Secure Web Proxy는 조직의 내부 네트워크에서 나가는 모든 웹 트래픽(HTTP 및 HTTPS)을 보호하는 데 도움이 됩니다. 명시적으로 Secure Web Proxy를 게이트웨이로 사용하도록 클라이언트를 구성하면 Secure Web Proxy는 조직 외부의 웹사이트에 액세스하려는 모든 애플리케이션 또는 서비스의 필수 보안 체크포인트가 됩니다.
혜택
보안 웹 프록시는 다음과 같은 주요 이점을 제공합니다.
유지보수 불필요. 정책을 설정하면 Secure Web Proxy가 서버, 패치, 확장을 관리하여 트래픽이 증가함에 따라 용량을 자동으로 조정합니다.
유연하고 재사용 가능한 규칙. Secure Web Proxy를 사용하면 보안 정책이 프록시 자체와 분리됩니다. 일관된 관리를 위해 관리자는 액세스 규칙 집합을 만들고 조직의 여러 부분에 있는 여러 프록시에 규칙을 적용합니다.
강력한 기본 보안. Secure Web Proxy에는 명시적으로 허용할 때까지 모든 아웃바운드 트래픽을 차단하는 기본
deny-all설정이 있습니다.모든 소프트웨어 및 인프라 업데이트를 자동으로 처리하므로 보안 취약점의 지속적인 위험을 최소화합니다. Google CloudID 인식 액세스 제어. Secure Web Proxy는 요청이 들어오는 위치 (IP 주소)와 요청을 보내는 사용자(사용자 또는 서비스 ID)를 확인하므로 액세스는 네트워크 위치뿐만 아니라 사용자 역할 및 필요에 따라 결정됩니다. ID는 서비스 계정, 보안 태그 또는 프런트엔드 mTLS를 사용하여 확인된 클라이언트 인증서에서 제공하는 모든 ID일 수 있습니다. Secure Web Proxy를 사용하면 '재무팀의 구성원만 이 은행 웹사이트에 액세스할 수 있음'과 같은 매우 구체적인 규칙을 만들 수 있습니다.
통합 트래픽 로깅 및 감사. Secure Web Proxy를 통과하는 모든 웹 트래픽은 내에서 중앙 집중식으로 로깅되고 감사됩니다. Google Cloud 모든 아웃바운드 액세스에 대한 이 단일하고 명확한 신뢰할 수 있는 소스를 사용하면 활동을 추적하고, 보안 사고를 조사하고, 규정 준수 요구사항을 충족할 수 있습니다.
중앙 집중식 검사. 보안 웹 프록시는 클라우드 워크로드 및 연결된 사무실의 아웃바운드 웹 요청을 일관된 정책 시행을 위한 단일 검사 지점으로 통합합니다.
간소화된 포트 관리. Secure Web Proxy 인스턴스를 다음 홉으로 배포할 때 모든 포트(
1~65535)에서 선택적으로 수신 대기할 수 있습니다. 이 기능을 사용하면 특정 포트를 열거할 필요가 없으며 여러 포트를 사용하는 동적 환경 또는 서비스에 유용합니다. 기능 사용과 관련된 제한사항에 대한 자세한 내용은 제한사항을 참고하세요.all_ports
지원되는 기능
Secure Web Proxy는 다음 기능을 지원합니다.
Secure Web Proxy Envoy 프록시 자동 확장: Secure Web Proxy는 리전 내 Envoy 프록시 풀 크기와 풀의 용량을 자동으로 조정하므로 수요가 많은 기간 동안 최저 비용으로 일관된 성능이 사용 설정됩니다. 자동 확장 기능은 리전에서 용량 조정을 자동으로 관리합니다. 즉, 프록시 플릿을 수동으로 모니터링하고 크기를 조정할 필요가 없으므로 운영 시간이 단축되고 성능이 향상됩니다.
모듈식 아웃바운드 액세스 정책: Secure Web Proxy는 다음 작업을 통해 아웃바운드 트래픽을 관리합니다.
- 프런트엔드 mTLS로 암호화 방식으로 확인된 보안 태그, 서비스 계정, IP 주소 또는 클라이언트 인증서 ID를 사용하여 소스 항목을 식별합니다.
- TLS 검사를 사용 설정하거나 암호화되지 않은 HTTP를 사용하는 경우 호스트 이름 또는 URL로 대상 대상을 필터링합니다.
- 트래픽이 암호화되지 않은 HTTP이거나 TLS 검사가 사용 설정된 경우 메서드, 헤더 또는 URL과 같은 요청 속성을 평가합니다.
정책 (소스, 대상, 요청)의 이러한 모듈식 특성을 통해 다양한 팀에서 재사용 가능한 특정 규칙 구성요소를 만들고 관리할 수 있습니다. 중앙 관리자는 여러 프록시가 고유한 정책에서 참조할 수 있는 URL 목록을 정의할 수 있습니다.
엔드 투 엔드 암호화: 클라이언트 프록시 터널이 TLS를 통해 전송될 수 있습니다. Secure Web Proxy는 클라이언트에서 시작된 대상 서버에 대한 엔드 투 엔드 TLS 연결의 HTTP 및 HTTPS
CONNECT도 지원합니다.이 중요한 보안 조치는 서비스에서 자동으로 관리하므로 암호화 표준을 수동으로 구성하거나 모니터링하지 않고도 트래픽을 보호할 수 있습니다.
