ポリシーとルール

Secure Web Proxy のポリシーとルールは、アウトバウンドウェブトラフィックのセキュリティ戦略の基盤となります。これらは、ソース ID（サービスアカウントやセキュアタグなど）と宛先属性（URL リストなど）に基づいてリクエストを許可または拒否することで、ウェブトラフィックを正確に制御します。これらのセキュリティポリシーとルールを使用して、承認済みのトラフィックのみがネットワークから送信されるようにすることができます。

このページでは、ポリシーを定義し、特定のルールを構造化してトラフィック（非ウェブ TCP 接続を含む）を制御し、送信元 ID と宛先属性に基づいてきめ細かいセキュリティを適用する方法について説明します。

ポリシーの概要

Secure Web Proxy ポリシーは、すべての外向きウェブトラフィックのアクセス制御を定義するコアセキュリティアイテムです。Secure Web Proxy ポリシーの主な機能は次のとおりです。

ポリシー制御: ポリシーには、プロキシがウェブリクエストを許可するか拒否するかを判断するために使用する一連の完全な手順（Secure Web Proxy ルール）が保存されます。
デフォルトで安全: Secure Web Proxy ポリシーはデフォルトで deny-all です。つまり、プロキシは、許可する特定のルールを作成するまで、すべてのリクエスト（HTTP/S）をブロックし、最初からゼロトラストアーキテクチャを適用します。
ポリシーロジック: すべてのポリシーは、トラフィックソースの特定と許可された宛先の検証という 2 つのコアチェックに基づいて構築されています。

Secure Web Proxy ポリシーは、次の 3 つのパラメータに基づいています。

トラフィックソース: Secure Web Proxy は、サービスアカウント、セキュアタグ、IP アドレスなどのさまざまな属性を使用してトラフィックソースを識別します。
許可される宛先: Secure Web Proxy は、宛先ドメイン、URL の完全パス（TLS インスペクションが有効になっている場合）、URL リスト、または宛先ポートを使用して、許可される宛先を決定します。
リクエストの詳細: Secure Web Proxy は、プロトコル、HTTP メソッド、リクエストヘッダーなど、ウェブリクエスト自体の特定の属性を分析することもできます。この分析を行うには、暗号化されたトラフィックに対して TLS インスペクションを有効にする必要があります。

ソース属性

Secure Web Proxy ポリシーは、次のクラウド ID とネットワークロケーションデータを使用してトラフィックの送信元を特定し、きめ細かいセキュリティを適用します。

サービスアカウント: アプリケーションまたはワークロードに割り当てられる一意の ID。これにより、アプリケーションの特定の機能に基づいてポリシーを作成できます。たとえば、「バックアップサービスアカウントのみが Cloud Storage にアクセスできる」などです。
安全なタグ: Google Cloud リソース（仮想マシン（VM）インスタンスなど）に適用できるラベル。タグを使用すると、関数または環境別にワークロードをグループ化できます。たとえば、「Production とラベル付けされたすべてのリソースが承認済みドメインにアクセスできるようにする」などです。
IP アドレス: 送信者のマシンの特定のネットワークアドレス。Secure Web Proxy がアウトバウンドトラフィックに使用するエンタープライズ IP アドレス（または静的 Google Cloud IP アドレス）を割り当てることができます。

ソース属性でサポートされている ID

Secure Web Proxy は、サービスアカウントやセキュアタグなどのソース ID に基づくポリシーを使用して、ウェブトラフィックを制御します。送信元 ID ベースのポリシーを使用すると、IP アドレスだけでなく、トラフィックの送信元に基づいてルールを適用できます。

次の表に、これらのソース ID ベースのポリシーをサポートするさまざまな Google Cloud サービスを示します。

Google Cloud サービス	サービスアカウントのサポート	セキュアタグのサポート
Compute Engine 仮想マシン（VM）
Google Kubernetes Engine（GKE）ノード
Google Kubernetes Engine（GKE）コンテナ	¹	¹
Cloud Run のダイレクト VPC		¹
サーバーレス VPC アクセスコネクタ	²	²
Cloud VPN	¹	¹
オンプレミスの Cloud Interconnect	¹	¹
アプリケーションロードバランサ
ネットワークロードバランサ

¹ Google Cloudではサポートされていません。
² 送信元 IP アドレスは一意であるため、代わりに使用できます。

次の表に、送信元 ID ベースのセキュリティポリシーを使用する場合に、さまざまな Virtual Private Cloud（VPC）アーキテクチャがサポートされるかどうかを示します。

VPC	VPC アーキテクチャ	サポート
VPC 内	プロジェクト間（共有 VPC）
VPC 内	リージョン間
VPC 間	ピアリング間リンク（ピア VPC）
VPC 間	Private Service Connect 間
VPC 間	Network Connectivity Center スポーク間

