보안 웹 프록시는 조직의 내부 네트워크에서 나가는 모든 웹 트래픽(HTTP 및 HTTPS)을 보호하는 데 도움이 됩니다. 명시적으로 보안 웹 프록시를 게이트웨이로 사용하도록 클라이언트를 구성하면 보안 웹 프록시는 조직 외부의 웹사이트에 액세스하려고 하는 모든 애플리케이션 또는 서비스의 필수 보안 검사 지점이 됩니다.
이점
보안 웹 프록시는 다음과 같은 주요 이점을 제공합니다.
유지보수 불필요. 정책을 설정하면 보안 웹 프록시가 서버, 패치, 확장을 관리하여 트래픽이 증가함에 따라 용량을 자동으로 조정합니다.
유연하고 재사용 가능한 규칙 보안 웹 프록시를 사용하면 보안 정책이 프록시 자체와 분리됩니다. 일관된 관리를 위해 관리자는 액세스 규칙 집합을 만들고 조직의 여러 부분에 걸쳐 여러 프록시에 집합을 적용합니다.
강력한 기본 보안 보안 웹 프록시에는 명시적으로 허용할 때까지 모든 아웃바운드 트래픽을 차단하는 기본
deny-all설정이 있습니다. Google Cloud 는 모든 소프트웨어 및 인프라 업데이트를 자동으로 처리하여 보안 취약점의 지속적인 위험을 최소화합니다.ID 인식 액세스 제어 보안 웹 프록시는 요청이 전송되는 위치 (IP 주소)와 요청을 보내는 사용자 (사용자 또는 서비스 ID)를 모두 확인하므로 액세스는 네트워크 위치뿐만 아니라 사용자 역할과 필요에 따라 결정됩니다. 보안 웹 프록시를 사용하면 '재무팀 구성원만 이 은행 웹사이트에 액세스할 수 있습니다'와 같은 매우 구체적인 규칙을 만들 수 있습니다.
통합 트래픽 로깅 및 감사 보안 웹 프록시를 통과하는 모든 웹 트래픽은 Google Cloud내에서 중앙에서 로깅되고 감사됩니다. 모든 아웃바운드 액세스를 위한 명확한 단일 정보 소스를 통해 활동을 추적하고, 보안 사고를 조사하고, 규정 준수 요구사항을 충족할 수 있습니다.
액세스 제어 보안 웹 프록시는 클라우드 컴퓨터와 연결된 사무실에서 발생하는 모든 웹 요청 (예: 웹사이트 방문)을 중앙 검사 지점을 통과하도록 라우팅합니다.
지원되는 기능
보안 웹 프록시는 다음 기능을 지원합니다.
보안 웹 프록시 Envoy 프록시 자동 확장: 보안 웹 프록시는 리전 내 Envoy 프록시 풀 크기와 풀의 용량을 자동으로 조정하므로 수요가 많은 기간 동안 최저 비용으로 일관된 성능이 사용 설정됩니다. 자동 확장 기능은 리전의 용량 조정을 자동으로 관리합니다. 즉, 프록시 풀을 수동으로 모니터링하고 크기를 조정할 필요가 없으므로 운영 시간이 단축되어 성능이 향상됩니다.
모듈식 아웃바운드 액세스 정책: 보안 웹 프록시는 다음 작업을 통해 아웃바운드 트래픽을 관리합니다.
- 보안 태그, 서비스 계정 또는 IP 주소를 사용하여 소스 엔티티를 식별합니다.
- TLS 검사를 사용 설정하거나 암호화되지 않은 HTTP를 사용하는 경우 호스트 이름 또는 URL로 대상 타겟을 필터링합니다.
- 트래픽이 암호화되지 않은 HTTP이거나 TLS 검사가 사용 설정된 경우 메서드, 헤더, URL과 같은 요청 속성을 평가합니다.
