Secure Web Proxy は、組織の内部ネットワークから送信されるすべてのウェブ トラフィック(HTTP と HTTPS)を保護します。ゲートウェイとして Secure Web Proxy を明示的に使用するようにクライアントを構成すると、Secure Web Proxy は、組織外のウェブサイトにアクセスしようとするアプリケーションまたはサービスにとって必須のセキュリティ チェックポイントになります。
特典
Secure Web Proxy には、次のような主な利点があります。
メンテナンス不要 。ポリシーを設定すると、Secure Web Proxy がサーバー、パッチ適用、スケーリングを管理し、トラフィックの増加に応じて容量を自動的に調整します。
柔軟で再利用可能なルール 。Secure Web Proxy では、セキュリティ ポリシーはプロキシ自体から分離されています。管理者は、一貫した管理を確保するために、一連のアクセスルールを作成し、組織のさまざまな部分にある複数のプロキシに適用します。
強力なデフォルト セキュリティ 。Secure Web Proxy には、明示的に許可するまで、すべての下り(外向き)トラフィックをブロックするデフォルトの
deny-all設定があります。 は、すべての ソフトウェアとインフラストラクチャの更新を自動的に処理するため、 セキュリティの脆弱性の継続的なリスクを最小限に抑えます。 Google CloudID に基づくアクセス制御 。Secure Web Proxy は、リクエストの送信元(IP アドレス)とリクエストの送信者(ユーザーまたはサービス ID)をチェックするため、アクセスはネットワークの場所だけでなく、ユーザーのロールとニーズに基づいて行われます。ID は、 サービス アカウント、セキュア タグ、またはフロントエンド mTLS を使用して検証されるクライアント 証明書によって提供される ID にすることができます。Secure Web Proxy を使用すると、「財務チームのメンバーのみがこの銀行のウェブサイトにアクセスできる」など、非常に具体的なルールを作成できます。
統合されたトラフィック ロギングと監査 。Secure Web Proxy を通過するすべてのウェブ トラフィックは、 内で一元的にロギングおよび監査されます。 Google Cloud 下り(外向き)アクセスに関する単一の明確な信頼できる情報源により、アクティビティの追跡、セキュリティ インシデントの調査、コンプライアンス要件の遵守が可能になります。
一元化された検査 。Secure Web Proxy は、クラウド ワークロードと接続されたオフィスからの下り(外向き)ウェブ リクエストを単一の検査ポイントに統合し、一貫したポリシー適用を実現します。
ポート管理の簡素化 。Secure Web Proxy インスタンスをネクストホップとしてデプロイする場合は、必要に応じてすべてのポート(
1~65535)でリッスンできます。この機能により、特定のポートを列挙する必要がなくなり、複数のポートを使用する動的な環境やサービスに便利です。all_ports機能の使用に関連する制限事項については、 制限事項をご覧ください。
サポートされている機能
Secure Web Proxy は、次の機能をサポートしています。
Secure Web Proxy Envoy プロキシの自動スケーリング: Secure Web Proxy は、Envoy プロキシプールのサイズとリージョン内のプールの 容量を自動的に調整します。これにより、 需要が高い期間に最も低コストで、一貫したパフォーマンスが可能になります。自動スケーリング機能は、リージョン内の容量調整を自動的に管理します。つまり、プロキシ フリートを手動でモニタリングしてサイズを変更する必要がないため、運用時間を短縮してパフォーマンスを向上させることができます。
モジュール型下り(外向き)アクセス ポリシー: Secure Web Proxy は、次のアクションで下り(外向き) トラフィックを管理します。
- フロントエンド mTLS で暗号的に検証されたセキュアタグ、サービス アカウント、IP アドレス、クライアント証明書 ID を使用して、ソース エンティティを識別します。
- TLS インスペクションを有効にするか、暗号化されていない HTTP を使用する場合は、ホスト名または URL で宛先ターゲットをフィルタします。
- トラフィックが暗号化されていない HTTP の場合、または TLS インスペクションが有効になっている場合は、メソッド、ヘッダー、URL などのリクエスト属性を評価します。
ポリシー(ソース、宛先、リクエスト)のモジュール性により、さまざまなチームが特定の再利用可能なルール コンポーネントを作成して管理できます。中央管理者は、複数のプロキシが個別のポリシーで参照できる URL リストを定義できます。
エンドツーエンドの暗号化: クライアントとプロキシ間のトンネルは TLS を介して転送できます。 Secure Web Proxy は、宛先サーバーへのクライアントが開始したエンドツーエンドの TLS 接続用に HTTP と HTTPS
CONNECTもサポートしています。この重要なセキュリティ対策はサービスによって自動的に管理されるため、暗号化基準を手動で構成またはモニタリングしなくてもトラフィックを保護できます。
