Secure Web Proxy-Richtlinien und -Regeln sind die Grundlage Ihrer Sicherheitsstrategie für ausgehenden Webtraffic. Sie ermöglichen eine präzise Steuerung des Webtraffics, indem Anfragen basierend auf der Quellidentität (z. B. Dienstkonten oder sichere Tags) und Zielattributen (z. B. URL-Listen) zugelassen oder abgelehnt werden. Mit diesen Sicherheitsrichtlinien und -regeln können Sie dafür sorgen, dass nur autorisierter Traffic Ihr Netzwerk verlassen kann.
Auf dieser Seite wird beschrieben, wie Sie Richtlinien definieren, bestimmte Regeln zur Steuerung des Traffics strukturieren – einschließlich TCP-Verbindungen ohne Webzugriff – und detaillierte Sicherheitsmaßnahmen basierend auf der Quellidentität und den Zielattributen anwenden.
Richtlinienübersicht
Eine Secure Web Proxy-Richtlinie ist das wichtigste Sicherheitselement, das die Zugriffssteuerung für den gesamten ausgehenden Webtraffic definiert. Hier sind die wichtigsten Funktionen von Secure Web Proxy-Richtlinien:
Richtliniensteuerung: In einer Richtlinie ist der vollständige Satz von Anweisungen (Secure Web Proxy-Regeln) gespeichert, mit denen der Proxy bestimmt, ob eine Webanfrage zugelassen oder abgelehnt werden soll.
Standardmäßig sicher: Secure Web Proxy-Richtlinien sind
deny-allstandardmäßig. Das bedeutet, dass der Proxy jede Anfrage (HTTP/S) blockiert, bis Sie eine bestimmte Regel erstellen, um sie zuzulassen. So wird von Anfang an eine Zero-Trust-Architektur erzwungen.Richtlinienlogik: Jede Richtlinie basiert auf zwei Kernprüfungen: der Bestimmung der Trafficquelle und der Überprüfung des zulässigen Ziels.
Secure Web Proxy-Richtlinien basieren auf den folgenden drei Parametern:
Trafficquelle: Zur Identifizierung der Trafficquelle verwendet Secure Web Proxy verschiedene Attribute wie Dienstkonten, sichere Tags und IP-Adressen.
Zulässiges Ziel: Zur Bestimmung der zulässigen Ziele verwendet Secure Web Proxy eine Zieldomain, einen vollständigen URL-Pfad (wenn die TLS-Prüfung aktiviert ist), URL-Listen oder den Zielport.
Anfragedetails: Secure Web Proxy kann auch bestimmte Attribute der Webanfrage selbst analysieren, z. B. das Protokoll, die HTTP-Methode oder Anfrageheader. Für diese Analyse müssen Sie die TLS-Prüfung für verschlüsselten Traffic aktivieren.
Quellattribute
Um detaillierte Sicherheitsmaßnahmen zu erzwingen, werden in Secure Web Proxy-Richtlinien die folgenden Daten zur Cloud-Identität und zum Netzwerkstandort verwendet, um die Quelle des Traffics zu identifizieren:
- Dienstkonten: eindeutige Identitäten, die Ihren Anwendungen oder Arbeitslasten zugewiesen sind. So können Sie Richtlinien basierend auf der spezifischen Funktion einer Anwendung erstellen. Beispiel: „Nur das Dienstkonto für die Sicherung kann auf Cloud Storage zugreifen.“
- Sichere Tags: Labels, die Sie auf Ihre Ressourcen anwenden können
, z. B. auf VM-Instanzen (virtuelle Maschinen) Google Cloud .
Mit Tags können Sie Arbeitslasten nach Funktion oder Umgebung gruppieren. Beispiel:
„Allen Ressourcen mit dem Label
Productionden Zugriff auf genehmigte Domains erlauben.“ - IP-Adressen: spezifische Netzwerkadresse des Absenders. Sie können Ihren Unternehmens-IP-Adressen (oder statischen Google Cloud IP-Adressen) IP-Adressen zuweisen, die von Secure Web Proxy für ausgehenden Traffic verwendet werden.
Unterstützte Identitäten für Quellattribute
Secure Web Proxy verwendet Richtlinien, die auf der Quellidentität basieren, z. B. Dienstkonten und sichere Tags, um den Webtraffic zu steuern. Mit Richtlinien, die auf der Quellidentität basieren, können Sie Regeln anwenden, die darauf basieren, wer oder was den Traffic sendet, und nicht nur auf der IP-Adresse.
In der folgenden Tabelle sind die verschiedenen Google Cloud Dienste aufgeführt, die diese Richtlinien basierend auf der Quellidentität unterstützen:
| Google Cloud Dienste | Unterstützung für Dienstkonten | Unterstützung für sichere Tags |
|---|---|---|
| Compute Engine-VM (virtuelle Maschine) | ||
| Google Kubernetes Engine (GKE)-Knoten | ||
| Google Kubernetes Engine (GKE)-Container | 1 | 1 |
| Direct VPC für Cloud Run | 1 | |
| Connector für serverlosen VPC-Zugriff | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect lokal | 1 | 1 |
| Application Load Balancer | ||
| Network Load Balancer |
2 Die Quell-IP-Adresse ist eindeutig und kann stattdessen verwendet werden.
In der folgenden Tabelle ist aufgeführt, ob verschiedene Virtual Private Cloud-Architekturen (VPC) unterstützt werden, wenn Sicherheitsrichtlinien basierend auf der Quellidentität verwendet werden:
| VPC | VPC-Architektur | Unterstützung |
|---|---|---|
| Innerhalb der VPC | Projektübergreifend (freigegebene VPC) | |
| VPC-übergreifend | Peering-Link-übergreifend (Peer-VPC) | |
| VPC-übergreifend | Private Service Connect-übergreifend | |
| VPC-übergreifend | Network Connectivity Center-Spokes-übergreifend |
Zielattribute
Secure Web Proxy-Richtlinien bestimmen, ob ein Ziel genehmigt ist, indem die folgenden Attribute der Zielwebsite oder des Zieldienstes analysiert werden:
Zieldomain: die Adresse der Website, z. B.
