Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan Secure Web Proxy

Secure Web Proxy membantu Anda mengamankan semua traffic web keluar—HTTP dan HTTPS—dari jaringan internal organisasi Anda. Saat Anda mengonfigurasi klien untuk menggunakan Secure Web Proxy secara eksplisit sebagai gateway, Secure Web Proxy adalah pos pemeriksaan keamanan wajib untuk aplikasi atau layanan apa pun yang mencoba mengakses situs di luar organisasi Anda.

Manfaat

Secure Web Proxy memberikan manfaat utama berikut:

Tak perlu pemeliharaan. Setelah Anda menetapkan kebijakan, Secure Web Proxy akan mengelola server, patching, dan penskalaan untuk menyesuaikan kapasitas secara otomatis seiring pertumbuhan traffic Anda.
Aturan yang fleksibel dan dapat digunakan kembali. Dengan Secure Web Proxy, kebijakan keamanan terpisah dari proxy itu sendiri. Untuk membantu memastikan pengelolaan yang konsisten, administrator membuat serangkaian aturan akses dan menerapkan aturan tersebut ke beberapa proxy di berbagai bagian organisasi Anda.
Keamanan default yang kuat. Secure Web Proxy memiliki setelan default deny-all yang memblokir semua traffic keluar hingga Anda mengizinkannya secara eksplisit. Google Cloud menangani semua update software dan infrastruktur secara otomatis, yang meminimalkan risiko kerentanan keamanan yang sedang berlangsung.
Kontrol akses yang mendukung identitas. Karena Secure Web Proxy memeriksa dari mana permintaan berasal (alamat IP) dan siapa yang membuat permintaan (identitas pengguna atau layanan), akses didasarkan pada peran dan kebutuhan pengguna, bukan hanya lokasi jaringan. Identitas dapat berupa akun layanan, tag aman, atau identitas apa pun yang diberikan oleh sertifikat klien yang diverifikasi menggunakan mTLS frontend. Secure Web Proxy memungkinkan Anda membuat aturan yang sangat spesifik, seperti "Hanya anggota tim Keuangan yang dapat mengakses situs perbankan ini".
Logging dan audit traffic terpadu. Semua traffic web yang melewati Secure Web Proxy dicatat dan diaudit secara terpusat di dalamnya Google Cloud. Sumber kebenaran yang tunggal dan jelas untuk semua akses keluar ini membantu Anda melacak aktivitas, menyelidiki insiden keamanan, dan memenuhi persyaratan kepatuhan.
Pemeriksaan terpusat. Secure Web Proxy mengonsolidasikan permintaan web keluar dari workload cloud dan kantor yang terhubung ke satu titik pemeriksaan untuk penerapan kebijakan yang konsisten.
Pengelolaan port yang disederhanakan. Anda dapat memilih untuk memproses permintaan di semua port (dari 1 hingga 65535) saat men-deploy instance Secure Web Proxy sebagai next hop. Fungsi ini menghilangkan kebutuhan untuk menghitung port tertentu dan berguna untuk lingkungan atau layanan dinamis yang menggunakan beberapa port. Untuk mengetahui informasi tentang batasan terkait penggunaan fitur all_ports, lihat Batasan.

Fitur yang didukung

Secure Web Proxy mendukung fitur berikut:

Proxy Envoy Secure Web Proxy penskalaan otomatis: Secure Web Proxy mendukung penyesuaian ukuran kumpulan proxy Envoy dan kapasitas kumpulan secara otomatis di suatu region, yang memungkinkan performa yang konsisten selama periode permintaan tinggi dengan biaya terendah. Fitur penskalaan otomatis mengelola penyesuaian kapasitas di suatu region secara otomatis. Artinya, Anda tidak perlu memantau dan mengubah ukuran fleet proxy secara manual, sehingga memastikan performa yang lebih baik dengan waktu operasional yang lebih singkat.
Kebijakan akses keluar modular: Secure Web Proxy mengelola traffic keluar melalui tindakan berikut:
- Mengidentifikasi entitas sumber menggunakan tag aman, akun layanan, alamat IP, atau identitas sertifikat klien yang diverifikasi secara kriptografi dengan mTLS frontend.
- Memfilter target tujuan berdasarkan nama host atau URL saat Anda mengaktifkan pemeriksaan TLS atau menggunakan HTTP yang tidak dienkripsi.
- Mengevaluasi atribut permintaan seperti metode, header, atau URL jika traffic adalah HTTP yang tidak dienkripsi atau jika pemeriksaan TLS diaktifkan.
Kebijakan yang bersifat modular ini (sumber, tujuan, dan permintaan) memungkinkan berbagai tim membuat dan mengelola komponen aturan tertentu yang dapat digunakan kembali. Administrator pusat dapat menentukan daftar URL yang kemudian dapat dirujuk oleh beberapa proxy dalam kebijakan yang berbeda.
Enkripsi end-to-end: tunnel proxy klien dapat transit melalui TLS. Secure Web Proxy juga mendukung CONNECT HTTP dan HTTPS untuk koneksi TLS end-to-end yang dimulai klien ke server tujuan.

