Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של Secure Web Proxy

Secure Web Proxy עוזר לאבטח את כל התנועה היוצאת באינטרנט – HTTP ו-HTTPS – מהרשת הפנימית של הארגון. כשמגדירים את הלקוחות כך שישתמשו ב-Secure Web Proxy כשער באופן מפורש, ‏ Secure Web Proxy הוא נקודת ביקורת אבטחה חובה לכל אפליקציה או שירות שמנסים לגשת לאתר מחוץ לארגון.

יתרונות

היתרונות העיקריים של Secure Web Proxy:

ללא כל תחזוקה. אחרי שמגדירים את המדיניות, Secure Web Proxy מנהל את השרתים, את תיקוני האבטחה ואת ההתאמה של הקיבולת באופן אוטומטי ככל שהתנועה גדלה.
כללים גמישים וניתנים לשימוש חוזר. ב-Secure Web Proxy, מדיניות האבטחה נפרדת מהפרוקסי עצמו. כדי להבטיח ניהול עקבי, האדמינים יוצרים קבוצה של כללי גישה ומחילים את הכללים על כמה שרתי proxy בחלקים שונים בארגון.
אבטחה חזקה כברירת מחדל. ל-Secure Web Proxy יש הגדרת ברירת מחדל deny-allשחוסמת את כל התנועה היוצאת עד שמאשרים אותה באופן מפורש. Google Cloud הוא מטפל אוטומטית בכל עדכוני התוכנה והתשתית, וכך מצמצם את הסיכון המתמשך לפרצות אבטחה.
בקרת גישה שמודעת לזהות. הגישה מבוססת על תפקיד המשתמש והצורך שלו, ולא רק על מיקום ברשת, כי Secure Web Proxy בודק מאיפה מגיעה הבקשה (כתובת ה-IP) ומי שולח את הבקשה (המשתמש או זהות השירות). הזהות יכולה להיות חשבון שירות, תג מאובטח או כל זהות שמסופקת על ידי אישור לקוח שאומת באמצעות mTLS בחזית העורפית. בעזרת Secure Web Proxy אפשר ליצור כללים ספציפיים מאוד, כמו "רק חברים בצוות הכספים יכולים לגשת לאתר הבנק הזה".
רישום ביומן וביקורת של תנועה מאוחדת. כל תעבורת האינטרנט שעוברת דרך Secure Web Proxy מתועדת ונבדקת באופן מרכזי ב- Google Cloud. מקור האמת היחיד והברור הזה לכל הגישה היוצאת עוזר לכם לעקוב אחרי הפעילות, לחקור תקריות אבטחה ולעמוד בדרישות התאימות.
בדיקה מרכזית. ‫Secure Web Proxy מאחד בקשות אינטרנט יוצאות מעומסי העבודה בענן וממשרדים מחוברים לנקודת בדיקה אחת, כדי לאכוף את המדיניות באופן עקבי.
ניהול פשוט יותר של ניוד. אפשר להאזין לכל היציאות (מ-1 עד 65535) כשפורסים את מופע ה-Secure Web Proxy כנקודת מעבר הבאה. הפונקציונליות הזו מייתרת את הצורך למנות יציאות ספציפיות, והיא שימושית בסביבות דינמיות או בשירותים שמשתמשים בכמה יציאות. מידע על המגבלות שקשורות לשימוש בתכונה all_ports מופיע במאמר מגבלות.

תכונות נתמכות

‫Secure Web Proxy תומך בתכונות הבאות:

התאמה אוטומטית לעומס של שרתי ה-proxy של Secure Web Proxy Envoy: Secure Web Proxy תומך בהתאמה אוטומטית של גודל קבוצת שרתי ה-proxy של Envoy והקיבולת של הקבוצה באזור מסוים, וכך מאפשר ביצועים עקביים בתקופות של ביקוש גבוה בעלות הנמוכה ביותר. התכונה 'התאמה אוטומטית לעומס' מנהלת באופן אוטומטי את ההתאמות של הקיבולת באזור מסוים. המשמעות היא שלא צריך לעקוב אחרי צי השרתים הפרוקסי ולשנות את הגודל שלו באופן ידני, וכך נהנים מביצועים טובים יותר עם פחות זמן תפעול.
מדיניות מודולרית לגישה לתעבורה יוצאת: Secure Web Proxy מנהל תעבורה יוצאת באמצעות הפעולות הבאות:
- זיהוי ישויות המקור באמצעות תגים מאובטחים, חשבונות שירות, כתובות IP או זהויות של אישורי לקוח שאומתו באופן קריפטוגרפי באמצעות mTLS בחלק הקדמי.
- כשמפעילים בדיקת TLS או משתמשים ב-HTTP לא מוצפן, המסננים מטפלים ביעדי היעד לפי שמות מארחים או כתובות URL.
- הערכה של מאפייני הבקשה, כמו שיטות, כותרות או כתובות URL, אם התנועה היא HTTP לא מוצפנת או אם מופעלת בדיקת TLS.
האופי המודולרי של המדיניות (מקורות, יעדים ובקשות) מאפשר לצוותים שונים ליצור ולנהל רכיבי כללים ספציפיים לשימוש חוזר. אדמין מרכזי יכול להגדיר רשימת כתובות URL שאליה כמה שרתי proxy יכולים להפנות במדיניות הנפרדת שלהם.
הצפנה מקצה לקצה: מנהרות של שרת proxy של לקוח יכולות לעבור דרך TLS. השירות Secure Web Proxy תומך גם ב-HTTP וב-HTTPS CONNECT לחיבורי TLS מקצה לקצה שמופעלים על ידי הלקוח לשרת היעד.

