Secure Web Proxy 可協助您保護貴機構內部網路的所有輸出網路流量 (HTTP 和 HTTPS)。將用戶端設定為明確使用 Secure Web Proxy 做為閘道時,任何嘗試存取機構外部網站的應用程式或服務,都必須通過 Secure Web Proxy 這個強制執行的安全檢查點。
優點
Secure Web Proxy 提供下列主要優點:
免維護。設定政策後,Secure Web Proxy 會管理伺服器、修補程式和規模,並在流量增加時自動調整容量。
靈活且可重複使用的規則。使用 Secure Web Proxy 時,安全性政策與 Proxy 本身是分開的。為確保管理作業一致,管理員會建立一組存取規則,並將這組規則套用至貴機構不同部分的數個 Proxy。
預設安全防護滴水不漏。Secure Web Proxy 預設會
deny-all封鎖所有輸出流量,直到您明確允許為止。 Google Cloud 此外,這項服務會自動處理所有軟體和基礎架構更新,盡量降低安全漏洞帶來的持續性風險。身分感知存取權控管。由於安全網頁 Proxy 會檢查要求來源 (IP 位址) 和要求者 (使用者或服務身分),因此存取權是根據使用者角色和需求授予,而不只是網路位置。Secure Web Proxy 可讓您建立非常具體的規則,例如「只有財務團隊成員可以存取這個銀行網站」。
統一流量記錄和稽核。通過 Secure Web Proxy 的所有網路流量,都會在 Google Cloud中集中記錄及稽核。這個單一且明確的來源提供所有外送存取權的資訊,可協助您追蹤活動、調查安全事件,並符合法規遵循要求。
存取控管。Secure Web Proxy 會將雲端電腦和連線辦公室的所有網路要求 (例如造訪網站) 轉送至中央檢查點。
支援功能
Secure Web Proxy 支援下列功能:
自動調度 Secure Web Proxy Envoy Proxy:Secure Web Proxy 支援自動調整區域中的 Envoy Proxy 集區大小和集區容量,在需求量高的期間以最低成本維持穩定效能。自動調度資源功能會自動管理區域中的容量調整作業。這表示您不必手動監控及調整 Proxy 叢集大小,確保效能提升,同時減少作業時間。
模組化輸出存取權政策:Secure Web Proxy 會透過下列動作管理輸出流量:
- 使用安全標記、服務帳戶或 IP 位址識別來源實體。
- 啟用 TLS 檢查或使用未加密的 HTTP 時,依主機名稱或網址篩選目的地目標。
- 如果流量是未加密的 HTTP,或已啟用 TLS 檢查,則會評估要求屬性,例如方法、標頭或網址。
政策 (來源、目的地和要求) 的模組化特性,可讓不同團隊建立及管理可重複使用的特定規則元件。中央管理員可以定義網址清單,供多個 Proxy 在各自的政策中參照。
端對端加密:用戶端 Proxy 通道可透過 TLS 傳輸。 Secure Web Proxy 也支援 HTTP 和 HTTPS
CONNECT,可供用戶端發起的端對端 TLS 連線連往目的地伺服器。這項重要的安全措施由服務自動管理,因此無須手動設定或監控加密標準,即可確保流量安全。
Cloud 稽核記錄和 Google Cloud Observability 整合:使用 Google Cloud Observability 時,Cloud 稽核記錄會記錄安全網頁 Proxy 的管理動作 (政策變更)、存取要求和指標 (Proxy 交易記錄)。這個統一的內建檢視畫面可簡化安全監控和法規遵循報告程序。
Secure Web Proxy 的運作方式
Secure Web Proxy 會做為強制執行的安全檢查點,檢查貴機構網路傳輸至網際網路的所有網路流量。內部工作負載必須遵守 Secure Web Proxy 安全性規則,才能連上網際網路。
集中式閘道:設定工作負載 (例如虛擬機器和容器),將所有輸出網路要求傳送至中央安全網路代理伺服器執行個體。
政策強制執行:Proxy 會檢查要求並套用精細的安全政策,判斷是否允許連線。
確保傳出流量安全:如果允許要求,系統通常會使用 Cloud NAT,透過 Google Cloud基礎架構將流量安全地轉送至網際網路。Proxy 也會使用 Cloud DNS 解析外部網址。
Secure Web Proxy 政策
Secure Web Proxy 政策是儲存所有安全指示的主要容器,因此可為特定區域或一組工作負載定義整體安全標準。
