過するすべてのウェブ トラフィックは、 Google Cloud内で一元的にロギングされ、監査されます。すべての送信アクセスに関する単一の明確な信頼できる情報源により、アクティビティの追跡、セキュリティ インシデントの調査、コンプライアンス要件の遵守に役立ちます。
アクセス制御。Secure Web Proxy は、クラウド コンピュータと接続されたオフィスからのすべてのウェブ リクエスト(ウェブサイトへのアクセスなど)をルーティングして、中央の検査ポイントを通過させます。
サポートされている機能
Secure Web Proxy は、次の機能をサポートしています。
Secure Web Proxy Envoy プロキシの自動スケーリング: Secure Web Proxy は、Envoy プロキシプールのサイズとリージョン内のプールの容量を自動的に調整します。これにより、需要が高い期間に最も低コストで、一貫したパフォーマンスが可能になります。自動スケーリング機能は、リージョン内の容量調整を自動的に管理します。つまり、プロキシ フリートを手動でモニタリングしてサイズ変更する必要がなくなり、運用時間を短縮しながらパフォーマンスを向上させることができます。
モジュール型アウトバウンド アクセス ポリシー: Secure Web Proxy は、次のアクションを通じてアウトバウンド トラフィックを管理します。
- セキュアタグ、サービス アカウント、IP アドレスを使用して、ソース エンティティを識別します。
- TLS インスペクションを有効にするか、暗号化されていない HTTP を使用する場合に、ホスト名または URL で宛先ターゲットをフィルタします。
- トラフィックが暗号化されていない HTTP である場合、または TLS インスペクションが有効になっている場合に、メソッド、ヘッダー、URL などのリクエスト属性を評価します。
ポリシー(送信元、宛先、リクエスト)のモジュール性により、さまざまなチームが特定の再利用可能なルール コンポーネントを作成して管理できます。中央管理者は、複数のプロキシがそれぞれのポリシーで参照できる URL リストを定義できます。
エンドツーエンドの暗号化: クライアント プロキシ トンネルは TLS を介して転送できます。Secure Web Proxy は、宛先サーバーへのクライアントが開始したエンドツーエンドの TLS 接続用に HTTP と HTTPS
CONNECTもサポートしています。この重要なセキュリティ対策はサービスによって自動的に管理されるため、暗号化基準の手動構成やモニタリングを行わなくてもトラフィックを保護できます。
Cloud Audit Logs と Google Cloud Observability の統合: Google Cloud Observability を使用すると、Cloud Audit Logs は Secure Web Proxy の管理アクション(ポリシーの変更)とアクセス リクエストおよび指標(プロキシ トランザクション ログ)の両方を記録します。この統合された組み込みビューにより、セキュリティ モニタリングとコンプライアンス レポートの作成が容易になります。
Secure Web Proxy の仕組み
Secure Web Proxy は、組織のネットワークからインターネットへのすべてのウェブ トラフィックに対する必須のセキュリティ チェックポイントとして機能します。内部ワークロードがインターネットにアクセスするには、Secure Web Proxy のセキュリティ ルールに準拠する必要があります。
一元化されたゲートウェイ: 仮想マシン(VM)やコンテナなどのワークロードが、すべてのアウトバウンド ウェブ リクエストを一元化された Secure Web Proxy インスタンスに送信するように構成されています。
ポリシーの適用: プロキシはリクエストを検査し、きめ細かいセキュリティ ポリシーを適用して、接続を許可するか拒否するかを決定します。
アウトバウンド トラフィックを保護する: リクエストが許可されると、通常は Cloud NAT である Google Cloudインフラストラクチャを使用して、トラフィックがインターネットに安全にルーティングされます。プロキシは、Cloud DNS を使用して外部ウェブ アドレスを解決します。
Secure Web Proxy ポリシー
セキュア ウェブ プロキシ ポリシーは、すべてのセキュリティ手順を保存するメイン コンテナであるため、特定のリージョンまたはワークロードのセットの全体的なセキュリティ標準を定義します。
Secure Web Proxy ポリシーの主な機能は次のとおりです。
ポリシーのデフォルト設定はすべての送信トラフィックを拒否することです。これにより、明示的に許可しない限り、ウェブ リクエストがネットワークから送信されることはありません。
単一のポリシーを作成して複数の Secure Web Proxy インスタンスで再利用できるため、セキュリティ ルールの一貫性と効率性を維持できます。
Secure Web Proxy ポリシーの詳細については、ポリシーの概要をご覧ください。
Secure Web Proxy ルール
各 Secure Web Proxy ポリシーには、1 つ以上の Secure Web Proxy ルールがあります。これらのルールは、許可、拒否、ロギングするトラフィックを正確に決定する個々の指示です。
