Übersicht: Secure Web Proxy

Secure Web Proxy hilft Ihnen, den gesamten ausgehenden Web-Traffic – HTTP und HTTPS – aus dem internen Netzwerk Ihrer Organisation zu schützen. Wenn Sie Ihre Clients so konfigurieren, dass sie Secure Web Proxy explizit als Gateway verwenden, ist Secure Web Proxy ein obligatorischer Sicherheits-Checkpoint für jede Anwendung oder jeden Dienst, der versucht, auf eine Website außerhalb Ihrer Organisation zuzugreifen.

Vorteile

Secure Web Proxy bietet die folgenden wichtigen Vorteile:

  • Keinerlei Wartung erforderlich: Nachdem Sie Ihre Richtlinien festgelegt haben, verwaltet Secure Web Proxy Ihre Server, Patches und die Skalierung, um die Kapazität automatisch an den zunehmenden Traffic anzupassen.

  • Flexible und wiederverwendbare Regeln: Bei Secure Web Proxy sind Sicherheitsrichtlinien vom Proxy selbst getrennt. Um eine einheitliche Verwaltung zu gewährleisten, erstellen Administratoren eine Reihe von Zugriffsregeln und wenden diese auf mehrere Proxys in verschiedenen Teilen Ihrer Organisation an.

  • Starke Standardsicherheit: Secure Web Proxy hat eine Standardeinstellung für deny-all, die den gesamten ausgehenden Traffic blockiert, bis Sie ihn explizit zulassen. Google Cloud übernimmt automatisch alle Software- und Infrastrukturupdates, wodurch das laufende Risiko von Sicherheitslücken minimiert wird.

  • Identitätssensitive Zugriffssteuerung Da Secure Web Proxy sowohl prüft, woher eine Anfrage kommt (die IP-Adresse), als auch wer die Anfrage stellt (die Nutzer- oder Dienstidentität), basiert der Zugriff auf der Nutzerrolle und dem Bedarf und nicht nur auf dem Netzwerkstandort. Mit Secure Web Proxy können Sie sehr spezifische Regeln erstellen, z. B. „Nur Mitglieder des Finanzteams können auf diese Banking-Website zugreifen.“

  • Einheitliches Traffic-Logging und ‑Auditing: Der gesamte Webtraffic, der Secure Web Proxy durchläuft, wird zentral in Google Cloudprotokolliert und geprüft. Diese einzige, klare Quelle für alle ausgehenden Zugriffe hilft Ihnen, Aktivitäten nachzuverfolgen, Sicherheitsvorfälle zu untersuchen und Compliance-Anforderungen zu erfüllen.

  • Zugriffssteuerung Secure Web Proxy leitet alle Webanfragen (z. B. beim Aufrufen einer Website) von Ihren Cloud-Computern und verbundenen Büros über einen zentralen Prüfpunkt.

Unterstützte Features

Secure Web Proxy unterstützt die folgenden Funktionen:

  • Autoscaling von Secure Web Proxy-Envoy-Proxys: Secure Web Proxy unterstützt die automatische Anpassung der Envoy-Proxy-Poolgröße und der Poolkapazität in einer Region. So wird eine gleichbleibende Leistung in Zeiten hoher Nachfrage zu den niedrigsten Kosten ermöglicht. Mit der Autoscaling-Funktion werden Kapazitätsanpassungen in einer Region automatisch verwaltet. Sie müssen Ihre Proxy-Flotte also nicht manuell überwachen und anpassen. Das sorgt für eine bessere Leistung bei weniger Betriebszeit.

  • Modulare Richtlinien für ausgehenden Zugriff: Secure Web Proxy verwaltet ausgehenden Traffic durch die folgenden Aktionen:

    • Identifiziert Quellentitäten mithilfe von sicheren Tags, Dienstkonten oder IP-Adressen.
    • Filtert Zielziele nach Hostnamen oder URLs, wenn Sie die TLS-Prüfung aktivieren oder unverschlüsseltes HTTP verwenden.
    • Bewertet Anfrageattribute wie Methoden, Header oder URLs, wenn der Traffic unverschlüsseltes HTTP ist oder die TLS-Prüfung aktiviert ist.

    Durch diese modulare Struktur von Richtlinien (Quellen, Ziele und Anfragen) können verschiedene Teams spezifische, wiederverwendbare Regelkomponenten erstellen und verwalten. Ein zentraler Administrator kann eine URL-Liste definieren, auf die mehrere Proxys in ihren jeweiligen Richtlinien verweisen können.

