Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדיניות וכללים

בדף הזה מוסבר איך להגדיר כללים לתנועת אינטרנט יוצאת באמצעות Secure Web Proxy. אתם יכולים לקבוע איזו תנועה מותרת או אסורה על סמך קריטריונים שונים, כדי לוודא שרק תנועה מורשית יוצאת מהרשת שלכם. ל-Secure Web Proxy יש שני מנגנונים עיקריים להגדרת אמצעי הבקרה האלה: מדיניות הרשאות ומדיניות אבטחה של שערים.

מדיניות ההרשאות מספקת מסגרת גמישה לאבטחת תעבורת הנתונים היוצאת. אתם יכולים להשתמש במדיניות הזו כדי להפעיל אמצעי בקרה מפורטים, כולל מדיניות שמבוססת על זהות ומדיניות שמבוססת על תוכן, ולתמוך בהעברת הרשאות למנועי הרשאה חיצוניים באמצעות Service Extensions.

מדיניות אבטחה של שערים היא הבסיס להגדרת כללי אבטחה ב-Secure Web Proxy. הם מאפשרים או דוחים בקשות על סמך זהות המקור – כמו חשבונות שירות או תגים מאובטחים – ותכונות היעד, כמו רשימות של כתובות URL.

שימוש בסוג המדיניות המתאים

בעזרת Secure Web Proxy אפשר לנהל תנועה יוצאת באמצעות מדיניות הרשאה או מדיניות אבטחה של שער. אי אפשר להשתמש בשני סוגי המדיניות באותו שער.

בוחרים את סוג המדיניות בהתאם לדרישות:

מדיניות הרשאות: משתמשים בסוג המדיניות הזה לתכונות כמו הרחבות מותאמות אישית של הרשאות באמצעות Service Extensions או mTLS בקצה הקדמי.

אם רוצים להשתמש בתכונות האלה בפריסה קיימת, צריך להעביר את הכללים לתעבורה יוצאת ממדיניות האבטחה של השער למדיניות הרשאות.

זהירות: לפני שמעבירים את הכללים, צריך לוודא שמדיניות ההרשאות תומכת בכל קריטריוני ההתאמה הנדרשים. לדוגמה, כללי מדיניות בנושא הרשאות לא תומכים ברשימות של כתובות URL.
מדיניות אבטחה של שער: משתמשים בסוג המדיניות הזה אם נדרש סינון רגיל ברמת החיבור על סמך זהות המקור ומאפייני היעד או רשימות של כתובות URL במדיניות. מדיניות האבטחה של שערים לא תומכת בשימוש בתכונות כמו תוספים מותאמים אישית להרשאה או ב-mTLS בחזית.

מדיניות הרשאות

כללי מדיניות של הרשאות מאפשרים לכם לבצע בדיקות של בקרת גישה מבוססת-זהות כשמעבדים בקשות יוצאות דרך Secure Web Proxy. אפשר להגדיר מדיניות הרשאה (AuthzPolicy) כדי לאמת את הזהות של עומס עבודה או סוכן במקור שמקבל גישה לאינטרנט.

מדיניות הרשאות מאפשרת לכם לציין תנאים לאישור, לדחייה או להעברה של הרשאות לבקשות על סמך המקור, היעד ומאפיינים אחרים של הבקשה. בקשות שעוברות את הבדיקות האלה מועברות ליעד באינטרנט. בקשות שנכשלות נדחות עם השגיאה 403 Forbidden.

ב-Secure Web Proxy, אפשר לצרף מדיניות הרשאות למשאב השער כדי להגדיר את גבולות האבטחה לתנועה היוצאת ולהעריך את כללי מדיניות ההרשאות ב-Secure Web Proxy. בנוסף, אפשר להגדיר את Secure Web Proxy כדי להעביר החלטות לגבי הרשאות למנוע הרשאות חיצוני באמצעות Service Extensions (authorization extensions).

מידע נוסף על הגדרת מדיניות הרשאות זמין במאמר בנושא הגדרת מדיניות הרשאות ל-Secure Web Proxy.

