Kebijakan dan aturan

Kebijakan dan aturan Secure Web Proxy adalah fondasi strategi keamanan traffic web keluar Anda. Fitur ini memberikan kontrol yang tepat atas traffic web dengan mengizinkan atau menolak permintaan berdasarkan identitas sumber—seperti, akun layanan atau tag aman—dan atribut tujuan—seperti, daftar URL. Anda dapat menggunakan kebijakan dan aturan keamanan ini untuk memastikan bahwa hanya traffic yang diotorisasi yang dapat keluar dari jaringan Anda.

Halaman ini menjelaskan cara menentukan kebijakan, menyusun aturan tertentu untuk mengontrol traffic—termasuk koneksi TCP non-web—dan menerapkan keamanan terperinci berdasarkan identitas sumber dan atribut tujuan.

Ringkasan kebijakan

Kebijakan Secure Web Proxy adalah item keamanan inti yang menentukan kontrol akses untuk semua traffic web keluar. Berikut adalah fitur utama kebijakan Secure Web Proxy:

Kontrol kebijakan: kebijakan menyimpan serangkaian lengkap petunjuk (aturan Secure Web Proxy) yang digunakan proxy untuk menentukan apakah akan mengizinkan atau menolak permintaan web.
Aman secara default: Kebijakan Secure Web Proxy deny-all secara default. Artinya, proxy memblokir setiap permintaan (HTTP/S) hingga Anda membuat aturan khusus untuk mengizinkannya, sehingga menerapkan arsitektur zero trust sejak awal.
Logika kebijakan: setiap kebijakan dibuat berdasarkan dua pemeriksaan inti—menentukan sumber traffic dan memverifikasi tujuan yang diizinkan.

Kebijakan Secure Web Proxy didasarkan pada tiga parameter berikut:

Sumber traffic: untuk mengidentifikasi sumber traffic, Secure Web Proxy menggunakan berbagai atribut seperti akun layanan, tag aman, dan alamat IP.
Tujuan yang diizinkan: untuk menentukan tujuan yang diizinkan, Secure Web Proxy menggunakan domain tujuan, jalur URL lengkap (jika pemeriksaan TLS diaktifkan), daftar URL, atau port tujuan.
Detail permintaan: Secure Web Proxy juga dapat menganalisis atribut spesifik dari permintaan web itu sendiri, seperti protokol, metode HTTP, atau header permintaan. Untuk melakukan analisis ini, Anda harus mengaktifkan pemeriksaan TLS untuk traffic terenkripsi.

Atribut sumber

Untuk menerapkan keamanan terperinci, kebijakan Secure Web Proxy mengidentifikasi sumber traffic menggunakan data lokasi jaringan dan identitas cloud berikut:

Akun layanan: identitas unik yang ditetapkan ke aplikasi atau beban kerja Anda. Hal ini memungkinkan Anda membuat kebijakan berdasarkan fungsi spesifik aplikasi. Misalnya, "Hanya akun layanan cadangan yang dapat mengakses Cloud Storage".
Tag aman: label yang dapat Anda terapkan ke Google Cloud resource Anda (seperti instance virtual machine (VM)). Tag memungkinkan Anda mengelompokkan workload berdasarkan fungsi atau lingkungan. Misalnya, "Izinkan semua resource yang diberi label Production untuk mengakses domain yang disetujui."
Alamat IP: alamat jaringan spesifik komputer pengirim. Anda dapat menetapkan alamat IP perusahaan (atau alamat IP statis Google Cloud ) yang digunakan Secure Web Proxy untuk traffic keluar.

Identitas yang didukung untuk atribut sumber

Secure Web Proxy menggunakan kebijakan berdasarkan identitas sumber, seperti akun layanan dan tag aman, untuk mengontrol traffic web. Dengan menggunakan kebijakan berbasis identitas sumber, Anda dapat menerapkan aturan berdasarkan siapa atau apa yang mengirim traffic, bukan hanya alamat IP.

Tabel berikut menunjukkan berbagai layanan yang mendukung kebijakan berbasis identitas sumber ini: Google Cloud

Google Cloud layanan	Dukungan akun layanan	Dukungan tag aman
Virtual machine (VM) Compute Engine
Node Google Kubernetes Engine (GKE)
Container Google Kubernetes Engine (GKE)	¹	¹
VPC Langsung untuk Cloud Run		¹
Konektor Akses VPC Serverless	²	²
Cloud VPN	¹	¹
Cloud Interconnect di lokasi	¹	¹
Load Balancer Aplikasi
Load Balancer Jaringan

¹ Tidak didukung oleh Google Cloud.
² Alamat IP sumber bersifat unik dan dapat digunakan sebagai gantinya.

