정책 및 규칙

보안 웹 프록시 정책 및 규칙은 아웃바운드 웹 트래픽 보안 전략의 기반입니다. 소스 ID(예: 서비스 계정 또는 보안 태그) 및 대상 속성(예: URL 목록)을 기반으로 요청을 허용하거나 거부하여 웹 트래픽을 정밀하게 제어할 수 있습니다. 이러한 보안 정책 및 규칙을 사용하여 승인된 트래픽만 네트워크를 벗어날 수 있도록 할 수 있습니다.

이 페이지에서는 정책을 정의하고, 웹 이외의 TCP 연결을 포함하여 트래픽을 제어하는 특정 규칙을 구성하고, 소스 ID 및 대상 속성을 기반으로 세분화된 보안을 적용하는 방법을 설명합니다.

정책 개요

보안 웹 프록시 정책은 모든 아웃바운드 웹 트래픽에 대한 액세스 제어를 정의하는 핵심 보안 항목입니다. 보안 웹 프록시 정책의 주요 기능은 다음과 같습니다.

정책 제어: 정책은 프록시가 웹 요청을 허용할지 거부할지 결정하는 데 사용하는 전체 명령어 집합 (보안 웹 프록시 규칙)을 저장합니다.
기본적으로 보안: 보안 웹 프록시 정책은 deny-all 기본적으로 보안입니다. 즉, 프록시는 허용하는 특정 규칙을 만들 때까지 모든 요청 (HTTP/S)을 차단하여 처음부터 제로 트러스트 아키텍처를 시행합니다.
정책 로직: 모든 정책은 트래픽 소스 결정 및 허용된 대상 확인이라는 두 가지 핵심 검사를 기반으로 빌드됩니다.

보안 웹 프록시 정책은 다음 세 가지 매개변수를 기반으로 합니다.

트래픽 소스: 보안 웹 프록시는 트래픽 소스를 식별하기 위해 다음과 같은 다양한 속성을 사용합니다. 서비스 계정, 보안 태그, IP 주소
허용되는 대상: 보안 웹 프록시는 허용되는 대상을 결정하기 위해 대상 도메인, 전체 URL 경로 (TLS 검사가 사용 설정된 경우), URL 목록, 대상 포트를 사용합니다.
요청 세부정보: 보안 웹 프록시는 프로토콜, HTTP 메서드, 요청 헤더와 같은 웹 요청 자체의 특정 속성을 분석할 수도 있습니다. 이 분석을 수행하려면 암호화된 트래픽에 TLS 검사를 사용 설정해야 합니다.

소스 속성

세분화된 보안을 시행하기 위해 보안 웹 프록시 정책은 다음 클라우드 ID 및 네트워크 위치 데이터를 사용하여 트래픽 소스를 식별합니다.

서비스 계정: 애플리케이션 또는 워크로드에 할당된 고유한 ID입니다. 이를 통해 애플리케이션의 특정 기능을 기반으로 정책을 만들 수 있습니다. 예를 들어 '백업 서비스 계정만 Cloud Storage에 액세스할 수 있음'입니다.
보안 태그: 가상 머신(VM) 인스턴스와 같은 리소스에 적용할 수 있는 라벨입니다. Google Cloud 태그를 사용하면 기능 또는 환경별로 워크로드를 그룹화할 수 있습니다. 예를 들어, "Production 라벨이 지정된 모든 리소스가 승인된 도메인에 액세스하도록 허용"합니다.
IP 주소: 발신자 머신의 특정 네트워크 주소입니다. 보안 웹 프록시가 아웃바운드 트래픽에 사용하는 엔터프라이즈 IP 주소 (또는 고정 Google Cloud IP 주소) 를 할당할 수 있습니다.

소스 속성에 지원되는 ID

보안 웹 프록시는 서비스 계정 및 보안 태그와 같은 소스 ID를 기반으로 하는 정책을 사용하여 웹 트래픽을 제어합니다. 소스 ID 기반 정책을 사용하면 IP 주소뿐만 아니라 트래픽을 보내는 주체 또는 대상을 기반으로 규칙을 적용할 수 있습니다.

다음 표에서는 이러한 소스 ID 기반 정책을 지원하는 다양한 Google Cloud 서비스를 보여줍니다.

Google Cloud 서비스	서비스 계정 지원	보안 태그 지원
Compute Engine 가상 머신 (VM)
Google Kubernetes Engine (GKE) 노드
Google Kubernetes Engine (GKE) 컨테이너	¹	¹
Cloud Run용 직접 VPC		¹
서버리스 VPC 액세스 커넥터	²	²
Cloud VPN	¹	¹
온프레미스 Cloud Interconnect	¹	¹
애플리케이션 부하 분산기
네트워크 부하 분산기

¹ 에서는 지원되지 않습니다 Google Cloud.
² 소스 IP 주소는 고유하며 대신 사용할 수 있습니다.

다음 표에서는 소스 ID 기반 보안 정책을 사용할 때 다양한 가상 프라이빗 클라우드 (VPC) 아키텍처가 지원되는지 여부를 보여줍니다.

VPC	VPC 아키텍처	지원
VPC 내	프로젝트 간 (공유 VPC)
VPC 간	피어링 링크 간(피어 VPC)
VPC 간	Private Service Connect 간
VPC 간	Network Connectivity Center 스포크 간

대상 속성

보안 웹 프록시 정책은 대상 웹사이트 또는 서비스의 다음 속성을 분석하여 대상이 승인되었는지 확인합니다.