정책 (소스, 대상, 요청)의 이러한 모듈식 특성을 통해 다양한 팀에서 재사용 가능한 특정 규칙 구성요소를 만들고 관리할 수 있습니다. 중앙 관리자는 여러 프록시가 고유한 정책에서 참조할 수 있는 URL 목록을 정의할 수 있습니다.
엔드 투 엔드 암호화: 클라이언트 프록시 터널이 TLS를 통해 전송될 수 있습니다. 또한 보안 웹 프록시는 클라이언트에서 시작된 대상 서버에 대한 엔드 투 엔드 TLS 연결의 HTTP 및 HTTPS
CONNECT를 지원합니다.이 중요한 보안 조치는 서비스에서 자동으로 관리하므로 암호화 표준을 수동으로 구성하거나 모니터링하지 않아도 트래픽이 보호됩니다.
Cloud 감사 로그 및 Google Cloud Observability 통합: Google Cloud Observability를 사용하여 Cloud 감사 로그는 보안 웹 프록시의 관리 작업 (정책 변경)과 액세스 요청 및 측정항목 (프록시 트랜잭션 로그)을 모두 기록합니다. 이 통합된 기본 제공 뷰를 통해 보안 모니터링 및 규정 준수 보고가 간소화됩니다.
보안 웹 프록시 작동 방식
보안 웹 프록시는 조직 네트워크에서 인터넷으로 전송되는 모든 웹 트래픽의 필수 보안 체크포인트 역할을 합니다. 내부 워크로드가 인터넷에 연결되려면 보안 웹 프록시 보안 규칙을 준수해야 합니다.
중앙 집중식 게이트웨이: 가상 머신 (VM), 컨테이너와 같은 워크로드가 모든 아웃바운드 웹 요청을 중앙 보안 웹 프록시 인스턴스로 전송하도록 구성됩니다.
정책 시행: 프록시가 요청을 검사하고 세분화된 보안 정책을 적용하여 연결을 허용할지 거부할지 결정합니다.
아웃바운드 트래픽 보안: 요청이 허용되면 일반적으로 Cloud NAT인 Google Cloud인프라를 사용하여 트래픽이 인터넷으로 안전하게 라우팅됩니다. 프록시는 Cloud DNS를 사용하여 외부 웹 주소를 확인합니다.
보안 웹 프록시 정책
보안 웹 프록시 정책은 모든 보안 지침을 저장하는 기본 컨테이너이므로 특정 리전 또는 워크로드 집합의 전반적인 보안 표준을 정의합니다.
보안 웹 프록시 정책의 주요 기능은 다음과 같습니다.
정책의 기본 설정은 모든 아웃바운드 트래픽을 거부하는 것이므로 명시적으로 허용하지 않는 한 웹 요청이 네트워크를 벗어나지 않습니다.
단일 정책을 만들어 여러 보안 웹 프록시 인스턴스에서 재사용하면 보안 규칙을 일관되고 효율적으로 유지할 수 있습니다.
보안 웹 프록시 정책에 대한 자세한 내용은 정책 개요를 참고하세요.
보안 웹 프록시 규칙
모든 보안 웹 프록시 정책에는 하나 이상의 보안 웹 프록시 규칙이 있습니다. 이러한 규칙은 허용, 거부 또는 로깅할 트래픽을 정확하게 결정하는 개별 명령어입니다.
보안 웹 프록시 규칙의 주요 기능은 다음과 같습니다.
각 규칙은 웹 요청을 여러 기준에 대해 확인하는 매우 구체적인
if-then문입니다.요청자: 특정 VM 또는 서비스 계정과 같은 소스 ID
어디로 이동하려고 하는지: 도착 URL 또는 도메인(예:
trusted-partner.com)취해야 하는 조치: 트래픽 허용 또는 거부
보안 웹 프록시 규칙은 세부적인 제어를 제공하므로 명확하고 구조화된 정의를 사용하여 조직의 여러 부분에 대해 다양한 보안 표준을 적용할 수 있습니다.
보안 웹 프록시 규칙에 대한 자세한 내용은 규칙 개요를 참고하세요.