Tindakan keamanan penting ini dikelola secara otomatis oleh layanan sehingga traffic diamankan tanpa memerlukan konfigurasi atau pemantauan standar enkripsi secara manual.
Integrasi Cloud Audit Logs dan Google Cloud Observability: dengan menggunakan Google Cloud Observability, Cloud Audit Logs mencatat tindakan administratif (perubahan kebijakan) dan permintaan serta metrik akses (log transaksi proxy) untuk Secure Web Proxy. Tampilan bawaan terpadu ini memfasilitasi pemantauan keamanan dan pelaporan kepatuhan.

Cara kerja Secure Web Proxy

Secure Web Proxy bertindak sebagai pos pemeriksaan keamanan wajib untuk semua traffic web dari jaringan organisasi Anda ke internet. Workload internal harus mematuhi aturan keamanan Secure Web Proxy sebelum dapat menjangkau internet.

Gateway terpusat: workload Anda, seperti mesin virtual (VM) dan container, dikonfigurasi untuk mengirim semua permintaan web keluar ke instance Secure Web Proxy pusat.
Penerapan kebijakan: proxy memeriksa permintaan dan menerapkan kebijakan keamanan Anda untuk menentukan apakah akan mengizinkan atau menolak koneksi.
Traffic keluar yang aman: jika permintaan diizinkan, traffic akan dirutekan dengan aman ke internet menggunakan Google Cloud infrastruktur, biasanya Cloud NAT. Proxy juga menggunakan Cloud DNS untuk me-resolve alamat web eksternal.

Kebijakan dan aturan

Anda dapat mengonfigurasi kebijakan dan aturan berikut di instance Secure Web Proxy:

Kebijakan otorisasi: kebijakan ini memungkinkan Anda menetapkan pemeriksaan kontrol akses berbasis identitas atau berbasis tujuan saat memproses permintaan keluar melalui instance Secure Web Proxy. Anda dapat mengonfigurasi kebijakan otorisasi (AuthzPolicy) untuk memvalidasi identitas workload atau agen sumber yang mengakses internet.
Kebijakan keamanan gateway: kebijakan ini menentukan standar keamanan keseluruhan untuk gateway tertentu. Kebijakan keamanan gateway adalah container utama untuk petunjuk keamanan Anda.
Aturan keamanan gateway: dalam setiap kebijakan keamanan gateway, Anda dapat menambahkan satu atau beberapa aturan keamanan gateway. Aturan ini adalah petunjuk individual yang mengizinkan atau menolak traffic berdasarkan berbagai kriteria.

Mode deployment

Anda dapat men-deploy instance Secure Web Proxy dalam salah satu mode berikut:

Mode perutean proxy eksplisit: dalam mode ini, Anda harus mengonfigurasi lingkungan dan klien workload secara eksplisit untuk mengarah langsung ke server proxy. Secure Web Proxy kemudian mengisolasi klien Anda dari internet. Dengan cara ini, Secure Web Proxy bertindak sebagai perantara, membuat koneksi TCP baru untuk klien dan memastikan bahwa setiap koneksi memenuhi persyaratan kebijakan keamanan yang dikelola.
Mode lampiran layanan Private Service Connect: dalam mode ini, Anda dapat memusatkan deployment proxy web di seluruh arsitektur multi-VPC yang kompleks.
Mode next hop: dalam mode ini, Anda dapat mengonfigurasi instance Secure Web Proxy untuk bertindak sebagai next hop untuk perutean di jaringan Anda. Dengan kata lain, Anda dapat mengonfigurasi perutean jaringan untuk otomatis mengirim traffic keluar ke instance Secure Web Proxy. Metode deployment ini mengurangi overhead administratif organisasi Anda karena Anda tidak perlu mengonfigurasi setiap workload atau klien sumber secara manual untuk menggunakan proxy.

Batasan

Versi IP: Secure Web Proxy hanya mendukung IPv4; IPv6 tidak didukung.
Versi HTTP: Secure Web Proxy mendukung versi HTTP/0.9, 1.0, 1.1, dan 2.0. HTTP/3 tidak didukung.
Cakupan deployment: Anda hanya dapat men-deploy instance Secure Web Proxy di project host, bukan di project layanan.

Alat tambahan Google Cloud yang perlu dipertimbangkan

Anda dapat mengintegrasikan Secure Web Proxy dengan alat berikut Google Cloud untuk meningkatkan postur keamanan keseluruhan workload dan aplikasi Anda:

Gunakan mutual TLS (mTLS) frontend untuk memungkinkan Secure Web Proxy mengonfigurasi identitas klien yang divalidasi dalam kebijakan otorisasi dan menerapkan kontrol akses terperinci untuk traffic keluar.
Gunakan Certificate Manager untuk mengelola trust anchor (sertifikat root) dan CA perantara yang diperlukan untuk memvalidasi sertifikat klien dalam koneksi mTLS frontend ke Secure Web Proxy.
Terapkan Kontrol Layanan VPC untuk mencegah pemindahan data yang tidak sah dari Google Cloud layanan, seperti Cloud Storage dan BigQuery.

Ringkasan Secure Web Proxy Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.