정책 및 규칙

보안 웹 프록시 정책과 규칙은 아웃바운드 웹 트래픽 보안 전략의 기반입니다. 서비스 계정 또는 보안 태그와 같은 소스 ID와 URL 목록과 같은 대상 속성을 기반으로 요청을 허용하거나 거부하여 웹 트래픽을 정밀하게 제어할 수 있습니다. 이러한 보안 정책과 규칙을 사용하여 승인된 트래픽만 네트워크를 벗어날 수 있도록 할 수 있습니다.

이 페이지에서는 정책을 정의하고, 웹이 아닌 TCP 연결을 비롯한 트래픽을 제어하는 특정 규칙을 구성하고, 소스 ID 및 대상 속성을 기반으로 세부적인 보안을 적용하는 방법을 설명합니다.

정책 개요

보안 웹 프록시 정책은 모든 아웃바운드 웹 트래픽의 액세스 제어를 정의하는 핵심 보안 항목입니다. 보안 웹 프록시 정책의 주요 기능은 다음과 같습니다.

정책 제어: 정책은 프록시가 웹 요청을 허용할지 거부할지 결정하는 데 사용하는 전체 명령어 세트(보안 웹 프록시 규칙)를 저장합니다.
기본적으로 보안: 보안 웹 프록시 정책은 기본적으로 deny-all입니다. 즉, 프록시는 허용하는 특정 규칙을 만들 때까지 모든 요청 (HTTP/S)을 차단하여 처음부터 제로 트러스트 아키텍처를 적용합니다.
정책 논리: 모든 정책은 트래픽 소스를 확인하고 허용된 대상을 검증하는 두 가지 핵심 검사를 기반으로 합니다.

보안 웹 프록시 정책은 다음 세 가지 파라미터를 기반으로 합니다.

트래픽 소스: 보안 웹 프록시는 트래픽 소스를 식별하기 위해 서비스 계정, 보안 태그, IP 주소와 같은 다양한 속성을 사용합니다.
허용되는 대상: 보안 웹 프록시가 대상 도메인, 전체 URL 경로 (TLS 검사가 사용 설정된 경우), URL 목록, 대상 포트를 사용하여 허용되는 대상을 결정합니다.
요청 세부정보: 보안 웹 프록시는 프로토콜, HTTP 메서드, 요청 헤더와 같은 웹 요청의 특정 속성도 분석할 수 있습니다. 이 분석을 수행하려면 암호화된 트래픽에 대해 TLS 검사를 사용 설정해야 합니다.

소스 속성

세분화된 보안을 적용하기 위해 보안 웹 프록시 정책은 다음 클라우드 ID 및 네트워크 위치 데이터를 사용하여 트래픽 소스를 식별합니다.

서비스 계정: 애플리케이션 또는 워크로드에 할당된 고유 ID입니다. 이를 통해 애플리케이션의 특정 기능을 기반으로 정책을 만들 수 있습니다. 예를 들어 '백업 서비스 계정만 Cloud Storage에 액세스할 수 있습니다'와 같습니다.
보안 태그: 가상 머신(VM) 인스턴스와 같은 Google Cloud 리소스에 적용할 수 있는 라벨입니다. 태그를 사용하면 기능 또는 환경별로 워크로드를 그룹화할 수 있습니다. 예를 들어 'Production 라벨이 지정된 모든 리소스가 승인된 도메인에 액세스하도록 허용'
IP 주소: 발신자 컴퓨터의 특정 네트워크 주소입니다. 아웃바운드 트래픽에 Secure Web Proxy가 사용하는 엔터프라이즈 IP 주소 (또는 고정 Google Cloud IP 주소)를 할당할 수 있습니다.

소스 속성에 지원되는 ID

보안 웹 프록시는 서비스 계정, 보안 태그와 같은 소스 ID를 기반으로 하는 정책을 사용하여 웹 트래픽을 제어합니다. 소스 ID 기반 정책을 사용하면 IP 주소뿐만 아니라 트래픽을 전송하는 주체에 따라 규칙을 적용할 수 있습니다.

다음 표에는 이러한 소스 ID 기반 정책을 지원하는 다양한 Google Cloud 서비스가 나와 있습니다.

Google Cloud 서비스	서비스 계정 지원	보안 태그 지원
Compute Engine 가상 머신 (VM)
Google Kubernetes Engine (GKE) 노드
Google Kubernetes Engine (GKE) 컨테이너	¹	¹
Cloud Run용 직접 VPC		¹
서버리스 VPC 액세스 커넥터	²	²
Cloud VPN	¹	¹
온프레미스 Cloud Interconnect	¹	¹
애플리케이션 부하 분산기
네트워크 부하 분산기

¹ Google Cloud에서는 지원되지 않습니다.
² 소스 IP 주소는 고유하며 대신 사용할 수 있습니다.

다음 표에서는 소스 ID 기반 보안 정책을 사용할 때 다양한 가상 프라이빗 클라우드 (VPC) 아키텍처가 지원되는지 여부를 보여줍니다.

VPC	VPC 아키텍처	지원
VPC 내	프로젝트 간(공유 VPC)
VPC 내	리전 간
VPC 간	피어링 링크 간(피어 VPC)
VPC 간	Private Service Connect 간
VPC 간	Network Connectivity Center 스포크 간

대상 속성

보안 웹 프록시 정책은 대상 웹사이트 또는 서비스의 다음 속성을 분석하여 대상이 승인되었는지 여부를 확인합니다.