배포 모드
이 섹션에서는 보안 웹 프록시를 배포할 수 있는 다양한 모드를 설명합니다.
명시적 프록시 라우팅 모드
이 모드에서는 프록시 서버를 직접 가리키도록 워크로드 환경과 클라이언트를 명시적으로 구성해야 합니다. 그러면 보안 웹 프록시가 인터넷에서 클라이언트를 격리합니다. 이러한 방식으로 보안 웹 프록시는 중개자 역할을 하여 클라이언트를 위한 새 TCP 연결을 설정하고 모든 연결이 관리되는 보안 정책의 요구사항을 충족하도록 합니다. 명시적 프록시 라우팅 모드를 배포하는 방법에 관한 자세한 내용은 보안 웹 프록시 인스턴스 만들기 및 배포를 참고하세요.
다음 다이어그램은 Google Cloud 환경에서 나가는 트래픽의 중앙 집중식 필수 게이트웨이로서 보안 웹 프록시의 역할을 보여줍니다.
Private Service Connect 서비스 연결 모드
이 모드를 사용하면 복잡한 다중 Virtual Private Cloud (VPC) 아키텍처에서 웹 프록시 배포를 중앙 집중화할 수 있습니다. 여러 네트워크가 있는 경우 보안 웹 프록시 배포를 중앙에서 관리하려면 Network Connectivity Center를 사용하세요.
Network Connectivity Center로 배포를 확장하려고 할 때 몇 가지 한도가 있습니다. 보안 웹 프록시를 Private Service Connect 서비스 연결로 배포하면 이러한 확장 관련 제한사항을 해결할 수 있습니다.
다음 다이어그램에 표시된 것처럼 이 배포 모드는 허브 앤 스포크 패턴을 만듭니다. 이 배포에서 보안 웹 프록시 (허브)는 연결된 모든 VPC 네트워크 (스포크)의 워크로드의 아웃바운드 트래픽을 관리합니다. 자세한 내용은 서비스 연결로 보안 웹 프록시 배포를 참고하세요.
다음 홉 모드
이 모드에서는 보안 웹 프록시 배포를 네트워크 라우팅의 다음 홉으로 작동하도록 구성할 수 있습니다. 즉, 아웃바운드 트래픽이 보안 웹 프록시 인스턴스로 자동 전송되도록 네트워크 라우팅을 구성할 수 있습니다. 이 배포 방법을 사용하면 프록시를 사용하도록 각 소스 워크로드나 클라이언트를 수동으로 구성하지 않아도 되므로 조직의 관리 오버헤드가 줄어듭니다.
자세한 내용은 보안 웹 프록시를 다음 홉으로 배포를 참고하세요.
제한사항
IP 버전: Secure Web Proxy는 IPv4만 지원하며 IPv6는 지원되지 않습니다.
HTTP 버전: Secure Web Proxy는 HTTP/0.9, 1.0, 1.1, 2.0 버전을 지원합니다. HTTP/3은 지원되지 않습니다.
배포 범위: 보안 웹 프록시 인스턴스는 서비스 프로젝트가 아닌 호스트 프로젝트에만 배포할 수 있습니다.
고려할 만한 추가 도구 Google Cloud
다음 Google Cloud 도구와 보안 웹 프록시를 통합하여 워크로드 및 애플리케이션의 전반적인 보안 상황을 개선할 수 있습니다.
Google Cloud Armor를 사용하여 DDoS 공격과 교차 사이트 스크립팅(XSS) 및 SQL 삽입(SQLi)과 같은 애플리케이션 공격을 포함한 여러 위협으로부터Google Cloud 배포를 보호합니다.
VPC 방화벽 규칙을 지정하여 VM 인스턴스와의 연결을 보호합니다.
VPC 서비스 제어를 구현하여 Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 데이터 무단 반출을 방지합니다.
Cloud NAT를 사용하여 외부 IP 주소 없이 특정 Google Cloud 리소스에 대해 보안되지 않은 아웃바운드 인터넷 연결을 사용 설정합니다.