安全 Web 代理概览

Secure Web Proxy 可帮助您保护组织内部网络中的所有出站 Web 流量(包括 HTTP 和 HTTPS)。当您将客户端配置为显式使用 Secure Web Proxy 作为网关时,对于尝试访问组织外部网站的任何应用或服务,Secure Web Proxy 都是强制性的安全检查点。

优势

安全 Web 代理具有以下主要优势:

  • 零维护。设置政策后,Secure Web Proxy 会管理您的服务器、修补程序和伸缩,以便在流量增加时自动调整容量。

  • 灵活且可重复使用的规则。借助 Secure Web Proxy,安全政策与代理本身是分开的。为确保管理的一致性,管理员会创建一组访问规则,并将这些规则应用于组织中不同部门的多个代理。

  • 强大的默认安全功能。Secure Web Proxy 具有默认的 deny-all 设置,可阻止所有出站流量,直到您明确允许为止。 Google Cloud 会自动处理所有软件和基础架构更新,从而最大限度地降低安全漏洞带来的持续风险。

  • 身份感知访问权限控制。由于 Secure Web Proxy 会检查请求的来源 (IP 地址) 和请求的发出者 (用户或服务身份),因此访问权限是根据用户角色和需求授予的,而不仅仅是根据网络位置授予的。身份可以是服务账号安全标记,也可以是使用前端 mTLS 验证的客户端证书提供的任何身份。借助 Secure Web Proxy,您可以创建非常具体的规则,例如“只有财务团队的成员才能访问此银行网站”。

  • 统一的流量日志记录和审核。通过 Secure Web Proxy 的所有 Web 流量都会在 Google Cloud中集中记录和审核。这个单一、清晰的全部出站访问事实来源可帮助您跟踪活动、调查安全事件并满足合规性要求。

  • 集中检查。安全 Web 代理将来自云工作负载和已连接办公室的出站 Web 请求整合到一个检查点,以便统一执行政策。

  • 简化端口管理。在将 Secure Web Proxy 实例部署为下一个跃点时,您可以选择监听所有端口(从 165535)。此功能无需枚举特定端口,适用于动态环境或使用多个端口的服务。如需了解与使用 all_ports 功能相关的限制,请参阅限制

支持的功能

Secure Web Proxy 支持以下功能:

  • 自动扩缩 Secure Web Proxy Envoy 代理:Secure Web Proxy 支持自动调整区域中的 Envoy 代理池大小和池容量,从而以最低的成本在需求高峰期实现稳定的性能。自动扩缩功能可自动管理区域中的容量调整。这意味着您无需手动监控和调整代理舰队的大小,从而以更少的运营时间获得更好的性能。

  • 模块化出站访问权限政策:Secure Web Proxy 通过以下操作管理出站流量:

    • 使用安全标记、服务账号、IP 地址或通过前端 mTLS 以加密方式验证的客户端证书身份来识别来源实体。
    • 启用 TLS 检查或使用未加密的 HTTP 时,按主机名或网址过滤目标。
    • 如果流量是未加密的 HTTP 流量,或者启用了 TLS 检查,则评估请求属性(例如方法、标头或网址)。

    政策(来源、目标位置和请求)的这种模块化特性使各个团队能够创建和管理特定的可重复使用的规则组件。中央管理员可以定义一个网址列表,然后多个代理可以在各自的政策中引用该列表。

  • 端到端加密:客户端-代理隧道可以通过 TLS 进行传输。 Secure Web Proxy 还支持 HTTP 和 HTTPS CONNECT,以便建立由客户端发起的与目标服务器的端到端 TLS 连接。

    此关键安全措施由服务自动管理,因此流量会受到保护,而无需手动配置或监控加密标准。

  • Cloud Audit Logs 和 Google Cloud Observability 集成:通过使用 Google Cloud Observability,Cloud Audit Logs 可以记录 Secure Web Proxy 的管理操作(政策变更)以及访问请求和指标(代理交易日志)。这种统一的内置视图有助于进行安全监控和生成合规性报告。