대상 도메인: 웹사이트의 주소(예: example.com)입니다.
URL 목록: 정책 관리를 더 효율적으로 수행하는 데 도움이 되는 승인되거나 차단된 URL의 미리 정의된 목록입니다.
대상 포트: 보안 웹 프록시 인스턴스가 트래픽을 전송하는 네트워크 포트입니다. 예를 들어 HTTPS의 경우 443입니다.
전체 URL 경로: 웹사이트의 정확한 경로입니다. 특정 웹페이지의 전체 콘텐츠를 보려면 TLS 검사를 사용 설정해야 합니다.

HTTP 및 HTTPS 대상 트래픽 모두에 애플리케이션의 host 대상 속성 및 다양한 request.* 대상 관련 속성(예: request.method)을 사용할 수 있습니다.

HTTP 및 HTTPS 트래픽에 사용할 수 있는 대상 속성에 대한 자세한 내용은 속성을 참조하세요.

규칙 개요

보안 웹 프록시 규칙은 실제 일치를 수행하고 최종 작업(허용 또는 거부)을 정의하는 보안 웹 프록시 정책 내의 개별 명령어입니다. 보안 웹 프록시 인스턴스는 우선순위에 따라 규칙을 평가하며 가장 낮은 숫자가 먼저 확인됩니다. 프록시는 요청과 일치하는 첫 번째 규칙에서 중지되고 해당 규칙에 따라 작동합니다.

규칙은 다음 두 가지 전문 일치 엔진을 사용하여 트래픽을 검사합니다.

세션 일치자: 네트워크 연결이 설정될 때 네트워크 연결에 대한 기본 정보를 확인합니다. 세션 일치자에는 다음 항목이 포함됩니다.
- 소스 ID (서비스 계정 또는 보안 태그)
- 대상 호스트 이름 (도메인 이름)
- 대상 포트
애플리케이션 일치자: 실제 웹 요청의 콘텐츠를 검사합니다. 일반적으로 세분화된 제어를 보장하는 데 사용되며 암호화된 트래픽을 확인하려면 TLS 검사가 필요합니다. 애플리케이션 일치자에는 다음 항목이 포함됩니다.
- 전체 URL 경로
- 요청 메서드(예: 모든 DELETE 작업 차단)
- 특정 HTTP 헤더

호스트 일치 규칙

보안 웹 프록시는 호스트 이름 일치를 사용하여 대상 도메인을 확인합니다. 이는 다음 표와 같이 프록시가 배포되는 방식에 따라 약간 다릅니다. 자세한 내용은 호스트 일치 규칙 구성을 참조하세요.

배포 모드	호스트 확인 절차
명시적 프록시 모드	암호화되지 않은 트래픽의 경우 프록시는 HTTP 연결 헤더에 대해 호스트 이름 을 확인합니다. TLS 검사에 [애플리케이션 일치자 속성](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) 을 사용하는 경우 프록시는 호스트 이름을 두 단계로 확인합니다. 먼저 연결 수준에서, 그런 다음 애플리케이션 수준에서 확인합니다.
다음 홉 모드	암호화된 트래픽의 경우 프록시는 보안 연결에서도 볼 수 있는 아웃바운드 요청의 서버 이름 표시 (SNI) 필드에 대해 대상 호스트 이름을 확인합니다.

배포 모드

호스트 확인 절차

명시적 프록시 모드

암호화되지 않은 트래픽의 경우 프록시는 HTTP 연결 헤더에 대해 호스트 이름 을 확인합니다. TLS 검사에 [애플리케이션 일치자 속성](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher) 을 사용하는 경우 프록시는 호스트 이름을 두 단계로 확인합니다. 먼저 연결 수준에서, 그런 다음 애플리케이션 수준에서 확인합니다.

다음 홉 모드

암호화된 트래픽의 경우 프록시는 보안 연결에서도 볼 수 있는 아웃바운드 요청의 서버 이름 표시 (SNI) 필드에 대해 대상 호스트 이름을 확인합니다.

TCP 프록시 규칙

전송 제어 프로토콜 (TCP) 프록시 규칙을 사용하면 HTTP의 포트 80 및 HTTPS의 포트 443과 같은 표준 웹 트래픽이 아닌 트래픽을 제어할 수 있습니다. TCP 프록시 규칙을 구성하면 다른 TCP 포트에서 트래픽을 승인하거나 차단할 수 있습니다. 이렇게 하면 악성 트래픽을 차단하고 TCP를 사용하는 웹 이외의 애플리케이션을 세부적으로 제어할 수 있습니다.

애플리케이션 및 서비스와 같은 워크로드가 보안 웹 프록시를 다음 홉으로 사용하는 경우, TCP 프록시 규칙을 적용하는 것이 좋습니다. 이는 경로 기반 리디렉션 프로세스를 사용하면 HTTP(S)가 아닌 트래픽과 웹 이외의 트래픽이 보안 웹 프록시 인스턴스로 전달되기 때문입니다. 이렇게 하면 악성 트래픽이 애플리케이션에 도달하는 것을 차단하고 네트워크에 액세스할 수 있는 애플리케이션 또는 웹사이트를 제어할 수 있습니다.

자세한 내용은 TCP 프록시 규칙 구성을 참조하세요.