政策與規則

本頁面說明如何使用 Secure Web Proxy 設定輸出網頁流量的規則。您可以根據各種條件控管允許或拒絕的流量,確保只有授權流量會離開網路。Secure Web Proxy 提供兩種主要機制來定義這些控管措施:授權政策閘道安全政策

授權政策提供彈性架構,可保護輸出流量。您可以透過這些政策啟用精細的控制項,包括以身分和內容為依據的政策,並使用Service Extensions,將授權作業委派給外部授權引擎。

閘道安全政策是定義 Secure Web Proxy 安全規則的基礎。系統會根據來源身分 (例如服務帳戶安全標記) 和目的地屬性 (例如網址清單),允許或拒絕要求。

使用適當的政策類型

您可以使用授權政策或閘道安全政策,透過 Secure Web Proxy 管理輸出流量。您無法在同一個閘道上同時使用這兩種政策類型。

根據需求選擇政策類型:

  • 授權政策:使用這項政策類型,可啟用透過 Service Extensions 使用自訂授權擴充功能前端 mTLS 等功能。

    如要在現有部署作業中採用這些功能,請將閘道安全政策中的輸出流量規則遷移至授權政策。

  • 閘道安全政策:如果需要根據來源身分和目的地屬性,或政策中的網址清單,進行標準連線層級的篩選,請使用這類政策。閘道安全政策不支援使用自訂授權擴充功能或前端 mTLS 等功能。

授權政策

授權政策可讓您在透過 Secure Web Proxy 處理輸出要求時,建立以身分為依據的存取控管檢查。您可以設定授權政策 (AuthzPolicy),驗證存取網際網路的來源工作負載或代理程式身分。

授權政策可讓您根據要求來源、目的地和其他要求屬性,指定允許、拒絕或委派要求授權的條件。通過這些檢查的要求會轉送至網路目的地。未通過檢查的要求則會遭到拒絕,並顯示 403 Forbidden 錯誤。

對於 Secure Web Proxy,您可以將授權政策附加至閘道資源,定義輸出流量的安全邊界,並在 Secure Web Proxy 中評估授權政策規則。此外,您也可以使用 Service Extensions (授權擴充功能),將授權決策委派給外部授權引擎,藉此設定 Secure Web Proxy。

如要進一步瞭解如何設定授權政策,請參閱「為 Secure Web Proxy 設定授權政策」。

相較於標準的閘道安全政策,授權政策具有下列優點:

  • 一致的政策介面:使用統一的 AuthzPolicy API 管理 Secure Web Proxy 的流量授權,以及應用程式負載平衡器和 Cloud Service Mesh (CSM) 等其他服務。

  • 支援 Service Extensions:使用 Service Extensions 將授權決策委派給自訂邏輯。您可以透過授權擴充功能執行要求層級的授權 (根據標頭、身分等),以及內容清除 (例如 Sensitive Data Protection 或偵測威脅)。

  • 以身分為中心的安全性:授權政策仍支援以 IP 為基礎的規則,但可讓您根據身分強制執行控管措施,進而提供更健全的安全防護機制。您可以透過服務帳戶標記前端相互 TLS 定義安全範圍。您也可以使用 Service Extensions,將授權決策委派給 Identity-Aware Proxy 等以身分為主的服務。

閘道安全性政策和規則

閘道安全政策是核心安全項目,可定義所有輸出網路流量的存取控管機制。

閘道安全政策包含下列主要功能:

  • 政策控管:政策包含閘道安全規則,代理伺服器會根據這些規則允許或拒絕網頁要求。您可以建立單一政策,並在多個 Secure Web Proxy 執行個體中重複使用,確保安全規則一致且有效率。

  • 預設採用安全設定:閘道安全政策預設為 deny-all 。在您建立允許要求的特定規則前,Proxy 會封鎖所有 HTTP 和 HTTPS 要求。從一開始就強制執行零信任架構。

  • 政策邏輯:每項政策都以兩項核心檢查為基礎:判斷流量來源,以及驗證允許的目的地。

閘道安全規則是閘道安全政策中的指令,可比對並定義最終動作:允許或拒絕。

Secure Web Proxy 執行個體會根據優先順序評估規則,優先檢查編號最小的規則。Proxy 會停止運作,並根據第一個符合要求的規則採取行動。

  • 工作階段比對器:在設定網路連線時檢查基本資訊。工作階段比對器包含下列項目:

    • 來源身分 (服務帳戶或安全標記)
    • 目的地主機名稱 (網域名稱)
    • 目的地通訊埠
  • 應用程式比對器:檢查實際網頁要求的內容。這項工具通常用於確保精細控制,且需要傳輸層安全標準:TLS 檢查才能檢查已加密流量。應用程式比對器包含下列項目:

    • 完整網址路徑
    • 要求方法,例如封鎖所有 DELETE 動作
    • 特定 HTTP 標頭

限制

在 Secure Web Proxy 中設定政策時,適用下列限制:

  • 閘道安全政策:這類政策不支援授權擴充功能。 只有透過授權政策,才能使用進階功能,例如自訂邏輯或將授權決策委派給外部服務。

  • 授權政策:這些政策不支援網址清單,也不支援網址字串的規則運算式 (regex) 比對。

後續步驟