이 페이지에서는 Secure Web Proxy를 사용하여 아웃바운드 웹 트래픽의 규칙을 구성하는 방법을 설명합니다. 다양한 기준에 따라 허용되거나 거부되는 트래픽을 제어하여 승인된 트래픽만 네트워크를 벗어나도록 할 수 있습니다. Secure Web Proxy는 이러한 제어를 정의하는 두 가지 기본 메커니즘인 승인 정책과 게이트웨이 보안 정책을 제공합니다.
승인 정책은 아웃바운드 트래픽을 보호하는 유연한 프레임워크를 제공합니다. 이러한 정책을 사용하여 ID 기반 정책 및 콘텐츠 기반 정책을 포함한 세분화된 제어를 사용 설정하고 Service Extensions을 사용하여 외부 승인 엔진에 위임을 지원할 수 있습니다.
게이트웨이 보안 정책은 Secure Web Proxy에서 보안 규칙을 정의하는 기반입니다. 서비스 계정 또는 보안 태그와 같은 소스 ID와 URL 목록과 같은 대상 속성을 기반으로 요청을 허용하거나 거부합니다.
적절한 정책 유형 사용
Secure Web Proxy를 사용하면 승인 정책 또는 게이트웨이 보안 정책을 사용하여 아웃바운드 트래픽을 관리할 수 있습니다. 동일한 게이트웨이에서 두 정책 유형을 모두 사용할 수는 없습니다.
요구사항에 따라 정책 유형을 선택합니다.
승인 정책: 서비스 확장 프로그램 또는 프런트엔드 mTLS를 사용하여 커스텀 승인 확장 프로그램과 같은 기능에 이 정책 유형을 사용합니다.
기존 배포에 이러한 기능을 채택하려면 게이트웨이 보안 정책에서 승인 정책으로 아웃바운드 트래픽의 규칙을 마이그레이션해야 합니다.
게이트웨이 보안 정책: 정책에서 소스 ID 및 대상 속성 또는 URL 목록을 기반으로 하는 표준 연결 수준 필터링이 필요한 경우 이 정책 유형을 사용합니다. 게이트웨이 보안 정책은 커스텀 승인 확장 프로그램 또는 프런트엔드 mTLS와 같은 기능 사용을 지원하지 않습니다.
승인 정책
승인 정책을 사용하면 Secure Web Proxy를 통해 아웃바운드 요청을 처리할 때 ID 기반 액세스 제어 검사를 설정할 수 있습니다. 인터넷에 액세스하는 소스 워크로드 또는 에이전트의 ID를 검증하도록
승인 정책
(AuthzPolicy)
을 구성할 수 있습니다.
승인 정책을 사용하면 소스, 대상, 기타 요청 속성을 기반으로 요청 승인을 허용, 거부 또는 위임하는 조건을 지정할 수 있습니다. 이러한 검사를 통과하는 요청은 웹 대상으로 전달됩니다. 실패한 요청은 403 Forbidden 오류와 함께 거부됩니다.
Secure Web Proxy의 경우 승인 정책을 게이트웨이 리소스에 연결하여 아웃바운드 트래픽의 보안 경계를 정의하고 Secure Web Proxy에서 승인 정책 규칙을 평가할 수 있습니다. 또한 Service Extensions (승인 확장 프로그램)을 사용하여 승인 결정을 외부 승인 엔진에 위임하도록 Secure Web Proxy를 구성할 수 있습니다.
승인 정책을 구성하는 방법에 대한 자세한 내용은 Secure Web Proxy의 승인 정책 설정을 참조하세요.
승인 정책은 표준 게이트웨이 보안 정책에 비해 다음과 같은 이점을 제공합니다.
일관된 정책 노출 영역: 통합
AuthzPolicyAPI를 사용하여 Secure Web Proxy를 비롯한 애플리케이션 부하 분산기 및 Cloud Service Mesh (CSM)와 같은 다른 서비스의 트래픽 승인을 관리합니다.Service Extensions 지원: Service Extensions를 사용하여 승인 결정을 커스텀 로직에 위임합니다. 승인 확장 프로그램을 사용하여 요청 수준 승인 (헤더, ID 등을 기반으로) 및 콘텐츠 삭제 (예: 민감한 데이터 보호 또는 위협 감지)를 수행할 수 있습니다.
ID 중심 보안: IP 기반 규칙을 계속 지원하면서 승인 정책은 ID를 기반으로 제어를 시행할 수 있도록 하여 더욱 강력한 보안 태세를 제공합니다. 서비스 계정, 태그 또는 프런트엔드 상호 TLS를 사용하여 보안 경계를 정의할 수 있습니다. 또한 Service Extensions를 사용하여 승인 결정을 IAP(Identity-Aware Proxy)와 같은 ID 기반 서비스에 위임할 수 있습니다.
게이트웨이 보안 정책 및 규칙
게이트웨이 보안 정책은 모든 아웃바운드 웹 트래픽의 액세스 제어를 정의하는 핵심 보안 항목입니다.
게이트웨이 보안 정책에는 다음과 같은 주요 기능이 포함되어 있습니다.
정책 제어: 정책에는 프록시가 웹 요청을 허용하거나 거부하는 데 사용하는 게이트웨이 보안 규칙이 포함되어 있습니다. 단일 정책을 만들고 여러 Secure Web Proxy 인스턴스에서 재사용하여 보안 규칙을 일관되고 효율적으로 유지할 수 있습니다.
기본적으로 보안: 게이트웨이 보안 정책은
deny-all기본적으로 보안입니다. 프록시는 허용하는 특정 규칙을 만들 때까지 모든 HTTP 및 HTTPS 요청을 차단합니다. 이렇게 하면 처음부터 제로 트러스트 아키텍처가 적용됩니다.정책 로직: 모든 정책은 트래픽 소스 확인 및 허용된 대상 검증이라는 두 가지 핵심 검사를 기반으로 빌드됩니다.
게이트웨이 보안 규칙은 게이트웨이 보안 정책의 안내로, 최종 작업인 허용 또는 거부를 일치시키고 정의합니다.
Secure Web Proxy 인스턴스는 우선순위에 따라 규칙을 평가하며 가장 낮은 숫자가 먼저 확인됩니다. 프록시는 요청과 일치하는 첫 번째 규칙에서 중지하고 작업을 수행합니다.
세션 일치기: 네트워크 연결이 설정될 때 네트워크 연결에 대한 기본 정보를 확인합니다. 세션 일치기에는 다음 항목이 포함됩니다.
- 소스 ID (서비스 계정 또는 보안 태그)
- 대상 호스트 이름 (도메인 이름)
- 대상 포트
애플리케이션 일치기: 실제 웹 요청의 콘텐츠를 검사합니다. 일반적으로 세분화된 제어를 보장하는 데 사용되며 암호화된 트래픽을 확인하려면 TLS 검사가 필요합니다. 애플리케이션 일치기에는 다음 항목이 포함됩니다.
- 전체 URL 경로
- 요청 메서드(예: 모든
DELETE작업 차단) - 특정 HTTP 헤더
제한사항
Secure Web Proxy에서 정책을 구성할 때는 다음과 같은 제한사항이 적용됩니다.
게이트웨이 보안 정책: 이러한 정책은 승인 확장 프로그램을 지원하지 않습니다. 커스텀 로직 사용 또는 외부 서비스에 승인 결정 위임과 같은 고급 기능은 승인 정책을 통해서만 사용할 수 있습니다.
승인 정책: 이러한 정책은 URL 문자열의 URL 목록 또는 정규 표현식 (regex) 일치를 지원하지 않습니다.