デスティネーション属性

Secure Web Proxy ポリシーは、ターゲットウェブサイトまたはサービスの次の属性を分析して、宛先が承認されるかどうかを判断します。

宛先ドメイン: ウェブサイトのアドレス（example.com など）。
URL リスト: ポリシーの管理を効率化するために、承認済みまたはブロック済みの URL の事前定義リスト。
宛先ポート: Secure Web Proxy インスタンスがトラフィックを送信するネットワークポート。たとえば、HTTPS の場合は 443 です。
完全な URL パス: ウェブサイトの正確なパス。特定のウェブページのコンテンツ全体を表示するには、TLS インスペクションを有効にする必要があります。

HTTP と HTTPS の両方の宛先トラフィックに、host 宛先属性と、アプリケーションの request.method などのさまざまな request.* 宛先関連属性を使用できます。

HTTP トラフィックと HTTPS トラフィックに使用できる宛先属性の詳細については、属性をご覧ください。

ルールの概要

Secure Web Proxy ルールは、Secure Web Proxy ポリシー内の個々の指示であり、実際の照合を実行して、許可または拒否の最終的なアクションを定義します。Secure Web Proxy インスタンスは、優先度に基づいてルールを評価します。最も小さい数値が最初にチェックされます。プロキシは停止し、リクエストに一致する最初のルールに基づいて動作します。

ルールは、次の 2 つの専用マッチングエンジンを使用してトラフィックを検査します。

セッションマッチャー: ネットワーク接続の設定時に、ネットワーク接続に関する基本情報をチェックします。セッションマッチャーには次の項目が含まれます。
- ソース ID（サービスアカウントまたはセキュアタグ）
- 宛先ホスト名（ドメイン名）
- 宛先ポート
アプリケーションマッチャー: 実際のウェブリクエストの内容を検査します。通常、きめ細かい制御を確保するために使用され、暗号化されたトラフィックをチェックするには TLS インスペクションが必要です。Application Matcher には次の項目が含まれます。
- 完全な URL パス
- リクエストメソッド - たとえば、すべての DELETE アクションをブロックする
- 特定の HTTP ヘッダー

ホストマッチングルール

Secure Web Proxy は、ホスト名の照合を使用して宛先ドメインを検証します。次の表に示すように、プロキシのデプロイ方法によって若干異なります。詳細については、ホスト一致ルールの構成をご覧ください。

デプロイモード	ホストの確認プロセス
明示的プロキシモード	暗号化されていないトラフィックの場合、プロキシはホスト名を HTTP 接続ヘッダーと照合します。TLS 検査に [Application Matcher 属性](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) を使用する場合、プロキシはホスト名を 2 段階で確認します。まず接続レベルで確認し、次にアプリケーションレベルで確認します。
ネクストホップモード	暗号化されたトラフィックの場合、プロキシは宛先ホスト名をアウトバウンドリクエストの Server Name Indication（SNI）フィールドと照合します。このフィールドは安全な接続でも確認できます。

デプロイモード

ホストの確認プロセス

明示的プロキシモード

暗号化されていないトラフィックの場合、プロキシはホスト名を HTTP 接続ヘッダーと照合します。TLS 検査に [Application Matcher 属性](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) を使用する場合、プロキシはホスト名を 2 段階で確認します。まず接続レベルで確認し、次にアプリケーションレベルで確認します。

ネクストホップモード

暗号化されたトラフィックの場合、プロキシは宛先ホスト名をアウトバウンドリクエストの Server Name Indication（SNI）フィールドと照合します。このフィールドは安全な接続でも確認できます。

TCP プロキシルール

TCP（Transmission Control Protocol）プロキシルールを使用すると、HTTP のポート 80 や HTTPS のポート 443 など、標準のウェブトラフィック以外のトラフィックを制御できます。TCP プロキシルールを構成することで、他の TCP ポートのトラフィックを承認またはブロックできます。これにより、悪意のあるトラフィックをブロックし、TCP を使用する非ウェブアプリケーションをきめ細かく制御できます。

ワークロード（アプリケーションやサービスなど）で Secure Web Proxy をネクストホップとして使用する場合は、TCP プロキシルールを適用するとメリットがあります。これは、ルートベースのリダイレクトプロセスを使用すると、HTTP(S) 以外のトラフィックとウェブ以外のトラフィックが Secure Web Proxy インスタンスに転送されるためです。これにより、悪意のあるトラフィックがアプリケーションに到達するのをブロックし、ネットワークにアクセスできるアプリケーションやウェブサイトを制御できます。

詳細については、TCP プロキシルールを構成するをご覧ください。