השירות מנהל אוטומטית את אמצעי האבטחה החשוב הזה, כך שהתנועה מאובטחת בלי שצריך להגדיר או לנטר ידנית את תקני ההצפנה.
שילוב של Cloud Audit Logs ו-Google Cloud Observability: באמצעות Google Cloud Observability, ‏ Cloud Audit Logs מתעד גם פעולות אדמיניסטרטיביות (שינויים במדיניות) וגם בקשות גישה ומדדים (יומני עסקאות של שרת proxy) עבור Secure Web Proxy. תצוגה מאוחדת ומובנית זו מאפשרת ניטור לצורכי אבטחה ודיווח על תאימות.

איך Secure Web Proxy פועל

Secure Web Proxy פועל כנקודת ביקורת אבטחה מחייבת לכל תעבורת האינטרנט מהרשת של הארגון לאינטרנט. עומסי עבודה פנימיים צריכים לעמוד בכללי האבטחה של Secure Web Proxy לפני שהם מגיעים לאינטרנט.

שער מרכזי: עומסי העבודה, כמו מכונות וירטואליות (VM) וקונטיינרים, מוגדרים לשליחת כל בקשות האינטרנט היוצאות למופע המרכזי של Secure Web Proxy.
אכיפת מדיניות: ה-Proxy בודק את הבקשה ומחיל את מדיניות האבטחה כדי לקבוע אם לאשר או לדחות את החיבור.
תעבורת נתונים יוצאת מאובטחת: אם הבקשה מאושרת, תעבורת הנתונים מנותבת בצורה מאובטחת לאינטרנט באמצעות התשתית של Google Cloud, בדרך כלל Cloud NAT. שרת ה-proxy משתמש גם ב-Cloud DNS כדי לפתור כתובות אינטרנט חיצוניות.

מדיניות וכללים

אפשר להגדיר את כללי המדיניות והכללים הבאים במופע של Secure Web Proxy:

מדיניות הרשאות: המדיניות הזו מאפשרת לכם לבצע בדיקות של בקרת גישה שמבוססות על זהות או על יעד, כשמעבדים בקשות יוצאות דרך מופע Secure Web Proxy. אתם יכולים להגדיר מדיניות הרשאה (AuthzPolicy) כדי לאמת את הזהות של עומס עבודה או סוכן במקור שמקבלים גישה לאינטרנט.
כללי מדיניות אבטחה של שערים: כללי המדיניות האלה מגדירים את תקן האבטחה הכולל לשער ספציפי. מדיניות אבטחה של שער היא הקונטיינר הראשי של הוראות האבטחה.
כללי אבטחה של שערים: בכל מדיניות אבטחה של שער, אפשר להוסיף כלל אבטחה אחד או יותר של שערים. הכללים האלה הם ההוראות האישיות שמאפשרות או דוחות תנועה על סמך קריטריונים שונים.

מצבי פריסה

אפשר לפרוס את מופע Secure Web Proxy באחד מהמצבים הבאים:

מצב ניתוב מפורש של proxy: במצב הזה, צריך להגדיר באופן מפורש את סביבות העבודה ואת הלקוחות כך שיפנו ישירות לשרת ה-proxy. לאחר מכן, Secure Web Proxy מבודד את הלקוחות שלכם מהאינטרנט. בדרך הזו, Secure Web Proxy פועל כמתווך, יוצר חיבורי TCP חדשים עבור הלקוח ומוודא שכל חיבור עומד בדרישות של מדיניות האבטחה המנוהלת.
מצב קובץ מצורף של שירות Private Service Connect: במצב הזה, אפשר לרכז את פריסות שרתי ה-proxy שלכם באינטרנט בארכיטקטורה מורכבת של כמה רשתות VPC.
מצב הצעד הבא: במצב הזה, אפשר להגדיר את מופע Secure Web Proxy כך שיפעל כצעד הבא לניתוב ברשת. במילים אחרות, אתם יכולים להגדיר את ניתוב הרשת כך שתנועה יוצאת תישלח אוטומטית למופע של Secure Web Proxy. שיטת הפריסה הזו מצמצמת את העומס הניהולי בארגון, כי לא צריך להגדיר ידנית כל עומס עבודה או לקוח של מקור כדי להשתמש בשרת ה-proxy.

מגבלות

גרסאות IP: Secure Web Proxy תומך רק ב-IPv4, ולא תומך ב-IPv6.
גרסאות HTTP: Secure Web Proxy תומך בגרסאות HTTP/0.9,‏ 1.0,‏ 1.1 ו-2.0. אין תמיכה ב-HTTP/3.
היקף הפריסה: אפשר לפרוס מופע של Secure Web Proxy רק בפרויקט מארח, ולא בפרויקט שירות.

כלים נוספים Google Cloud שכדאי לבדוק

אפשר לשלב את Secure Web Proxy עם ה Google Cloud כלים הבאים כדי לשפר את רמת האבטחה הכוללת של עומסי העבודה והאפליקציות:

אפשר להשתמש בפרוטוקול TLS הדדי (mTLS) בחלק הקדמי של השרת כדי לאפשר ל-Secure Web Proxy להגדיר זהויות מאומתות של לקוחות בכללי מדיניות של הרשאה ולאכוף בקרת גישה מפורטת לתעבורה יוצאת.
כדי לאמת אישורי לקוח בחיבורי mTLS של קצה קדמי ל-Secure Web Proxy, צריך להשתמש בCertificate Manager כדי לנהל את ישויות עוגן אמינות (אישורי בסיס) ואת רשויות האישורים הביניים.
כדי למנוע זליגת נתונים משירותים כמו Cloud Storage ו-BigQuery, צריך להטמיע את VPC Service Controls. Google Cloud

סקירה כללית של Secure Web Proxy קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.