Cloud 감사 로그 및 Google Cloud Observability 통합: Google Cloud Observability를 사용하면 Cloud 감사 로그가 Secure Web Proxy에 대한 관리 작업 (정책 변경)과 액세스 요청 및 측정항목 (프록시 트랜잭션 로그)을 모두 기록합니다. 이 통합된 기본 제공 뷰는 보안 모니터링 및 규정 준수 보고를 용이하게 합니다.
Secure Web Proxy 작동 방식
Secure Web Proxy는 조직의 네트워크에서 인터넷으로 전송되는 모든 웹 트래픽의 필수 보안 체크포인트 역할을 합니다. 내부 워크로드는 인터넷에 연결되기 전에 Secure Web Proxy 보안 규칙을 준수해야 합니다.
중앙 집중식 게이트웨이: 가상 머신 (VM) 및 컨테이너와 같은 워크로드는 모든 아웃바운드 웹 요청을 중앙 Secure Web Proxy 인스턴스로 전송하도록 구성됩니다.
정책 시행: 프록시는 요청을 검사하고 보안 정책을 적용하여 연결을 허용할지 거부할지 결정합니다.
보안 아웃바운드 트래픽: 요청이 허용되면 일반적으로 Cloud NAT인 인프라를 사용하여 트래픽이 인터넷으로 안전하게 라우팅됩니다. 또한 프록시는 Cloud DNS를 사용하여 외부 웹 주소를 확인합니다. Google Cloud
정책 및 규칙
Secure Web Proxy 인스턴스에서 다음 정책 및 규칙을 구성할 수 있습니다.
승인 정책: 이러한 정책을 사용하면 Secure Web Proxy 인스턴스를 통해 아웃바운드 요청을 처리할 때 ID 기반 또는 대상 기반 액세스 제어 검사를 설정할 수 있습니다. 인터넷에 액세스하는 소스 워크로드 또는 에이전트의 ID를 검증하도록 승인 정책 (
AuthzPolicy) 을 구성할 수 있습니다.게이트웨이 보안 정책: 이러한 정책은 특정 게이트웨이의 전반적인 보안 표준을 정의합니다. 게이트웨이 보안 정책은 보안 안내의 기본 컨테이너입니다.
게이트웨이 보안 규칙: 모든 게이트웨이 보안 정책 내에서 하나 이상의 게이트웨이 보안 규칙을 추가할 수 있습니다. 이러한 규칙은 다양한 기준에 따라 트래픽을 허용하거나 거부하는 개별 안내입니다.
배포 모드
다음 모드 중 하나로 Secure Web Proxy 인스턴스를 배포할 수 있습니다.
명시적 프록시 라우팅 모드: 이 모드에서는 프록시 서버를 직접 가리키도록 워크로드 환경 및 클라이언트를 명시적으로 구성해야 합니다. 그러면 Secure Web Proxy가 인터넷에서 클라이언트를 격리합니다. 이러한 방식으로 Secure Web Proxy는 클라이언트를 위한 새 TCP 연결을 설정하고 모든 연결이 관리되는 보안 정책의 요구사항을 충족하도록 하는 중개자 역할을 합니다.
Private Service Connect 서비스 연결 모드: 이 모드에서는 복잡한 멀티 VPC 아키텍처에서 웹 프록시 배포를 중앙 집중화할 수 있습니다.
다음 홉 모드: 이 모드에서는 Secure Web Proxy 인스턴스를 네트워크 라우팅의 다음 홉으로 작동하도록 구성할 수 있습니다. 즉, 아웃바운드 트래픽을 Secure Web Proxy 인스턴스로 자동으로 전송하도록 네트워크 라우팅을 구성할 수 있습니다. 이 배포 방법을 사용하면 각 소스 워크로드 또는 클라이언트를 수동으로 구성하여 프록시를 사용할 필요가 없으므로 조직의 관리 오버헤드가 줄어듭니다.
제한사항
IP 버전: Secure Web Proxy는 IPv4만 지원하며 IPv6는 지원되지 않습니다.
HTTP 버전: Secure Web Proxy는 HTTP/0.9, 1.0, 1.1, 2.0 버전을 지원합니다. HTTP/3은 지원되지 않습니다.
배포 범위: Secure Web Proxy 인스턴스는 서비스 프로젝트가 아닌 호스트 프로젝트에서만 배포할 수 있습니다.
고려할 추가 Google Cloud 도구
다음 Google Cloud 도구 를 Secure Web Proxy와 통합하여 워크로드 및 애플리케이션의 전반적인 보안 상황을 개선할 수 있습니다.
프런트엔드 상호 TLS (mTLS)를 사용하여 보안 웹 프록시가 검증된 클라이언트 ID를 구성하고 아웃바운드 트래픽에 대한 세분화된 액세스 제어를 시행하도록 합니다.
인증서 관리자를 사용하여 Secure Web Proxy에 대한 프런트엔드 mTLS 연결에서 클라이언트 인증서를 검증하는 데 필요한 신뢰 앵커 (루트 인증서) 및 중간 CA를 관리합니다.
VPC 서비스 제어를 구현하여 Cloud Storage 및 BigQuery와 같은 서비스에서 데이터 무단 반출을 방지합니다. Google Cloud