  • Ende-zu-Ende-Verschlüsselung: Client-Proxy-Tunnel können über TLS übertragen werden. Secure Web Proxy unterstützt auch HTTP- und HTTPS-CONNECT für clientseitig initiierte End-to-End-TLS-Verbindungen zum Zielserver.

    Diese wichtige Sicherheitsmaßnahme wird automatisch vom Dienst verwaltet, sodass der Traffic gesichert wird, ohne dass die Verschlüsselungsstandards manuell konfiguriert oder überwacht werden müssen.

  • Integration von Cloud-Audit-Logs und Google Cloud Observability: Mit Google Cloud Observability werden in Cloud-Audit-Logs sowohl administrative Aktionen (Richtlinienänderungen) als auch Zugriffsanfragen und Messwerte (Proxy-Transaktionslogs) für Secure Web Proxy aufgezeichnet. Diese einheitliche, integrierte Ansicht erleichtert die Sicherheitsüberwachung und das Compliance-Reporting.

Funktionsweise von Secure Web Proxy

Der sichere Web-Proxy fungiert als obligatorischer Sicherheitskontrollpunkt für den gesamten Webtraffic vom Netzwerk Ihrer Organisation ins Internet. Interne Arbeitslasten müssen den Sicherheitsregeln für Secure Web Proxy entsprechen, bevor sie das Internet erreichen können.

  1. Zentrales Gateway: Ihre Arbeitslasten, z. B. VMs und Container, sind so konfiguriert, dass alle ausgehenden Webanfragen an die zentrale Secure Web Proxy-Instanz gesendet werden.

  2. Richtliniendurchsetzung: Der Proxy untersucht die Anfrage und wendet Ihre detaillierten Sicherheitsrichtlinien an, um zu entscheiden, ob die Verbindung zugelassen oder abgelehnt werden soll.

  3. Ausgehenden Traffic sichern: Wenn die Anfrage zulässig ist, wird der Traffic über die Google Cloud-Infrastruktur, in der Regel Cloud NAT, sicher ins Internet weitergeleitet. Der Proxy verwendet auch Cloud DNS, um externe Webadressen aufzulösen.

Secure Web Proxy-Richtlinien

Eine Richtlinie für sichere Web-Proxys definiert den allgemeinen Sicherheitsstandard für eine bestimmte Region oder eine Reihe von Arbeitslasten, da sie der Hauptcontainer ist, in dem alle Ihre Sicherheitsanweisungen gespeichert sind.

Hier sind die wichtigsten Funktionen einer Secure Web Proxy-Richtlinie:

  • Die Standardeinstellung einer Richtlinie ist, den gesamten ausgehenden Traffic abzulehnen. So wird sichergestellt, dass keine Webanfrage Ihr Netzwerk verlässt, es sei denn, Sie lassen sie explizit zu.

  • Sie können eine einzelne Richtlinie erstellen und sie für mehrere Secure Web Proxy-Instanzen wiederverwenden. So bleiben Ihre Sicherheitsregeln konsistent und effizient.

Weitere Informationen zu Secure Web Proxy-Richtlinien finden Sie unter Richtlinien – Übersicht.

Secure Web Proxy-Regeln

Jede Secure Web Proxy-Richtlinie enthält eine oder mehrere Secure Web Proxy-Regeln. Diese Regeln sind die einzelnen Anweisungen, die genau festlegen, welcher Traffic zugelassen, abgelehnt oder protokolliert werden soll.

Hier sind die wichtigsten Funktionen von Secure Web Proxy-Regeln:

  • Jede Regel ist eine sehr spezifische if-then-Anweisung, die eine Webanfrage anhand mehrerer Kriterien prüft:

    • Wer fragt: die Quellidentität, z. B. eine bestimmte VM oder ein bestimmtes Dienstkonto

    • Wohin möchten sie gelangen: die Ziel-URL oder ‑Domain, z. B. trusted-partner.com

    • Welche Aktion erforderlich ist: Traffic zulassen oder ablehnen

  • Regeln für sichere Web-Proxys ermöglichen eine detaillierte Steuerung, sodass Sie mithilfe klarer, strukturierter Definitionen verschiedene Sicherheitsstandards für verschiedene Teile Ihrer Organisation erzwingen können.

Weitere Informationen zu Secure Web Proxy-Regeln finden Sie unter Regeln – Übersicht.

Bereitstellungsmodi

In diesem Abschnitt werden die verschiedenen Modi beschrieben, in denen Sie Secure Web Proxy bereitstellen können.

