Richtlinien und Regeln für Secure Web Proxy sind die Grundlage Ihrer Sicherheitsstrategie für ausgehenden Webtraffic. Sie ermöglichen eine präzise Steuerung des Webtraffics, indem Anfragen basierend auf der Quellidentität (z. B. Dienstkonten oder sichere Tags) und Zielattributen (z. B. URL-Listen) zugelassen oder abgelehnt werden. Mit diesen Sicherheitsrichtlinien und ‑regeln können Sie dafür sorgen, dass nur autorisierter Traffic Ihr Netzwerk verlassen kann.
Auf dieser Seite wird beschrieben, wie Sie Richtlinien definieren, bestimmte Regeln zur Steuerung des Traffics strukturieren, einschließlich TCP-Verbindungen, die nicht für das Web bestimmt sind, und detaillierte Sicherheit basierend auf der Quellidentität und den Zielattributen anwenden.
Richtlinienübersicht
Eine Secure Web Proxy-Richtlinie ist das zentrale Sicherheitselement, das die Zugriffssteuerung für den gesamten ausgehenden Webtraffic definiert. Hier sind die wichtigsten Funktionen von Secure Web Proxy-Richtlinien:
Richtliniensteuerung: In einer Richtlinie werden alle Anweisungen (Secure Web Proxy-Regeln) gespeichert, die der Proxy verwendet, um zu bestimmen, ob eine Webanfrage zugelassen oder abgelehnt werden soll.
Standardmäßig sicher: Secure Web Proxy-Richtlinien sind standardmäßig
deny-all. Das bedeutet, dass der Proxy jede Anfrage (HTTP/S) blockiert, bis Sie eine bestimmte Regel erstellen, um sie zuzulassen. So wird von Anfang an eine Zero-Trust-Architektur erzwungen.Richtlinienlogik: Jede Richtlinie basiert auf zwei Kernprüfungen: der Bestimmung der Traffic-Quelle und der Überprüfung des zulässigen Ziels.
Secure Web Proxy-Richtlinien basieren auf den folgenden drei Parametern:
Traffic-Quelle: Zur Identifizierung der Traffic-Quelle verwendet Secure Web Proxy verschiedene Attribute wie Dienstkonten, sichere Tags und IP-Adressen.
Zulässiges Ziel: Secure Web Proxy verwendet eine Zieldomain, einen vollständigen URL-Pfad (wenn TLS-Prüfung aktiviert ist), URL-Listen oder den Zielport, um die zulässigen Ziele zu ermitteln.
Anfragedetails: Secure Web Proxy kann auch bestimmte Attribute der Webanfrage selbst analysieren, z. B. das Protokoll, die HTTP-Methode oder die Anfrageheader. Für diese Analyse müssen Sie die TLS-Prüfung für verschlüsselten Traffic aktivieren.
Quellattribute
Um eine detaillierte Sicherheit zu erzwingen, wird in Richtlinien für sichere Web-Proxys die Quelle des Traffics anhand der folgenden Cloud Identity- und Netzwerkstandortdaten ermittelt:
- Dienstkonten: Eindeutige Identitäten, die Ihren Anwendungen oder Arbeitslasten zugewiesen werden. So können Sie Richtlinien basierend auf der spezifischen Funktion einer Anwendung erstellen. Beispiel: „Nur das Sicherungsdienstkonto kann auf Cloud Storage zugreifen.“
- Sichere Tags: Labels, die Sie auf Ihre Google Cloud Ressourcen (z. B. VM-Instanzen) anwenden können.
Mit Tags können Sie Arbeitslasten nach Funktion oder Umgebung gruppieren. Beispiel: „Allen Ressourcen mit dem Label
Productionden Zugriff auf genehmigte Domains erlauben.“ - IP-Adressen: Die spezifische Netzwerkadresse des Computers des Absenders. Sie können Ihre Unternehmens-IP-Adressen (oder statischen Google Cloud IP-Adressen) zuweisen, die Secure Web Proxy für ausgehenden Traffic verwendet.
Unterstützte Identitäten für Quellattribute
Secure Web Proxy verwendet Richtlinien, die auf der Quellidentität basieren, z. B. Dienstkonten und sichere Tags, um Webtraffic zu steuern. Mit richtlinienbasierten Quellidentitäten können Sie Regeln basierend darauf anwenden, wer oder was den Traffic sendet, und nicht nur auf der IP-Adresse.
In der folgenden Tabelle sind die verschiedenen Google Cloud -Dienste aufgeführt, die diese richtlinienbasierten Richtlinien für Quellidentitäten unterstützen:
| Google Cloud -Dienste | Support für Dienstkonten | Unterstützung für sichere Tags |
|---|---|---|
| Compute Engine-VM | ||
| Google Kubernetes Engine (GKE)-Knoten | ||
| Google Kubernetes Engine (GKE)-Container | 1 | 1 |
| Direct VPC für Cloud Run | 1 | |
| Connector für serverlosen VPC-Zugriff | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect vor Ort | 1 | 1 |
| Application Load Balancer | ||
| Network Load Balancer |
2 Die Quell-IP-Adresse ist eindeutig und kann stattdessen verwendet werden.
In der folgenden Tabelle sehen Sie, ob verschiedene Virtual Private Cloud-Architekturen (VPC) unterstützt werden, wenn Sie auf Quellidentität basierende Sicherheitsrichtlinien verwenden:
| VPC | VPC-Architektur | Support |
|---|---|---|
| Innerhalb von VPC | Projektübergreifend (freigegebene VPC) | |
| Innerhalb von VPC | Regionenübergreifend | |
| VPC-übergreifend | Cross-Peering-Link (Peering-VPC) | |
| VPC-übergreifend | Cross Private Service Connect | |
| VPC-übergreifend | Cross Network Connectivity Center-Spokes |
Zielattribute
Secure Web Proxy-Richtlinien legen fest, ob ein Ziel genehmigt wird. Dazu werden die folgenden Attribute der Zielwebsite oder des Zieldienstes analysiert:
Ziel-Domain: Die Adresse der Website, z. B.
example.com.URL-Listen: vordefinierte Listen mit genehmigten oder blockierten URLs, die die Verwaltung Ihrer Richtlinien effizienter machen.