example.com.URL-Listen: vordefinierte Listen mit genehmigten oder blockierten URLs, die die Verwaltung Ihrer Richtlinien effizienter gestalten.
Zielport: Netzwerkport, an den Ihre Secure Web Proxy-Instanz Traffic sendet. Beispiel:
443für HTTPS.Vollständiger URL-Pfad: genauer Pfad der Website. Dazu muss die TLS-Prüfung aktiviert sein, um den gesamten Inhalt auf der jeweiligen Webseite zu sehen.
Für HTTP- und HTTPS-Zieltraffic können Sie das Zielattribut host und verschiedene zielbezogene Attribute vom Typ request.* wie request.method für Ihre Anwendung verwenden.
Weitere Informationen zu den Zielattributen, die Sie für HTTP und HTTPS-Traffic verwenden können, finden Sie unter Attribute.
Regelübersicht
Eine Secure Web Proxy-Regel ist eine einzelne Anweisung in einer Secure Web Proxy-Richtlinie, die den eigentlichen Abgleich durchführt und die endgültige Aktion definiert: entweder zulassen oder ablehnen. Ihre Secure Web Proxy-Instanz wertet Regeln nach Priorität aus, wobei die niedrigste Zahl zuerst geprüft wird. Der Proxy wird beendet und führt die Aktion der ersten Regel aus, die der Anfrage entspricht.
Regeln verwenden die folgenden beiden speziellen Abgleichs-Engines, um Traffic zu prüfen:
Session Matcher: prüft grundlegende Informationen zur Netzwerkverbindung, während sie eingerichtet wird. Session Matcher umfasst die folgenden Elemente:
- Quellidentität (Dienstkonto oder sicheres Tag)
- Zielhostname (der Domainname)
- Zielport
Application Matcher: prüft den Inhalt der eigentlichen Webanfrage. Er wird in der Regel verwendet, um eine detaillierte Steuerung zu ermöglichen, und erfordert die TLS-Prüfung, um verschlüsselten Traffic zu prüfen. Application Matcher umfasst die folgenden Elemente:
- Vollständiger URL-Pfad
- Anfragemethode – z. B. alle
DELETE-Aktionen blockieren - Bestimmte HTTP-Header
Regeln für den Hostabgleich
Secure Web Proxy verwendet den Hostnamenabgleich, um die Zieldomain zu überprüfen. Dieser variiert je nach Bereitstellung des Proxys, wie in der folgenden Tabelle dargestellt. Weitere Informationen finden Sie unter Regeln für den Hostabgleich konfigurieren.
| Bereitstellungsmodus | Prozess zur Hostüberprüfung |
|---|---|
| Expliziter Proxymodus | Bei unverschlüsseltem Traffic prüft der Proxy den Hostnamen anhand des HTTP-Verbindungsheaders. Wenn Sie [Application Matcher-Attribute](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) für die TLS-Prüfung verwenden, prüft der Proxy den Hostnamen in zwei Schritten: zuerst auf Verbindungsebene und dann auf Anwendungsebene. |
| Next-Hop-Modus | Bei verschlüsseltem Traffic prüft der Proxy den Ziel hostnamen anhand des Felds „Server Name Indication“ (SNI) in der ausgehenden Anfrage, das auch bei sicheren Verbindungen sichtbar ist. |
TCP-Proxyregeln
Mit TCP-Proxyregeln (Transmission Control Protocol) können Sie Traffic steuern, der kein Standard-Webtraffic ist, z. B. Port 80 für HTTP und Port 443 für HTTPS. Wenn Sie TCP-Proxyregeln konfigurieren, können Sie Traffic an jedem anderen TCP-Port zulassen oder blockieren. So können Sie schädlichen Traffic blockieren und detaillierte Kontrolle über Nicht-Webanwendungen erhalten, die TCP verwenden.
Wenn Ihre Arbeitslast (z. B. Ihre Anwendungen und Dienste) Secure Web Proxy als nächsten Hop verwendet, ist die Anwendung von TCP-Proxyregeln von Vorteil. Das liegt daran, dass bei der routenbasierten Umleitung Nicht-HTTP(S)- und Nicht-Webtraffic an Ihre Secure Web Proxy-Instanz weitergeleitet wird. So können Sie verhindern, dass schädlicher Traffic Ihre Anwendung erreicht, und steuern, welche Anwendungen oder Websites auf Ihr Netzwerk zugreifen können.
Weitere Informationen finden Sie unter TCP-Proxyregeln konfigurieren.
Nächste Schritte
- Richtlinie erstellen
- Regeln konfigurieren
- Richtlinien mit Dienstkonten erstellen
- Richtlinien mit Tags erstellen
- Richtlinien mit einer URL-Liste erstellen