Expliziter Proxy-Routingmodus

In diesem Modus müssen Sie Ihre Arbeitslastumgebungen und Clients explizit so konfigurieren, dass sie direkt auf den Proxyserver verweisen. Secure Web Proxy isoliert dann Ihre Clients vom Internet. Secure Web Proxy fungiert so als Vermittler, stellt neue TCP-Verbindungen für den Client her und sorgt dafür, dass jede Verbindung den Anforderungen der verwalteten Sicherheitsrichtlinie entspricht. Weitere Informationen zum Bereitstellen des expliziten Proxy-Routingmodus finden Sie unter Secure Web Proxy-Instanz erstellen und bereitstellen.

Das folgende Diagramm zeigt die Rolle von Secure Web Proxy als zentrales, obligatorisches Gateway für Traffic, der aus der Google Cloud -Umgebung kommt:

Stellen Sie Secure Web Proxy im Modus für explizites Proxy-Routing bereit.
Sicheren Web-Proxy im expliziten Proxy-Routing-Modus bereitstellen (zum Vergrößern klicken).

Private Service Connect-Dienstanhangmodus

In diesem Modus können Sie Ihre Webproxy-Bereitstellungen in einer komplexen Architektur mit mehreren VPCs (Virtual Private Clouds) zentralisieren. Wenn Sie mehrere Netzwerke haben, können Sie die Bereitstellung von Secure Web Proxy mit Network Connectivity Center zentralisieren.

Wenn Sie Ihre Bereitstellung mit Network Connectivity Center skalieren möchten, gelten einige Limits. Wenn Sie Secure Web Proxy als Private Service Connect-Dienstanhang bereitstellen, können Sie diese Einschränkungen in Bezug auf die Skalierung umgehen.

Wie im folgenden Diagramm dargestellt, wird in diesem Bereitstellungsmodus ein Hub-and-Spoke-Muster erstellt. In dieser Bereitstellung verwaltet Secure Web Proxy (der Hub) den ausgehenden Traffic für Arbeitslasten in allen verbundenen VPC-Netzwerken (den Spokes). Weitere Informationen finden Sie unter Secure Web Proxy als Dienstanhang bereitstellen.

Secure Web Proxy als Private Service Connect-Dienstanhang bereitstellen
Secure Web Proxy als Private Service Connect-Dienstanhang bereitstellen (zum Vergrößern klicken).

Modus für den nächsten Hop

In diesem Modus können Sie Ihre Secure Web Proxy-Bereitstellung so konfigurieren, dass sie als nächster Hop für das Routing in Ihrem Netzwerk fungiert. Mit anderen Worten: Sie können das Netzwerkrouting so konfigurieren, dass ausgehender Traffic automatisch an Ihre Secure Web Proxy-Instanz gesendet wird. Diese Bereitstellungsmethode reduziert den Verwaltungsaufwand für Ihre Organisation, da Sie nicht jede Quellarbeitslast oder jeden Client manuell für die Verwendung des Proxys konfigurieren müssen.

Weitere Informationen finden Sie unter Secure Web Proxy als nächsten Hop bereitstellen.

Beschränkungen

  • IP-Versionen: Secure Web Proxy unterstützt nur IPv4, IPv6 wird nicht unterstützt.

  • HTTP-Versionen: Secure Web Proxy unterstützt die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0. HTTP/3 wird nicht unterstützt.

  • Bereitstellungsbereich: Secure Web Proxy-Instanzen können nur in einem Hostprojekt, nicht in einem Dienstprojekt bereitgestellt werden.

Weitere Google Cloud Tools

Sie können Secure Web Proxy in die folgenden Google Cloud Tools einbinden, um die allgemeine Sicherheit Ihrer Arbeitslasten und Anwendungen zu verbessern:

  • Mit Google Cloud Armor können SieGoogle Cloud -Bereitstellungen vor mehreren Bedrohungen schützen, darunter DDoS-Angriffe (Distributed Denial-of-Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi).

  • Geben Sie VPC-Firewallregeln an, um Verbindungen zu oder von Ihren VM-Instanzen zu sichern.

  • Implementieren Sie VPC Service Controls, um die Daten-Exfiltration aus Google Cloud -Diensten wie Cloud Storage und BigQuery zu verhindern.

  • Verwenden Sie Cloud NAT, um die ungesicherte ausgehende Internetverbindung für bestimmte Google Cloud Ressourcen ohne externe IP-Adresse zu aktivieren.

Nächste Schritte