Zielport: Netzwerkport, an den Ihre Secure Web Proxy-Instanz Traffic sendet. Beispiel:
443für HTTPS.Vollständiger URL-Pfad: Der genaue Pfad der Website. Dazu muss die TLS-Prüfung aktiviert sein, damit der gesamte Inhalt der jeweiligen Webseite angezeigt werden kann.
Für HTTP- und HTTPS-Ziel-Traffic können Sie das Zielattribut host und verschiedene zielbezogene Attribute wie request.method für Ihre Anwendung verwenden.request.*
Weitere Informationen zu den Zielattributen, die Sie für HTTP- und HTTPS-Traffic verwenden können, finden Sie unter Attribute.
Regelübersicht
Eine Secure Web Proxy-Regel ist eine einzelne Anweisung in einer Secure Web Proxy-Richtlinie, die den eigentlichen Abgleich durchführt und die endgültige Aktion definiert: „allow“ (zulassen) oder „deny“ (ablehnen). Ihre Secure Web Proxy-Instanz wertet Regeln nach Priorität aus. Dabei wird zuerst die niedrigste Nummer geprüft. Der Proxy stoppt und reagiert auf die erste Regel, die der Anfrage entspricht.
Für Regeln werden die folgenden beiden speziellen Abgleichs-Engines verwendet, um den Traffic zu prüfen:
Session Matcher: prüft grundlegende Informationen zur Netzwerkverbindung während der Einrichtung. Session Matcher umfasst die folgenden Elemente:
- Quellidentität (Dienstkonto oder sicheres Tag)
- Ziel-Hostname (der Domainname)
- Zielport
Application Matcher: prüft den Inhalt der eigentlichen Webanfrage. Sie wird in der Regel verwendet, um eine detaillierte Kontrolle zu ermöglichen, und erfordert eine TLS-Prüfung, um verschlüsselten Traffic zu prüfen. Application Matcher umfasst die folgenden Elemente:
- Vollständiger URL-Pfad
- Anfragemethode, z. B. alle
DELETE-Aktionen blockieren - Spezifische HTTP-Header
Regeln für den Hostabgleich
Secure Web Proxy verwendet den Hostnamen-Abgleich, um die Zieldomain zu überprüfen. Dies variiert je nach Bereitstellung des Proxys, wie in der folgenden Tabelle dargestellt. Weitere Informationen finden Sie unter Regeln für den Hostabgleich konfigurieren.
| Bereitstellungsmodus | Bestätigungsprozess für Hosts |
|---|---|
| Expliziter Proxymodus | Bei unverschlüsseltem Traffic vergleicht der Proxy den Hostnamen mit dem HTTP-Verbindungsheader. Wenn Sie [Application Matcher-Attribute](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) für die TLS-Prüfung verwenden, prüft der Proxy den Hostnamen in zwei Schritten: zuerst auf Verbindungsebene und dann auf Anwendungsebene. |
| Modus für den nächsten Hop | Bei verschlüsseltem Traffic vergleicht der Proxy den Zielhostnamen mit dem SNI-Feld (Server Name Indication) in der ausgehenden Anfrage, das auch bei sicheren Verbindungen sichtbar ist. |
TCP-Proxyregeln
Mit TCP-Proxyregeln (Transmission Control Protocol) können Sie Traffic steuern, der kein Standard-Web-Traffic ist, z. B. Port 80 für HTTP und Port 443 für HTTPS. Durch die Konfiguration von TCP-Proxyregeln können Sie Traffic an jedem anderen TCP-Port entweder genehmigen oder blockieren. So können Sie schädlichen Traffic blockieren und detaillierte Kontrolle über Nicht-Webanwendungen erhalten, die TCP verwenden.
Wenn für Ihre Arbeitslast (z. B. Ihre Anwendungen und Dienste) Secure Web Proxy als nächster Hop verwendet wird, ist die Anwendung von TCP-Proxyregeln von Vorteil. Das liegt daran, dass bei der Verwendung eines routenbasierten Weiterleitungsverfahrens Nicht-HTTP(S)- und Nicht-Web-Traffic an Ihre Secure Web Proxy-Instanz weitergeleitet wird. So können Sie verhindern, dass schädlicher Traffic Ihre Anwendung erreicht, und festlegen, welche Anwendungen oder Websites auf Ihr Netzwerk zugreifen dürfen.
Weitere Informationen finden Sie unter TCP-Proxy-Regeln konfigurieren.
Nächste Schritte
- Richtlinie erstellen
- Regeln konfigurieren
- Dienstkonten zum Erstellen von Richtlinien verwenden
- Richtlinien über Tags erstellen
- Richtlinien mit einer URL-Liste erstellen