Secure Web Proxy は、下り(外向き)ウェブ トラフィック(HTTP/S)を保護するクラウド ファーストのサービスです。ゲートウェイとしてSecure Web Proxy を明示的に使用するようにクライアントを構成します。ウェブ リクエストは次のソースから開始されます。
- 仮想マシン(VM)インスタンス
- コンテナ
- サーバーレス コネクタを使用するサーバーレス環境
- Google Cloud Cloud VPN または Cloud Interconnect で接続されたワークロードの外部
Secure Web Proxy を使用すると、クラウド ファースト ID とウェブ アプリケーションに基づいた、柔軟かつ詳細なポリシーを実現できます。
導入モード
Secure Web Proxy は次の方法でデプロイできます。
明示的なプロキシ ルーティング モード
プロキシ サーバーを明示的に使用するようにワークロード環境とクライアントを構成できます。Secure Web Proxy は、管理されたセキュリティ ポリシーを遵守しながら、クライアントに代わって新しい TCP 接続を作成することで、クライアントをインターネットから分離します。
詳細な手順については、Secure Web Proxy インスタンスをデプロイするをご覧ください。
Private Service Connect サービス アタッチメント モード
複数のネットワークがある場合に Secure Web Proxy のデプロイを集中管理するには、Network Connectivity Center を使用します。ただし、Network Connectivity Center でスケールアップする場合は、いくつかの制限があります。Private Service Connect サービス アタッチメントとして Secure Web Proxy を追加すると、このような制限を克服できます。Secure Web Proxy は次のようにデプロイできます。
- Secure Web Proxy ポリシーとルールを作成する。
- ポリシーを使用する Secure Web Proxy インスタンスを作成します。
- サービス アタッチメントを作成して、Secure Web Proxy インスタンスを Private Service Connect サービスとして公開します。
- Secure Web Proxy に接続する必要がある各 VPC ネットワークに Private Service Connect コンシューマ エンドポイントを作成します。
- ワークロードの下り(外向き)トラフィックを、リージョン内の一元化された Secure Web Proxy インスタンスに転送します。
このデプロイはハブ アンド スポーク方式で動作します。Secure Web Proxy は、接続されているさまざまな VPC ネットワーク内のワークロードの下り(外向き)パスにあります。
詳細な手順については、Secure Web Proxy をサービス アタッチメントとしてデプロイするをご覧ください。
ネクストホップとしての Secure Web Proxy
ネットワーク内のルーティングのネクストホップとして機能するように、Secure Web Proxy デプロイメントを構成できます。トラフィック ソースが Secure Web Proxy インスタンスを参照するようにネクストホップ ルーティングを構成すると、ソース ワークロードごとに明示的なプロキシ変数を構成する管理オーバーヘッドを低減できます。ネクストホップ ルーティングの構成の詳細については、ネクストホップとして Secure Web Proxy をデプロイするをご覧ください。
Secure Web Proxy がサポートするソリューション
Secure Web Proxy は、次のソリューションをサポートしています。
Google Cloudへの移行
Secure Web Proxy は、下り(外向き)ウェブ トラフィックの既存のセキュリティ ポリシーと要件を維持しながら、 Google Cloud への移行を支援します。別の管理コンソールの使用、または構成ファイルの手動編集を必要とするサードパーティのソリューションを回避できます。
信頼できる外部ウェブサービスにアクセスする
Secure Web Proxy では、下り(外向き)ウェブ トラフィックに詳細なアクセス ポリシーを適用して、ネットワークを保護できます。ワークロード ID またはアプリケーション ID を作成して識別し、ウェブ ロケーションにポリシーを適用します。
信頼できないウェブサービスへのモニタリングされたアクセス
Secure Web Proxy を使用して、信頼できないウェブサービスへのモニタリング対象アクセスを提供できます。Secure Web Proxy は、ポリシーを遵守していないトラフィックを識別して Cloud Logging(Logging)に記録します。これにより、インターネット使用状況をモニタリングし、ネットワーク上の脅威を検出して対応できるようになります。
Secure Web Proxy のメリット
Secure Web Proxy には、次のような利点があります。
運用時間の短縮
Secure Web Proxy には、設定と構成を行う VM がありません。セキュリティを維持するためにソフトウェアを更新する必要はありません。また、柔軟にスケールできます。最初のポリシー構成後、リージョン Secure Web Proxy のインスタンスがすぐに使用できます。Secure Web Proxy には、設定、テスト、デプロイを簡素化するツールが用意されているため、他のタスクに集中できます。
柔軟なデプロイ
Secure Web Proxy は、基本的かつ柔軟なデプロイをサポートします。Secure Web Proxy インスタンス、安全なウェブプロキシ ポリシー、URL リストはすべて、個別の管理者で作成または再利用できるモジュール式オブジェクトです。たとえば、同じ Secure Web Proxy ポリシーを使用する複数の Secure Web Proxy インスタンスをデプロイできます。
セキュリティの向上
デフォルトでは、Secure Web Proxy の構成とポリシーはすべて拒否です。さらに、 Google Cloud Secure Web Proxy のソフトウェアとインフラストラクチャが自動的に更新され、セキュリティの脆弱性のリスクが軽減されます。
サポートされている機能
Secure Web Proxy は、次の機能をサポートしています。
Secure Web Proxy Envoy プロキシの自動スケーリング: Envoy プロキシプールのサイズとリージョン内のプールの容量を自動的に調整します。これにより、需要が高い期間に最も低コストで、一貫したパフォーマンスが可能になります。
モジュール型下り(外向き)アクセス ポリシー: Secure Web Proxy は、以下の下り(外向き)ポリシーを明示的にサポートしています。
- セキュアタグ、サービス アカウント、IP アドレスに基づく送信元 ID。
- URL、ホスト名に基づくデスティネーション。
- メソッド、ヘッダー、URL に基づくリクエスト。URL は、リスト、ワイルドカード、パターンを使用して指定できます。
エンドツーエンドの暗号化: クライアント プロキシ トンネルは TLS 経由で転送される場合があります。Secure Web Proxy は、宛先サーバーへのクライアントが開始したエンドツーエンドの TLS 接続用に HTTP/S
CONNECTもサポートしています。Cloud Audit Logs と Google Cloud Observability の統合: Cloud Audit Logs と Google Cloud Observability は、Secure Web Proxy 関連リソースの管理アクティビティとアクセス リクエストを記録します。また、プロキシで処理されるリクエストの指標とトランザクション ログも記録されます。
検討すべきその他の Google Cloud ツール
Google Cloud には、デプロイ用に次のツールが用意されています。 Google Cloud
Google Cloud Armor を使用すると、分散型サービス拒否(DDoS)攻撃やクロスサイト スクリプティング(XSS)および SQL インジェクション(SQLi)などのアプリケーション攻撃などの複数の脅威からGoogle Cloud デプロイを保護できます。
VPC ファイアウォール ルールを指定して、VM インスタンスとの間の接続を保護します。
VPC Service Controls を実装して、Cloud Storage や BigQuery などのサービスからのデータ漏洩を防ぎます。 Google Cloud
Cloud NAT を使用して、外部 IP アドレスを持たない特定の Google Cloud リソースに対して、セキュリティが確保されていないインターネットへの送信接続を有効にします。