安全 Web 代理概览

安全 Web 代理可帮助您保护组织内部网络中的所有出站网络流量(包括 HTTP 和 HTTPS)。当您将客户端配置为显式使用 Secure Web Proxy 作为网关时,对于尝试访问组织外部网站的任何应用或服务,Secure Web Proxy 都是强制性的安全检查点。

优势

安全 Web 代理具有以下主要优势:

  • 零维护。设置政策后,安全 Web 代理会管理您的服务器、修补程序和伸缩,以便在流量增加时自动调整容量。

  • 灵活且可重复使用的规则。借助安全 Web 代理,安全政策与代理本身是分开的。为了确保管理的一致性,管理员会创建一组访问规则,并将该组规则应用于组织不同部门的多个代理。

  • 强大的默认安全性。安全 Web 代理具有默认的 deny-all 设置,可阻止所有出站流量,直到您明确允许为止。 Google Cloud 会自动处理所有软件和基础架构更新,从而最大限度地降低安全漏洞带来的持续风险。

  • 身份感知访问权限控制。由于安全 Web 代理会同时检查请求的来源(IP 地址)和请求的发出者(用户或服务身份),因此访问权限是根据用户角色和需求授予的,而不仅仅是根据网络位置授予的。借助安全 Web 代理,您可以创建高度具体的规则,例如“只有财务团队的成员才能访问此银行网站”。

  • 统一的流量日志记录和审核。通过 Secure Web Proxy 的所有 Web 流量都会在 Google Cloud中集中记录和审核。这种单一、清晰的可靠来源可提供所有出站访问权限,有助于您跟踪活动、调查安全事件并满足合规性要求。

  • 访问权限控制。安全 Web 代理会将云计算机和已连接的办公室中的所有 Web 请求(例如访问网站)路由到中央检查点。

支持的功能

安全 Web 代理支持以下功能:

  • 自动扩缩 Secure Web Proxy Envoy 代理:Secure Web Proxy 支持自动调整区域中的 Envoy 代理池大小和池容量,从而在需求高峰期以最低的成本实现稳定的性能。自动扩缩功能可自动管理区域内的容量调整。这意味着您无需手动监控和调整代理舰队的大小,从而以更少的运营时间获得更好的性能。

  • 模块化出站访问权限政策:安全 Web 代理通过以下操作管理出站流量:

    • 使用安全标记、服务账号或 IP 地址来标识来源实体。
    • 在启用 TLS 检查或使用未加密的 HTTP 时,按主机名或网址过滤目标。
    • 如果流量是未加密的 HTTP 流量,或者启用了 TLS 检查,则评估请求属性(例如方法、标头或网址)。

    政策(来源、目标位置和请求)的这种模块化特性使各个团队能够创建和管理特定的可重复使用的规则组件。中央管理员可以定义一个网址列表,然后多个代理可以在各自的政策中引用该列表。

  • 端到端加密:客户端-代理隧道可以通过 TLS 进行传输。 安全 Web 代理还支持 HTTP 和 HTTPS CONNECT,以便建立由客户端发起的与目标服务器的端到端 TLS 连接。

    这项关键的安全措施由服务自动管理,因此流量会受到保护,而无需手动配置或监控加密标准。

  • Cloud Audit Logs 与 Google Cloud Observability 集成:通过使用 Google Cloud Observability,Cloud Audit Logs 可以记录安全 Web 代理的管理操作(政策变更)以及访问请求和指标(代理交易日志)。这种统一的内置视图有助于进行安全监控和生成合规性报告。

安全 Web 代理的工作原理

安全 Web 代理充当从组织网络到互联网的所有 Web 流量的强制性安全检查点。内部工作负载必须遵守安全 Web 代理安全规则,然后才能访问互联网。

  1. 集中式网关:将工作负载(例如虚拟机 [VM] 和容器)配置为将所有出站 Web 请求发送到中央安全 Web 代理实例。

  2. 政策执行:代理会检查请求并应用精细的安全政策,以确定是允许还是拒绝连接。

  3. 安全出站流量:如果允许请求,则流量会使用 Google Cloud基础架构(通常是 Cloud NAT)安全地路由到互联网。代理还会使用 Cloud DNS 解析外部网址。

安全 Web 代理政策

安全 Web 代理政策定义了特定区域或一组工作负载的总体安全标准,因为它是存储所有安全指令的主要容器。

以下是 Secure Web Proxy 政策的主要功能:

  • 政策的默认设置是拒绝所有出站流量,这可确保除非您明确允许,否则不会有任何 Web 请求离开您的网络。

  • 您可以创建一项政策,并在多个安全 Web 代理实例中重复使用,从而确保安全规则的一致性和高效性。

如需详细了解 Secure Web Proxy 政策,请参阅政策概览

安全 Web 代理规则

每项 Secure Web Proxy 政策中都包含一条或多条 Secure Web Proxy 规则。这些规则是单独的指令,可精确确定要允许、拒绝或记录哪些流量。

以下是安全 Web 代理规则的主要特点:

  • 每条规则都是一条高度具体的 if-then 语句,用于根据多项条件检查 Web 请求:

    • 请求者:来源身份,例如特定虚拟机或服务账号

    • 他们尝试前往的位置:目标网址或网域,例如 trusted-partner.com

    • 需要采取的操作:允许或拒绝流量

  • 安全 Web 代理规则可提供精细的控制,让您能够通过清晰的结构化定义,针对组织的不同部分强制执行不同的安全标准。

如需详细了解安全 Web 代理规则,请参阅规则概览

部署模式

本部分介绍了可用于部署安全 Web 代理的各种模式。

显式代理路由模式

在此模式下,您必须明确配置工作负载环境和客户端,以直接指向代理服务器。然后,安全 Web 代理会将您的客户端与互联网隔离开。这样一来,安全 Web 代理便充当了中介,为客户端建立新的 TCP 连接,并确保每个连接都符合所管理的安全政策的要求。如需详细了解如何部署显式代理路由模式,请参阅创建和部署 Secure Web Proxy 实例

下图展示了安全 Web 代理作为 Google Cloud 环境的出站流量的集中式强制性网关所发挥的作用:

以显式代理路由模式部署安全 Web 代理。
以显式代理路由模式部署安全 Web 代理(点击可放大)。

Private Service Connect 服务连接模式

借助此模式,您可以集中管理复杂的、多 Virtual Private Cloud (VPC) 架构中的 Web 代理部署。如果存在多个网络,您可以使用 Network Connectivity Center 集中部署安全 Web 代理。

当您尝试使用 Network Connectivity Center 扩缩部署时,会受到一些限制。 通过将 Secure Web Proxy 部署为 Private Service Connect 服务连接,您可以解决这些与伸缩相关的限制。

如下图所示,此部署模式会创建中心辐射型模式。在此部署中,安全 Web 代理(中心)管理所有已连接 VPC 网络(辐条)中工作负载的出站流量。如需了解详情,请参阅将 Secure Web Proxy 部署为服务连接

将 Secure Web Proxy 部署为 Private Service Connect 服务连接。
将安全 Web 代理部署为 Private Service Connect 服务附件(点击可放大)。

下一个跃点模式

在此模式下,您可以将 Secure Web Proxy 部署配置为充当网络中路由的下一跳。换句话说,您可以配置网络路由,以自动将出站流量发送到 Secure Web Proxy 实例。此部署方法可减少组织的管理开销,因为您不必手动配置每个源工作负载或客户端来使用代理。

如需了解详情,请参阅将 Secure Web Proxy 部署为下一个跃点

限制

  • IP 版本:安全 Web 代理仅支持 IPv4,不支持 IPv6。

  • HTTP 版本:安全 Web 代理支持 HTTP/0.9、1.0、1.1 和 2.0 版本。不支持 HTTP/3。

  • 部署范围:安全 Web 代理实例只能部署在宿主项目中,不能部署在服务项目中。

可考虑的其他 Google Cloud 工具

您可以将 Secure Web Proxy 与以下 Google Cloud 工具集成,以提升工作负载和应用的整体安全状况:

  • 使用 Google Cloud Armor 保护Google Cloud 部署免受多种威胁,包括分布式拒绝服务 (DDoS 攻击) 攻击以及跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等应用攻击。

  • 指定 VPC 防火墙规则,以保护传入或传出虚拟机实例的连接。

  • 实施 VPC Service Controls,以防止 Google Cloud 服务(如 Cloud Storage 和 BigQuery)中发生数据渗漏。

  • 使用 Cloud NAT 为没有外部 IP 地址的某些 Google Cloud 资源启用不安全的出站互联网连接。

后续步骤