Secure Web Proxy 政策的主要功能如下:
政策的預設設定是拒絕所有輸出流量,確保除非您明確允許,否則不會有任何網路要求離開您的網路。
您可以建立單一政策,並在多個 Secure Web Proxy 執行個體中重複使用,確保安全性規則一致且有效率。
如要進一步瞭解 Secure Web Proxy 政策,請參閱「政策總覽」。
Secure Web Proxy 規則
每項 Secure Web Proxy 政策都包含一或多個 Secure Web Proxy 規則。這些規則是個別指令,可確切決定要允許、拒絕或記錄哪些流量。
Secure Web Proxy 規則的主要功能如下:
每項規則都是非常具體的
if-then陳述式,會根據多項條件檢查網頁要求:要求者:來源身分,例如特定 VM 或服務帳戶
他們嘗試前往的位置:到達網頁網址或網域,例如
trusted-partner.com需要採取的動作:允許或拒絕流量
Secure Web Proxy 規則提供精細的控制機制,讓您透過清楚的結構化定義,為貴機構的不同部門強制執行不同的安全標準。
如要進一步瞭解 Secure Web Proxy 規則,請參閱「規則總覽」。
部署模式
本節說明部署 Secure Web Proxy 的各種模式。
明確 Proxy 轉送模式
在此模式下,您必須明確設定工作負載環境和用戶端,直接指向 Proxy 伺服器。Secure Web Proxy 接著會將用戶端與網際網路隔離。Secure Web Proxy 會做為中介,為用戶端建立新的 TCP 連線,並確保每條連線都符合管理員設定的安全性政策要求。如要進一步瞭解如何部署明確 Proxy 轉送模式,請參閱「建立及部署 Secure Web Proxy 執行個體」。
下圖顯示 Secure Web Proxy 的角色,也就是 Google Cloud 環境流出流量的集中式強制閘道:
Private Service Connect 服務連結模式
使用這個模式,您可以在複雜的多虛擬私有雲 (VPC) 架構中,集中部署網路 Proxy。如果有多個網路,請使用 Network Connectivity Center 集中部署 Secure Web Proxy。
使用 Network Connectivity Center 擴充部署作業時,會遇到一些限制。將 Secure Web Proxy 部署為 Private Service Connect 服務連結,即可解決這些與擴充相關的限制。
如下圖所示,這種部署模式會建立軸輻式模式。在這個部署作業中,安全網頁 Proxy (中樞) 會管理所有已連線 VPC 網路 (輪輻) 中工作負載的出站流量。詳情請參閱「將 Secure Web Proxy 部署為服務附件」。
下一個躍點模式
在此模式下,您可以將 Secure Web Proxy 部署作業設定為網路中路由的下一個躍點。換句話說,您可以設定網路轉送,自動將輸出流量傳送至 Secure Web Proxy 執行個體。這種部署方法可減少貴機構的管理負擔,因為您不必手動設定每個來源工作負載或用戶端來使用 Proxy。
詳情請參閱「將 Secure Web Proxy 部署為下一個躍點」。
限制
IP 版本:安全網頁 Proxy 僅支援 IPv4,不支援 IPv6。
HTTP 版本:安全網頁 Proxy 支援 HTTP/0.9、1.0、1.1 和 2.0 版。不支援 HTTP/3。
部署範圍:Secure Web Proxy 執行個體只能部署在主專案中,無法部署在服務專案中。
其他可考慮的 Google Cloud 工具
您可以將 Secure Web Proxy 與下列 Google Cloud 工具 整合,提升工作負載和應用程式的整體安全態勢:
使用 Google Cloud Armor 保護部署作業,防範多種威脅,包括分散式阻斷服務 (DDoS) 攻擊,以及跨網站指令碼攻擊 (XSS) 和 SQL 注入 (SQLi) 等應用程式攻擊。Google Cloud
指定 VPC 防火牆規則,確保 VM 執行個體的往來連線安全無虞。
導入 VPC Service Controls,防止資料從 Cloud Storage 和 BigQuery 等 Google Cloud 服務外洩。
使用 Cloud NAT 為沒有外部 IP 位址的特定 Google Cloud 資源啟用不安全的網際網路傳出連線。