Tabel berikut menunjukkan apakah berbagai arsitektur Virtual Private Cloud (VPC) didukung saat menggunakan kebijakan keamanan berbasis identitas sumber:

VPC	Arsitektur VPC	Dukungan
Dalam VPC	Layanan lintas project (VPC Bersama)
Dalam VPC	Lintas region
VPC Lintas	Link peering silang (VPC peer)
VPC Lintas	Private Service Connect lintas project
VPC Lintas	Spoke Network Connectivity Center lintas jaringan

Atribut tujuan

Kebijakan Secure Web Proxy menentukan apakah tujuan disetujui dengan menganalisis atribut berikut dari situs atau layanan target:

Domain tujuan: alamat situs, seperti example.com.
Daftar URL: daftar URL yang telah ditentukan sebelumnya dan disetujui atau diblokir yang membantu pengelolaan kebijakan Anda menjadi lebih efisien.
Port tujuan: port jaringan tempat instance Secure Web Proxy Anda mengirim traffic. Misalnya, 443 untuk HTTPS.
Jalur URL lengkap: jalur persis situs. Hal ini mengharuskan pemeriksaan TLS diaktifkan untuk melihat seluruh konten di halaman web tertentu.

Untuk traffic tujuan HTTP dan HTTPS, Anda dapat menggunakan atribut tujuan host dan berbagai atribut terkait tujuan request.* seperti request.method untuk aplikasi Anda.

Untuk mengetahui informasi selengkapnya tentang atribut tujuan yang dapat Anda gunakan untuk traffic HTTP dan HTTPS, lihat Atribut.

Ringkasan aturan

Aturan Secure Web Proxy adalah petunjuk individual dalam kebijakan Secure Web Proxy yang melakukan pencocokan sebenarnya dan menentukan tindakan akhir: izinkan atau tolak. Instance Secure Web Proxy Anda mengevaluasi aturan berdasarkan prioritas, dengan nomor terendah diperiksa terlebih dahulu. Proxy berhenti dan bertindak berdasarkan aturan pertama yang cocok dengan permintaan.

Aturan menggunakan dua mesin pencocokan khusus berikut untuk memeriksa traffic:

Session Matcher: memeriksa informasi dasar tentang koneksi jaringan saat disiapkan. Session Matcher mencakup item berikut:
- Identitas sumber (akun layanan atau tag aman)
- Nama host tujuan (nama domain)
- Port tujuan
Pencocokan Aplikasi (Application Matcher): memeriksa konten permintaan web sebenarnya. Fitur ini biasanya digunakan untuk memastikan kontrol terperinci dan memerlukan pemeriksaan TLS untuk memeriksa traffic terenkripsi. Pencocok Aplikasi mencakup item berikut:
- Jalur URL lengkap
- Metode permintaan—misalnya, blokir semua tindakan DELETE
- Header HTTP tertentu

Aturan pencocokan host

Secure Web Proxy menggunakan pencocokan nama host untuk memverifikasi domain tujuan, yang sedikit berbeda bergantung pada cara proxy Anda di-deploy seperti yang ditunjukkan dalam tabel berikut. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi aturan pencocokan host.

Mode deployment	Proses verifikasi host
Mode proxy eksplisit	Untuk traffic yang tidak dienkripsi, proxy memeriksa nama host terhadap header koneksi HTTP. Jika Anda menggunakan [atribut Pencocok Aplikasi](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) untuk pemeriksaan TLS, proxy akan memeriksa nama host dalam dua langkah: pertama di tingkat koneksi, lalu di tingkat aplikasi.
Mode hop berikutnya	Untuk traffic terenkripsi, proxy memeriksa nama host tujuan terhadap kolom Server Name Indication (SNI) dalam permintaan keluar, yang terlihat bahkan pada koneksi yang aman.

Aturan proxy TCP

Aturan proxy Transmission Control Protocol (TCP) memungkinkan Anda mengontrol traffic yang bukan traffic web standar, seperti port 80 untuk HTTP dan port 443 untuk HTTPS. Dengan mengonfigurasi aturan proxy TCP, Anda dapat menyetujui atau memblokir traffic di port TCP lainnya. Hal ini membantu Anda memblokir traffic berbahaya dan mendapatkan kontrol terperinci atas aplikasi non-web yang menggunakan TCP.

Jika beban kerja Anda (seperti aplikasi dan layanan) menggunakan Secure Web Proxy sebagai next hop, maka penerapan aturan proxy TCP akan bermanfaat. Hal ini karena menggunakan proses pengalihan berbasis rute mengarahkan traffic non-HTTP(S) dan non-web ke instance Secure Web Proxy Anda. Dengan begitu, Anda dapat memblokir traffic berbahaya agar tidak mencapai aplikasi Anda dan mengontrol aplikasi atau situs yang dapat mengakses jaringan Anda.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi aturan proxy TCP.