Secure Web Proxy ルールの主な機能は次のとおりです。
各ルールは、複数の条件に対してウェブ リクエストをチェックする非常に具体的な
if-thenステートメントです。リクエスト元: 特定の VM やサービス アカウントなどの送信元 ID
アクセスしようとしている場所: リンク先 URL またはドメイン(
trusted-partner.comなど)実行する必要があるアクション: トラフィックを許可または拒否する
Secure Web Proxy ルールは、明確で構造化された定義を使用して、組織のさまざまな部分にさまざまなセキュリティ標準を適用できる、きめ細かい制御を提供します。
Secure Web Proxy ルールの詳細については、ルールの概要をご覧ください。
導入モード
このセクションでは、Secure Web Proxy をデプロイできるさまざまなモードについて説明します。
明示的なプロキシ ルーティング モード
このモードでは、プロキシ サーバーを直接指すようにワークロード環境とクライアントを明示的に構成する必要があります。Secure Web Proxy は、クライアントをインターネットから分離します。このように、Secure Web Proxy は仲介役として機能し、クライアントの新しい TCP 接続を確立して、すべての接続が管理されたセキュリティ ポリシーの要件を満たすようにします。明示的なプロキシ ルーティング モードのデプロイ方法については、Secure Web Proxy インスタンスを作成してデプロイするをご覧ください。
次の図は、 Google Cloud 環境から流出するトラフィックの一元化された必須ゲートウェイとしての Secure Web Proxy の役割を示しています。
Private Service Connect サービス アタッチメント モード
このモードでは、複雑なマルチ Virtual Private Cloud(VPC)アーキテクチャ全体でウェブ プロキシのデプロイを集中管理できます。複数のネットワークがある場合に Secure Web Proxy のデプロイを一元化するには、Network Connectivity Center を使用します。
Network Connectivity Center でデプロイをスケーリングしようとすると、いくつかの上限があります。Secure Web Proxy を Private Service Connect サービス アタッチメントとしてデプロイすることで、スケーリング関連の制限を解決できます。
次の図に示すように、このデプロイモードではハブアンドスポーク パターンが作成されます。このデプロイでは、Secure Web Proxy(ハブ)は、接続されているすべての VPC ネットワーク(スポーク)のワークロードのアウトバウンド トラフィックを管理します。詳細については、サービス アタッチメントとして Secure Web Proxy をデプロイするをご覧ください。
ネクストホップ モード
このモードでは、ネットワーク内のルーティングのネクストホップとして機能するように Secure Web Proxy のデプロイを構成できます。つまり、アウトバウンド トラフィックを Secure Web Proxy インスタンスに自動的に送信するようにネットワーク ルーティングを構成できます。このデプロイ方法では、各ソース ワークロードまたはクライアントがプロキシを使用するように手動で構成する必要がないため、組織の管理オーバーヘッドが軽減されます。
詳細については、ネクストホップとして Secure Web Proxy をデプロイするをご覧ください。
制限事項
IP バージョン: Secure Web Proxy は IPv4 のみをサポートし、IPv6 はサポートしていません。
HTTP バージョン: Secure Web Proxy は、HTTP/0.9、1.0、1.1、2.0 のバージョンをサポートしています。HTTP/3 はサポートされていません。
デプロイ スコープ: Secure Web Proxy インスタンスは、サービス プロジェクトではなく、ホスト プロジェクトにのみデプロイできます。
検討すべきその他のツール Google Cloud
Secure Web Proxy を次のツールと統合して、ワークロードとアプリケーションの全体的なセキュリティ体制を強化できます。 Google Cloud
Google Cloud Armor を使用すると、分散型サービス拒否(DDoS)攻撃やクロスサイト スクリプティング(XSS)および SQL インジェクション(SQLi)などのアプリケーション攻撃などの複数の脅威からGoogle Cloud デプロイを保護できます。
VM インスタンスとの接続を保護するには、VPC ファイアウォール ルールを指定します。
VPC Service Controls を実装して、Cloud Storage や BigQuery などの Google Cloud サービスからのデータ漏洩を防止します。
Cloud NAT を使用して、外部 IP アドレスを持たない特定の Google Cloud リソースに対して、セキュリティが確保されていないインターネットへの送信接続を有効にします。