למדיניות הרשאות יש יתרונות בהשוואה למדיניות אבטחה רגילה של שערים:

ממשק מדיניות עקבי: שימוש בממשק ה-API המאוחד AuthzPolicy כדי לנהל את ההרשאה לתעבורה עבור Secure Web Proxy, יחד עם שירותים אחרים כמו מאזן עומסים של אפליקציות (ALB) ו-Cloud Service Mesh ‏(CSM).
תמיכה ב-Service Extensions: אפשר להשתמש ב-Service Extensions כדי להעביר את ההחלטות לגבי הרשאות ללוגיקה המותאמת אישית שלכם. אפשר להשתמש בתוספי הרשאה כדי לבצע הרשאה ברמת הבקשה (על סמך כותרות, זהות ועוד) וניקוי תוכן (כמו הגנה על נתונים רגישים או זיהוי איומים).
אבטחה שמתמקדת בזהות: כללי מדיניות של הרשאות מאפשרים לאכוף אמצעי בקרה שמבוססים על זהות, וכך מספקים אבטחה חזקה יותר, תוך המשך תמיכה בכללים שמבוססים על כתובת IP. אפשר להגדיר את גבולות הגזרה של האבטחה באמצעות חשבונות שירות, תגים או Mutual TLS (mTLS) בקצה הקדמי. אפשר גם להשתמש ב-Service Extensions כדי להעביר את ההחלטות לגבי הרשאות לשירותים מבוססי-זהות כמו שרת proxy לאימות זהויות (IAP).

כללי מדיניות וכללים של שערים בנושא אבטחה

מדיניות אבטחה של שער היא פריט האבטחה המרכזי שמגדיר את אמצעי בקרת הגישה לכל התנועה היוצאת באינטרנט.

מדיניות האבטחה של השער כוללת את התכונות העיקריות הבאות:

שליטה במדיניות: מדיניות מכילה את כללי האבטחה של השער שבהם ה-proxy משתמש כדי לאשר או לדחות בקשה לאחזור מהרשת. אתם יכולים ליצור מדיניות אחת ולעשות בה שימוש חוזר בכמה מקרים של Secure Web Proxy כדי לשמור על עקביות ויעילות של כללי האבטחה.
אבטחה כברירת מחדל: מדיניות האבטחה של השער מופעלת כברירת מחדל.deny-all ה-Proxy חוסם כל בקשת HTTP ו-HTTPS עד שיוצרים כלל ספציפי שמתיר אותה. כך נאכפת ארכיטקטורה עם מודל אבטחה של אפס אמון מההתחלה.
לוגיקת המדיניות: כל מדיניות מבוססת על שתי בדיקות ליבה: זיהוי מקור התנועה ואימות היעד המותר.

כלל אבטחה בשער הוא הוראה במדיניות אבטחה בשער, שתואמת לפעולה הסופית ומגדירה אותה: אישור או דחייה.

מופע של Secure Web Proxy מעריך כללים על סמך עדיפות, והמספר הנמוך ביותר נבדק קודם. ה-proxy מפסיק לפעול ומבצע את הפעולה שמוגדרת בכלל הראשון שתואם לבקשה.

Session Matcher: בודק מידע בסיסי על חיבור הרשת בזמן ההגדרה. הכלי Session Matcher כולל את הפריטים הבאים:
- זהות המקור (חשבון שירות או תג מאובטח)
- שם המארח של היעד (שם הדומיין)
- יציאת היעד
התאמת אפליקציות: בודקת את התוכן של בקשת האינטרנט בפועל. בדרך כלל משתמשים בו כדי להבטיח שליטה מפורטת, ונדרשת בדיקת TLS כדי לבדוק תנועה מוצפנת. הכלי Application Matcher כולל את הפריטים הבאים:
- נתיב כתובת ה-URL המלא
- שיטת בקשה – לדוגמה, חסימה של כל הפעולות DELETE
- כותרות HTTP ספציפיות

מגבלות

כשמגדירים מדיניות ב-Secure Web Proxy, חלות המגבלות הבאות:

מדיניות אבטחה של שער: התוספים לא תומכים במדיניות הזו. יכולות מתקדמות כמו שימוש בלוגיקה מותאמת אישית או העברת החלטות הרשאה לשירותים חיצוניים זמינות רק דרך מדיניות הרשאות.
מדיניות הרשאות: המדיניות הזו לא תומכת ברשימות של כתובות URL או בהתאמה של ביטויים רגולריים (regex) למחרוזות של כתובות URL.