대상 도메인: 웹사이트 주소(예: example.com)
URL 목록: 정책을 더 효율적으로 관리할 수 있도록 승인되거나 차단된 URL의 사전 정의된 목록입니다.
대상 포트: 보안 웹 프록시 인스턴스가 트래픽을 전송하는 네트워크 포트입니다. 예를 들어 HTTPS의 경우 443입니다.
전체 URL 경로: 웹사이트의 정확한 경로입니다. 특정 웹페이지의 전체 콘텐츠를 보려면 TLS 검사를 사용 설정해야 합니다.

HTTP 및 HTTPS 대상 트래픽 모두에 host 대상 속성과 애플리케이션의 request.method와 같은 다양한 request.* 대상 관련 속성을 사용할 수 있습니다.

HTTP 및 HTTPS 트래픽에 사용할 수 있는 대상 속성에 대한 자세한 내용은 속성을 참고하세요.

규칙 개요

보안 웹 프록시 규칙은 실제 일치를 수행하고 최종 작업(허용 또는 거부)을 정의하는 보안 웹 프록시 정책 내의 개별 명령어입니다. 보안 웹 프록시 인스턴스는 우선순위에 따라 규칙을 평가하며, 가장 낮은 숫자가 먼저 확인됩니다. 프록시는 요청과 일치하는 첫 번째 규칙에서 중지되고 이에 따라 작동합니다.

규칙은 다음 두 가지 전문 매칭 엔진을 사용하여 트래픽을 검사합니다.

세션 매처: 설정 중인 네트워크 연결에 관한 기본 정보를 확인합니다. 세션 매처에는 다음 항목이 포함됩니다.
- 소스 ID (서비스 계정 또는 보안 태그)
- 대상 호스트 이름 (도메인 이름)
- 대상 포트
애플리케이션 매처: 실제 웹 요청의 콘텐츠를 검사합니다. 일반적으로 세부적인 제어를 보장하는 데 사용되며 암호화된 트래픽을 확인하려면 TLS 검사가 필요합니다. 애플리케이션 매처에는 다음 항목이 포함됩니다.
- 전체 URL 경로
- 요청 메서드(예: 모든 DELETE 작업 차단)
- 특정 HTTP 헤더

호스트 일치 규칙

보안 웹 프록시는 호스트 이름 일치를 사용하여 대상 도메인을 확인합니다. 이는 다음 표와 같이 프록시가 배포된 방식에 따라 약간 다릅니다. 자세한 내용은 호스트 일치 규칙 구성을 참고하세요.

배포 모드	호스트 인증 절차
명시적 프록시 모드	암호화되지 않은 트래픽의 경우 프록시는 호스트 이름을 HTTP 연결 헤더와 비교합니다. TLS 검사에 [애플리케이션 매처 속성](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher)을 사용하는 경우 프록시는 연결 수준에서 먼저, 애플리케이션 수준에서 두 번째로 호스트 이름을 확인합니다.
다음 홉 모드	암호화된 트래픽의 경우 프록시는 보안 연결에서도 표시되는 아웃바운드 요청의 서버 이름 표시 (SNI) 필드에 대해 대상 호스트 이름을 확인합니다.

배포 모드

호스트 인증 절차

명시적 프록시 모드

암호화되지 않은 트래픽의 경우 프록시는 호스트 이름을 HTTP 연결 헤더와 비교합니다. TLS 검사에 [애플리케이션 매처 속성](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher)을 사용하는 경우 프록시는 연결 수준에서 먼저, 애플리케이션 수준에서 두 번째로 호스트 이름을 확인합니다.

다음 홉 모드

암호화된 트래픽의 경우 프록시는 보안 연결에서도 표시되는 아웃바운드 요청의 서버 이름 표시 (SNI) 필드에 대해 대상 호스트 이름을 확인합니다.

TCP 프록시 규칙

전송 제어 프로토콜 (TCP) 프록시 규칙을 사용하면 HTTP용 포트 80 및 HTTPS용 포트 443과 같은 표준 웹 트래픽이 아닌 트래픽을 제어할 수 있습니다. TCP 프록시 규칙을 구성하면 다른 TCP 포트의 트래픽을 승인하거나 차단할 수 있습니다. 이를 통해 악성 트래픽을 차단하고 TCP를 사용하는 비웹 애플리케이션을 세부적으로 제어할 수 있습니다.

워크로드 (예: 애플리케이션 및 서비스)에서 보안 웹 프록시를 다음 홉으로 사용하는 경우 TCP 프록시 규칙을 적용하는 것이 좋습니다. 이는 경로 기반 리디렉션 프로세스를 사용하면 HTTP(S) 및 웹 트래픽이 아닌 트래픽이 보안 웹 프록시 인스턴스로 전달되기 때문입니다. 이렇게 하면 악성 트래픽이 애플리케이션에 도달하는 것을 차단하고 네트워크에 액세스할 수 있는 애플리케이션 또는 웹사이트를 제어할 수 있습니다.

자세한 내용은 TCP 프록시 규칙 구성을 참고하세요.