Cloud Audit Logs と Google Cloud Observability の統合: Google Cloud Observability を使用すると、Cloud Audit Logs は、Secure Web Proxy の管理アクション(ポリシーの変更)とアクセス リクエストと指標(プロキシ トランザクション ログ)の両方を記録します。この統合された組み込みビューにより、セキュリティ モニタリングとコンプライアンス レポートが容易になります。
Secure Web Proxy の仕組み
Secure Web Proxy は、組織のネットワークからインターネットへのすべてのウェブ トラフィックに対して必須のセキュリティ チェックポイントとして機能します。内部ワークロードは、インターネットにアクセスする前に Secure Web Proxy のセキュリティ ルールに準拠する必要があります。
一元化されたゲートウェイ: 仮想マシン(VM)や コンテナなどのワークロードは、すべての下り(外向き)ウェブ リクエストを 中央の Secure Web Proxy インスタンスに送信するように構成されます。
ポリシーの適用: プロキシはリクエストを検査し、 セキュリティ ポリシーを適用して、接続を許可するか拒否するかを決定します。
下り(外向き)トラフィックの保護: リクエストが許可されると、トラフィックは 通常は Cloud NAT を使用して、インフラストラクチャを介してインターネットに Google Cloud 安全にルーティングされます。プロキシは Cloud DNS を使用して外部ウェブアドレスを解決します。
ポリシーとルール
Secure Web Proxy インスタンスでは、次のポリシーとルールを構成できます。
認可ポリシー: これらのポリシーを使用すると、Secure Web Proxy インスタンスを介して下り(外向き)リクエストを処理する際に、ID ベースまたは宛先ベースのアクセス 制御チェックを確立できます。認可ポリシー (
AuthzPolicy) を構成して、 インターネットにアクセスするソース ワークロードまたはエージェントの ID を検証できます。ゲートウェイ セキュリティ ポリシー: これらのポリシーは、 特定のゲートウェイの全体的なセキュリティ基準を定義します。ゲートウェイ セキュリティ ポリシーは、セキュリティ手順のメイン コンテナです。
ゲートウェイ セキュリティ ルール: ゲートウェイ セキュリティ ポリシーごとに、1 つ以上のゲートウェイ セキュリティ ルールを追加できます。これらのルールは、さまざまな条件に基づいてトラフィックを許可または拒否する個々の手順です。
導入モード
Secure Web Proxy インスタンスは、次のいずれかのモードでデプロイできます。
明示的なプロキシ ルーティング モード: この モードでは、プロキシ サーバーを直接参照するようにワークロード環境とクライアントを 明示的に構成する必要があります。Secure Web Proxy は、クライアントをインターネットから分離します。このように、Secure Web Proxy は仲介役として機能し、クライアントの新しい TCP 接続を確立し、すべての接続が管理されたセキュリティ ポリシーの要件を満たすようにします。
Private Service Connect サービス アタッチメント モード: このモードでは、複雑なマルチ VPC アーキテクチャ全体でウェブプロキシのデプロイを一元化できます。
ネクストホップ モード: このモードでは、ネットワーク内のルーティングのネクストホップとして機能するように Secure Web Proxy インスタンスを 構成できます。つまり、下り(外向き)トラフィックを Secure Web Proxy インスタンスに自動的に送信するようにネットワーク ルーティングを構成できます。このデプロイ方法では、プロキシを使用するようにソース ワークロードまたはクライアントを手動で構成する必要がないため、組織の管理オーバーヘッドが軽減されます。
制限事項
IP バージョン: Secure Web Proxy は IPv4 のみをサポートしています。IPv6 はサポートされていません。
HTTP バージョン: Secure Web Proxy は HTTP/0.9、1.0、1.1、2.0 バージョンをサポートしています。HTTP/3 はサポートされていません。
デプロイ スコープ: Secure Web Proxy インスタンスは、サービス プロジェクトではなく、 ホスト プロジェクトにのみデプロイできます。
検討すべき追加 Google Cloud ツール
Secure Web Proxy を次の Google Cloud ツール と統合して、ワークロードとアプリケーションの全体的なセキュリティ ポスチャーを強化できます。
フロントエンド相互 TLS(mTLS)を使用して、Secure Web Proxy が認可ポリシーで検証済みのクライアント ID を構成し、下り(外向き)トラフィックに対してきめ細かいアクセス制御を適用できるようにします。
Certificate Manager を使用して、 Secure Web Proxy へのフロントエンド mTLS 接続でクライアント証明書を検証するために必要な信頼アンカー(ルート証明書)と中間 CA を 管理します。
VPC Service Controls を実装して、 Cloud Storage や BigQuery などのサービスからのデータ漏洩を Google Cloud 防ぎます。