Kebijakan dan aturan

Halaman ini menjelaskan cara mengonfigurasi aturan untuk traffic web keluar Anda dengan Secure Web Proxy. Anda dapat mengontrol traffic mana yang diizinkan atau ditolak berdasarkan berbagai kriteria, sehingga hanya traffic yang sah yang keluar dari jaringan Anda. Secure Web Proxy menyediakan dua mekanisme utama untuk menentukan kontrol ini: kebijakan otorisasi dan kebijakan keamanan gateway.

Kebijakan otorisasi menyediakan framework fleksibel untuk mengamankan traffic keluar Anda. Anda dapat menggunakan kebijakan ini untuk mengaktifkan kontrol terperinci, termasuk kebijakan berbasis identitas dan berbasis konten, serta mendukung delegasi ke mesin otorisasi eksternal menggunakan Ekstensi Layanan.

Kebijakan keamanan gateway adalah dasar untuk menentukan aturan keamanan di Secure Web Proxy. Kebijakan ini mengizinkan atau menolak permintaan berdasarkan identitas sumber, seperti akun layanan atau tag aman, dan atribut tujuan, seperti daftar URL.

Menggunakan jenis kebijakan yang sesuai

Secure Web Proxy memungkinkan Anda mengelola traffic keluar menggunakan kebijakan otorisasi atau kebijakan keamanan gateway. Anda tidak dapat menggunakan kedua jenis kebijakan di gateway yang sama.

Pilih jenis kebijakan berdasarkan persyaratan Anda:

  • Kebijakan otorisasi: gunakan jenis kebijakan ini untuk fitur seperti ekstensi otorisasi kustom menggunakan Service Extensions atau mTLS frontend.

    Jika ingin menerapkan fitur ini untuk deployment yang ada, Anda harus memigrasikan aturan untuk traffic keluar dari kebijakan keamanan gateway ke kebijakan otorisasi.

  • Kebijakan keamanan gateway: gunakan jenis kebijakan ini jika Anda memerlukan pemfilteran tingkat koneksi standar berdasarkan identitas sumber dan atribut tujuan atau daftar URL dalam kebijakan Anda. Kebijakan keamanan gateway tidak mendukung penggunaan fitur seperti ekstensi otorisasi kustom atau mTLS frontend.

Kebijakan otorisasi

Kebijakan otorisasi memungkinkan Anda menetapkan pemeriksaan kontrol akses berbasis identitas saat memproses permintaan keluar melalui Secure Web Proxy. Anda dapat mengonfigurasi kebijakan otorisasi (AuthzPolicy) untuk memvalidasi identitas workload atau agen sumber yang mengakses internet.

Kebijakan otorisasi memungkinkan Anda menentukan kondisi untuk mengizinkan, menolak, atau mendelegasikan otorisasi permintaan berdasarkan sumber, tujuan, dan atribut permintaan lainnya. Permintaan yang lulus pemeriksaan ini akan diteruskan ke tujuan web. Permintaan yang gagal akan ditolak dengan error 403 Forbidden.

Untuk Secure Web Proxy, Anda dapat melampirkan kebijakan otorisasi ke resource gateway untuk menentukan perimeter keamanan bagi traffic keluar dan mengevaluasi aturan kebijakan otorisasi di Secure Web Proxy. Selain itu, Anda dapat mengonfigurasi Secure Web Proxy untuk mendelegasikan keputusan otorisasi ke mesin otorisasi eksternal menggunakan Service Extensions (ekstensi otorisasi).

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan otorisasi, lihat Menyiapkan kebijakan otorisasi untuk Secure Web Proxy.

Kebijakan otorisasi memberikan manfaat berikut dibandingkan dengan kebijakan keamanan gateway standar:

  • Permukaan kebijakan yang konsisten: gunakan API AuthzPolicy terpadu untuk mengelola otorisasi traffic untuk Secure Web Proxy bersama dengan layanan lain seperti Load Balancer Aplikasi dan Cloud Service Mesh (CSM).

  • Dukungan Service Extensions: gunakan Service Extensions untuk mendelegasikan keputusan otorisasi ke logika kustom Anda. Anda dapat menggunakan ekstensi otorisasi untuk melakukan otorisasi tingkat permintaan (berdasarkan header, identitas, dan lainnya) dan pembersihan konten (seperti Sensitive Data Protection atau deteksi ancaman).

  • Keamanan yang berfokus pada identitas: meskipun masih mendukung aturan berbasis IP, kebijakan otorisasi memberikan postur keamanan yang lebih kuat dengan memungkinkan Anda menerapkan kontrol berdasarkan identitas. Anda dapat menentukan perimeter keamanan dengan menggunakan akun layanan, tag, atau mTLS frontend. Anda juga dapat menggunakan Service Extensions untuk mendelegasikan keputusan otorisasi ke layanan berbasis identitas seperti Identity-Aware Proxy.

Kebijakan dan aturan keamanan gateway

Kebijakan keamanan gateway adalah item keamanan inti yang menentukan kontrol akses untuk semua traffic web keluar.

Kebijakan keamanan gateway mencakup fitur utama berikut:

  • Kontrol kebijakan: kebijakan berisi aturan keamanan gateway yang digunakan proxy untuk mengizinkan atau menolak permintaan web. Anda dapat membuat satu kebijakan dan menggunakannya kembali di beberapa instance Secure Web Proxy untuk menjaga aturan keamanan Anda tetap konsisten dan efisien.

  • Aman secara default: kebijakan keamanan gateway deny-all secara default. Proxy memblokir setiap permintaan HTTP dan HTTPS hingga Anda membuat aturan khusus untuk mengizinkannya. Hal ini menerapkan arsitektur zero-trust sejak awal.

  • Logika kebijakan: setiap kebijakan dibangun berdasarkan dua pemeriksaan inti: menentukan sumber traffic dan memverifikasi tujuan yang diizinkan.

Aturan keamanan gateway adalah petunjuk dalam kebijakan keamanan gateway yang mencocokkan dan menentukan tindakan akhir: izinkan atau tolak.

Instance Secure Web Proxy Anda mengevaluasi aturan berdasarkan prioritas, dengan nomor terendah diperiksa terlebih dahulu. Proxy berhenti dan bertindak berdasarkan aturan pertama yang cocok dengan permintaan.

  • Session Matcher: memeriksa informasi dasar tentang koneksi jaringan saat disiapkan. Session Matcher mencakup item berikut:

    • Identitas sumber (akun layanan atau tag aman)
    • Nama host tujuan (nama domain)
    • Port tujuan
  • Pencocokan Aplikasi: memeriksa konten permintaan web yang sebenarnya. Biasanya digunakan untuk memastikan kontrol terperinci dan memerlukan pemeriksaan TLS untuk memeriksa traffic terenkripsi. Pencocokan Aplikasi mencakup item berikut:

    • Jalur URL lengkap
    • Metode permintaan—misalnya, blokir semua tindakan DELETE
    • Header HTTP tertentu

Batasan

Saat Anda mengonfigurasi kebijakan di Secure Web Proxy, batasan berikut berlaku:

  • Kebijakan keamanan gateway: kebijakan ini tidak mendukung ekstensi otorisasi. Kemampuan lanjutan seperti menggunakan logika kustom atau mendelegasikan keputusan otorisasi ke layanan eksternal hanya tersedia melalui kebijakan otorisasi.

  • Kebijakan otorisasi: kebijakan ini tidak mendukung pencocokan daftar URL atau ekspresi reguler (regex) untuk string URL.

Langkah berikutnya