Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Übersicht: Secure Web Proxy

Mit Secure Web Proxy können Sie den gesamten ausgehenden Webtraffic – HTTP und HTTPS – aus dem internen Netzwerk Ihrer Organisation sichern. Wenn Sie Ihre Clients so konfigurieren, dass sie Secure Web Proxy explizit als Gateway verwenden, ist Secure Web Proxy ein obligatorischer Sicherheits-Checkpoint für jede Anwendung oder jeden Dienst, der versucht, auf eine Website außerhalb Ihrer Organisation zuzugreifen.

Vorteile

Secure Web Proxy bietet die folgenden wichtigen Vorteile:

Keinerlei Wartung erforderlich: Nachdem Sie Ihre Richtlinien festgelegt haben, verwaltet Secure Web Proxy Ihre Server, Patches und die Skalierung, um die Kapazität automatisch an das wachsende Trafficvolumen anzupassen.
Flexible und wiederverwendbare Regeln: Bei Secure Web Proxy sind Sicherheitsrichtlinien vom Proxy selbst getrennt. Um eine einheitliche Verwaltung zu gewährleisten, erstellen Administratoren eine Reihe von Zugriffsregeln und wenden sie auf mehrere Proxys in verschiedenen Bereichen Ihrer Organisation an.
Starke Standardsicherheit: Secure Web Proxy hat eine Standardeinstellung für deny-all, die den gesamten ausgehenden Traffic blockiert, bis Sie ihn explizit zulassen. Google Cloud übernimmt automatisch alle Software- und Infrastrukturupdates, wodurch das laufende Risiko von Sicherheitslücken minimiert wird.
Identitätssensitive Zugriffssteuerung Da Secure Web Proxy prüft, woher eine Anfrage kommt (die IP-Adresse) und wer die Anfrage stellt (die Nutzer- oder Dienstidentität), basiert der Zugriff auf der Nutzerrolle und dem Bedarf und nicht nur auf dem Netzwerkstandort. Die Identität kann ein Dienstkonto, ein sicheres Tag oder eine beliebige Identität sein, die von einem Clientzertifikat bereitgestellt wird, das mit Frontend-mTLS überprüft wird. Mit dem sicheren Web-Proxy können Sie sehr spezifische Regeln erstellen, z. B. „Nur Mitglieder des Finanzteams können auf diese Banking-Website zugreifen.“
Einheitliches Traffic-Logging und ‑Auditing: Der gesamte Web-Traffic, der über Secure Web Proxy geleitet wird, wird zentral in Google Cloudprotokolliert und geprüft. Diese zentrale, eindeutige Quelle für alle ausgehenden Zugriffe hilft Ihnen, Aktivitäten nachzuverfolgen, Sicherheitsvorfälle zu untersuchen und Compliance-Anforderungen zu erfüllen.
Zentrale Prüfung: Secure Web Proxy konsolidiert ausgehende Webanfragen von Ihren Cloud-Arbeitslasten und verbundenen Büros in einem einzigen Prüfpunkt für die konsistente Richtliniendurchsetzung.
Vereinfachte Portverwaltung: Optional können Sie alle Ports (von 1 bis 65535) überwachen, wenn Sie Ihre Secure Web Proxy-Instanz als nächsten Hop bereitstellen. Mit dieser Funktion müssen keine bestimmten Ports mehr aufgelistet werden. Das ist nützlich für dynamische Umgebungen oder Dienste, die mehrere Ports verwenden. Informationen zu den Einschränkungen bei der Verwendung des all_ports-Features finden Sie unter Einschränkungen.

Unterstützte Features

Secure Web Proxy unterstützt die folgenden Funktionen:

Envoy-Proxys für Secure Web Proxy mit Autoscaling: Secure Web Proxy unterstützt die automatische Anpassung der Envoy-Proxy-Poolgröße und der Poolkapazität in einer Region. So wird eine gleichbleibende Leistung in Zeiten hoher Nachfrage zu den niedrigsten Kosten ermöglicht. Die Autoscaling-Funktion verwaltet Kapazitätsanpassungen in einer Region automatisch. Das bedeutet, dass Sie Ihre Proxyflotte nicht manuell überwachen und anpassen müssen. So wird eine bessere Leistung bei weniger Betriebszeit erzielt.
Modulare Richtlinien für ausgehenden Zugriff: Secure Web Proxy verwaltet ausgehenden Traffic durch die folgenden Aktionen:
- Identifiziert Quellentitäten anhand von sicheren Tags, Dienstkonten, IP-Adressen oder Clientzertifikatsidentitäten, die mit Frontend-mTLS kryptografisch überprüft wurden.
- Filtert Zielziele nach Hostnamen oder URLs, wenn Sie die TLS-Prüfung aktivieren oder unverschlüsseltes HTTP verwenden.
- Bewertet Anfrageattribute wie Methoden, Header oder URLs, wenn der Traffic unverschlüsseltes HTTP ist oder die TLS-Prüfung aktiviert ist.
Durch diese modulare Struktur von Richtlinien (Quellen, Ziele und Anfragen) können verschiedene Teams spezifische, wiederverwendbare Regelkomponenten erstellen und verwalten. Ein zentraler Administrator kann eine URL-Liste definieren, auf die mehrere Proxys in ihren jeweiligen Richtlinien verweisen können.
Ende-zu-Ende-Verschlüsselung: Client-Proxy-Tunnel können über TLS übertragen werden. Secure Web Proxy unterstützt auch HTTP- und HTTPS-CONNECT für clientseitig initiierte End-to-End-TLS-Verbindungen zum Zielserver.