  • 全局访问权限:创建代理实例时,Secure Web 代理提供启用全局访问权限的选项。使用此功能后,您可以允许来自任何 Google Cloud 区域的客户端连接到代理,而不仅仅是特定本地区域中的客户端。此功能可增强基础架构的弹性,并支持跨区域使用情形,例如自定义出站流量要求。如需了解详情,请参阅为 Secure Web Proxy 配置全局访问权限

Secure Web Proxy 的工作原理

Secure Web Proxy 充当从组织网络到互联网的所有 Web 流量的强制性安全检查点。内部工作负载必须遵守 Secure Web Proxy 安全规则,然后才能访问互联网。

  1. 集中式网关:将工作负载(例如虚拟机 [VM] 和容器)配置为将所有出站 Web 请求发送到中央 Secure Web Proxy 实例。

  2. 政策强制执行:代理会检查请求并应用您的安全政策,以确定是允许还是拒绝连接。

  3. 保护出站流量:如果允许该请求,则流量会通过 Google Cloud基础设施(通常是 Cloud NAT)安全地路由到互联网。代理还会使用 Cloud DNS 解析外部网址。

政策和规则

您可以在 Secure Web Proxy 实例中配置以下政策和规则:

  • 授权政策:通过这些政策,您可以在通过 Secure Web Proxy 实例处理出站请求时,建立基于身份或基于目标的访问权限控制检查。您可以配置授权政策 (AuthzPolicy) 来验证访问互联网的来源工作负载或代理的身份。

  • 网关安全政策:这些政策定义了特定网关的总体安全标准。网关安全政策是安全指令的主要容器。

  • 网关安全规则:在每个网关安全政策中,您都可以添加一条或多条网关安全规则。这些规则是根据各种条件允许或拒绝流量的单独指令。

部署模式

您可以在以下任一模式下部署 Secure Web Proxy 实例:

  • 显式代理路由模式:在此模式下,您必须明确配置工作负载环境和客户端,使其直接指向代理服务器。然后,Secure Web Proxy 会将您的客户端与互联网隔离开。这样一来,Secure Web Proxy 便充当了中介,为客户端建立新的 TCP 连接,并确保每个连接都符合所管理的安全政策的要求。

  • Private Service Connect 服务连接模式:在此模式下,您可以跨复杂的多 VPC 架构集中部署 Web 代理。

  • 下一个跃点模式:在此模式下,您可以将 Secure Web Proxy 实例配置为网络中路由的下一个跃点。换句话说,您可以配置网络路由,以自动将出站流量发送到 Secure Web Proxy 实例。此部署方法可减少组织的管理开销,因为您不必手动配置每个源工作负载或客户端来使用代理。

限制

  • IP 版本:Secure Web Proxy 仅支持 IPv4;不支持 IPv6。

  • HTTP 版本:Secure Web Proxy 支持 HTTP/0.9、1.0、1.1 和 2.0 版本。不支持 HTTP/3。

  • 部署范围:您只能在宿主项目中部署 Secure Web Proxy 实例,而不能在服务项目中部署。

可考虑的其他 Google Cloud 工具

您可以将 Secure Web Proxy 与以下 Google Cloud 工具集成,以提升工作负载和应用的整体安全状况:

  • 使用前端双向 TLS (mTLS) 可让安全 Web 代理在授权政策中配置经过验证的客户端身份,并对出站流量强制执行精细的访问权限控制。

  • 使用 Certificate Manager 管理信任锚(根证书)和中间 CA,这些信任锚和中间 CA 是在前端 mTLS 连接中验证客户端证书所必需的,以连接到 Secure Web Proxy。

  • 实施 VPC Service Controls,以防止 Google Cloud 服务(如 Cloud Storage 和 BigQuery)中发生数据渗漏。

后续步骤