Secure Web Proxy 總覽

Secure Web Proxy 可協助您保護貴機構內部網路的所有輸出網路流量 (HTTP 和 HTTPS)。將用戶端設定為明確使用 Secure Web Proxy 做為閘道時,任何嘗試存取機構外部網站的應用程式或服務,都必須通過 Secure Web Proxy 這個強制執行的安全檢查點。

優點

Secure Web Proxy 提供下列主要優點:

  • 免維護。設定政策後,Secure Web Proxy 會管理伺服器、修補程式和調整規模,以便在流量增加時自動調整容量。

  • 靈活且可重複使用的規則。使用 Secure Web Proxy 時,安全性政策與 Proxy 本身是分開的。為確保管理作業一致,管理員會建立一組存取規則,並將這些規則套用至貴機構不同部分的數個 Proxy。

  • 預設安全防護滴水不漏。Secure Web Proxy 預設會deny-all封鎖所有輸出流量,直到您明確允許為止。 Google Cloud 此外,這項服務會自動處理所有軟體和基礎架構更新,盡量降低安全漏洞帶來的持續性風險。

  • 身分感知存取控管。由於 Secure Web Proxy 會檢查要求來源 (IP 位址)和要求者 (使用者或服務身分),因此存取權是根據使用者角色和需求授予,而不只是網路位置。這個身分可以是服務帳戶安全標記,或是用戶端憑證提供的任何身分,並透過前端 mTLS 驗證。Secure Web Proxy 可讓您建立非常具體的規則,例如「只有財務團隊成員可以存取這個銀行網站」。

  • 統一記錄及稽核流量。通過 Secure Web Proxy 的所有網路流量,都會在 Google Cloud中集中記錄及稽核。這個單一明確的來源可提供所有輸出存取權的資訊,協助您追蹤活動、調查安全事件,並符合法規遵循要求。

  • 集中檢查。Secure Web Proxy 會將雲端工作負載和連線辦公室的輸出網路要求整合至單一檢查點,確保政策執行一致。

  • 簡化通訊埠管理作業。部署 Secure Web Proxy 執行個體做為下一個躍點時,您可以選擇監聽所有通訊埠 (從 165535)。這項功能可免除列舉特定通訊埠的需要,適用於動態環境或使用多個通訊埠的服務。如要瞭解使用 all_ports 功能的相關限制,請參閱「限制」一節。

支援功能

Secure Web Proxy 支援下列功能:

  • 自動調整 Secure Web Proxy Envoy Proxy 的規模:Secure Web Proxy 支援自動調整區域中的 Envoy Proxy 集區大小和集區容量,因此在需求量高的期間,系統能以最低成本維持穩定效能。自動調度資源功能會自動管理區域內的容量調整作業。這表示您不必手動監控及調整 Proxy 叢集大小,確保效能提升,同時減少作業時間。

  • 模組化輸出存取權政策:Secure Web Proxy 會透過下列動作管理輸出流量:

    • 使用安全標記、服務帳戶、IP 位址或用戶端憑證身分識別來源實體,這些身分已透過前端 mTLS 經過密碼編譯驗證。
    • 啟用 TLS 檢查或使用未加密的 HTTP 時,依主機名稱或網址篩選目的地目標。
    • 如果流量未加密 (HTTP) 或已啟用 TLS 檢查,系統會評估要求屬性,例如方法、標頭或網址。

    政策 (來源、目的地和要求) 的模組化特性,可讓不同團隊建立及管理特定的可重複使用規則元件。中央管理員可以定義網址清單,供多個 Proxy 在各自的政策中參照。

  • 端對端加密:用戶端 Proxy 通道可透過 TLS 傳輸。 Secure Web Proxy 也支援 HTTP 和 HTTPS CONNECT,可供用戶端發起的端對端 TLS 連線連往目的地伺服器。

    這項重要的安全措施由服務自動管理,因此無須手動設定或監控加密標準,即可確保流量安全。

  • Cloud 稽核記錄和 Google Cloud Observability 整合:使用 Google Cloud Observability 時,Cloud 稽核記錄會記錄 Secure Web Proxy 的管理動作 (政策變更)、存取要求和指標 (Proxy 交易記錄)。這個統一的內建檢視畫面可簡化安全監控和法規遵循報告程序。

  • 全域存取:建立 Proxy 執行個體時,Secure Web Proxy 提供啟用全域存取的選項。使用這項功能後,您可允許任何 Google Cloud 區域的用戶端連線至 Proxy,而不僅限於特定本機區域的用戶端。這項功能可提升基礎架構的復原能力,並支援跨區域用途,例如自訂輸出流量需求。詳情請參閱「設定 Secure Web Proxy 的全域存取權」。

Secure Web Proxy 的運作方式

Secure Web Proxy 會做為強制性安全檢查點,檢查貴機構網路傳輸至網際網路的所有網路流量。內部工作負載必須遵守 Secure Web Proxy 安全性規則,才能連上網際網路。

  1. 集中式閘道:設定工作負載 (例如虛擬機器和容器),將所有輸出網頁要求傳送至中央 Secure Web Proxy 執行個體。

  2. 政策強制執行:Proxy 會檢查要求並套用安全政策,判斷是否允許連線。

  3. 確保傳出流量安全:如果允許要求,系統會使用 Google Cloud基礎架構 (通常是 Cloud NAT) 將流量安全地轉送至網際網路。Proxy 也會使用 Cloud DNS 解析外部網址。

政策與規則

您可以在 Secure Web Proxy 執行個體中設定下列政策和規則:

  • 授權政策: 透過 Secure Web Proxy 執行個體處理輸出要求時,您可以透過這些政策建立身分型或目的地型存取控管檢查。您可以設定授權政策 (AuthzPolicy),驗證存取網際網路的來源工作負載或代理程式身分。

  • 閘道安全性政策: 這些政策會定義特定閘道的整體安全標準。閘道安全政策是安全指示的主要容器。

  • 閘道安全規則: 您可以在每個閘道安全政策中新增一或多個閘道安全規則。這些規則是個別指令,可根據各種條件允許或拒絕流量。

部署模式

您可以透過下列任一模式部署 Secure Web Proxy 執行個體:

  • 明確 Proxy 轉送模式:在這個模式中,您必須明確設定工作負載環境和用戶端,直接指向 Proxy 伺服器。Secure Web Proxy 接著會將用戶端與網際網路隔離。Secure Web Proxy 會做為中介,為用戶端建立新的 TCP 連線,並確保每條連線都符合管理員設定的安全性政策要求。

  • Private Service Connect 服務連結模式: 在這個模式中,您可以集中部署複雜的多虛擬私有雲架構中的網路 Proxy。

  • 下一個躍點模式:在這個模式中,您可以將 Secure Web Proxy 執行個體設為網路中路由的下一個躍點。換句話說,您可以設定網路轉送功能,自動將輸出流量傳送至 Secure Web Proxy 執行個體。這種部署方法可減少貴機構的管理負擔,因為您不必手動設定每個來源工作負載或用戶端來使用 Proxy。

限制

  • IP 版本:Secure Web Proxy 僅支援 IPv4,不支援 IPv6。

  • HTTP 版本:Secure Web Proxy 支援 HTTP/0.9、1.0、1.1 和 2.0 版。不支援 HTTP/3。

  • 部署範圍:您只能在主專案中部署 Secure Web Proxy 執行個體,無法在服務專案中部署。

其他可考慮的 Google Cloud 工具

您可以將 Secure Web Proxy 與下列 Google Cloud 工具 整合,提升工作負載和應用程式的整體安全態勢:

後續步驟