Diese wichtige Sicherheitsmaßnahme wird automatisch vom Dienst verwaltet, sodass der Traffic geschützt wird, ohne dass die Verschlüsselungsstandards manuell konfiguriert oder überwacht werden müssen.
Integration von Cloud-Audit-Logs und Google Cloud Observability: Wenn Sie Google Cloud Observability verwenden, werden in Cloud-Audit-Logs sowohl administrative Aktionen (Richtlinienänderungen) als auch Zugriffsanfragen und Messwerte (Proxy-Transaktionslogs) für Secure Web Proxy aufgezeichnet. Diese einheitliche, integrierte Ansicht erleichtert das Sicherheitsmonitoring und das Compliance-Reporting.

Funktionsweise von Secure Web Proxy

Secure Web Proxy fungiert als obligatorischer Sicherheitskontrollpunkt für den gesamten Webtraffic vom Netzwerk Ihrer Organisation zum Internet. Interne Arbeitslasten müssen die Sicherheitsregeln von Secure Web Proxy einhalten, bevor sie auf das Internet zugreifen können.

Zentrales Gateway: Ihre Arbeitslasten, z. B. VMs und Container, sind so konfiguriert, dass alle ausgehenden Webanfragen an die zentrale Secure Web Proxy-Instanz gesendet werden.
Richtlinienerzwingung: Der Proxy prüft die Anfrage und wendet Ihre Sicherheitsrichtlinien an, um zu entscheiden, ob die Verbindung zugelassen oder abgelehnt werden soll.
Ausgehenden Traffic sichern: Wenn die Anfrage zulässig ist, wird der Traffic über die Google Cloud-Infrastruktur, in der Regel Cloud NAT, sicher ins Internet weitergeleitet. Der Proxy verwendet außerdem Cloud DNS, um externe Webadressen aufzulösen.

Richtlinien und Regeln

Sie können die folgenden Richtlinien und Regeln in Ihrer Secure Web Proxy-Instanz konfigurieren:

Autorisierungsrichtlinien: Mit diesen Richtlinien können Sie identitäts- oder zielbasierte Zugriffssteuerungsprüfungen einrichten, wenn ausgehende Anfragen über Ihre Secure Web Proxy-Instanz verarbeitet werden. Sie können Autorisierungsrichtlinien (AuthzPolicy) konfigurieren, um die Identität einer Quellarbeitslast oder eines Agents zu validieren, der auf das Internet zugreift.
Gateway-Sicherheitsrichtlinien: Diese Richtlinien definieren den allgemeinen Sicherheitsstandard für ein bestimmtes Gateway. Eine Gateway-Sicherheitsrichtlinie ist der Hauptcontainer für Ihre Sicherheitsanweisungen.
Gateway-Sicherheitsregeln: Sie können jeder Gateway-Sicherheitsrichtlinie eine oder mehrere Gateway-Sicherheitsregeln hinzufügen. Diese Regeln sind die einzelnen Anweisungen, mit denen Traffic anhand verschiedener Kriterien zugelassen oder abgelehnt wird.

Bereitstellungsmodi

Sie können Ihre Secure Web Proxy-Instanz in einem der folgenden Modi bereitstellen:

Expliziter Proxy-Routingmodus: In diesem Modus müssen Sie Ihre Arbeitslastumgebungen und Clients explizit so konfigurieren, dass sie direkt auf den Proxyserver verweisen. Secure Web Proxy isoliert dann Ihre Clients vom Internet. Secure Web Proxy fungiert so als Vermittler, stellt neue TCP-Verbindungen für den Client her und sorgt dafür, dass jede Verbindung den Anforderungen der verwalteten Sicherheitsrichtlinie entspricht.
Private Service Connect-Dienstanhangmodus: In diesem Modus können Sie Ihre Webproxy-Bereitstellungen in einer komplexen Architektur mit mehreren VPCs zentralisieren.
Next-Hop-Modus: In diesem Modus können Sie Ihre Secure Web Proxy-Instanz so konfigurieren, dass sie als Next Hop für das Routing in Ihrem Netzwerk fungiert. Mit anderen Worten: Sie können das Netzwerkrouting so konfigurieren, dass ausgehender Traffic automatisch an Ihre Secure Web Proxy-Instanz gesendet wird. Diese Bereitstellungsmethode reduziert den Verwaltungsaufwand für Ihre Organisation, da Sie nicht jede Quellarbeitslast oder jeden Client manuell für die Verwendung des Proxys konfigurieren müssen.

Beschränkungen

IP-Versionen: Secure Web Proxy unterstützt nur IPv4. IPv6 wird nicht unterstützt.
HTTP-Versionen: Secure Web Proxy unterstützt die Versionen HTTP/0.9, 1.0, 1.1 und 2.0. HTTP/3 wird nicht unterstützt.
Bereitstellungsbereich: Sie können eine Secure Web Proxy-Instanz nur in einem Hostprojekt, nicht in einem Dienstprojekt bereitstellen.

Weitere Google Cloud Tools

Sie können Secure Web Proxy in die folgenden Google Cloud Tools einbinden, um die allgemeine Sicherheit Ihrer Arbeitslasten und Anwendungen zu verbessern:

Verwenden Sie gegenseitiges TLS (mTLS) für das Frontend, damit Secure Web Proxy validierte Clientidentitäten in Autorisierungsrichtlinien konfigurieren und eine detaillierte Zugriffssteuerung für ausgehenden Traffic erzwingen kann.
Verwenden Sie Zertifikatmanager, um die Trust Anchors (Stammzertifikate) und Zwischen-CAs zu verwalten, die zum Validieren von Clientzertifikaten in Frontend-mTLS-Verbindungen zu Secure Web Proxy erforderlich sind.
Implementieren Sie VPC Service Controls, um die Daten-Exfiltration aus Google Cloud -Diensten wie Cloud Storage und BigQuery zu verhindern.

Übersicht: Secure Web Proxy Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.