Secure Web Proxy 政策和規則是輸出網路流量安全策略的基礎。您可以根據來源身分 (例如服務帳戶或安全標記) 和目的地屬性 (例如網址清單),允許或拒絕要求,精確控管網路流量。您可以運用這些安全性政策和規則,確保只有授權流量能離開網路。
本頁說明如何定義政策、建構特定規則來控管流量 (包括非網頁 TCP 連線),以及根據來源身分和目的地屬性套用精細的安全防護措施。
政策總覽
Secure Web Proxy 政策是定義所有輸出網路流量存取控管機制的安全核心項目。Secure Web Proxy 政策的主要功能包括:
政策控管:政策會儲存完整的一組指令 (Secure Web Proxy 規則),Proxy 會根據這些指令判斷是否允許或拒絕網路要求。
預設採用安全設定:Secure Web Proxy 政策預設為
deny-all。也就是說,在您建立允許要求的特定規則前,Proxy 會封鎖所有要求 (HTTP/S),從一開始就強制執行零信任架構。政策邏輯:每項政策都以兩項核心檢查為基礎,分別是判斷流量來源和驗證允許的目的地。
Secure Web Proxy 政策是根據下列三項參數制定:
允許的目的地:Secure Web Proxy 會使用目的地網域、完整網址路徑 (如果已啟用傳輸層安全標準 (TLS) 檢查)、網址清單或目的地通訊埠,判斷允許的目的地。
要求詳細資料:安全網路 Proxy 也可以分析網路要求本身的特定屬性,例如通訊協定、HTTP 方法或要求標頭。如要執行這項分析,您需要為加密流量啟用 TLS 檢查。
來源屬性
為落實精細的安全防護措施,Secure Web Proxy 政策會使用下列雲端身分和網路位置資料,識別流量來源:
- 服務帳戶:指派給應用程式或工作負載的專屬身分。您可以根據應用程式的特定功能建立政策。 例如:「只有備份服務帳戶可以存取 Cloud Storage」。
- 安全標記:可套用至 Google Cloud 資源 (例如虛擬機器 (VM) 執行個體) 的標籤。標記可讓您依功能或環境將工作負載分組。舉例來說,「允許標示
Production的所有資源存取核准的網域」。 - IP 位址:寄件者電腦的特定網路位址。您可以指派企業 IP 位址 (或靜態 Google Cloud IP 位址),供安全網頁 Proxy 用於輸出流量。
來源屬性支援的身分
Secure Web Proxy 會根據來源身分 (例如服務帳戶和安全標記) 使用政策控管網路流量。使用以來源身分為依據的政策,您可以根據流量的傳送者套用規則,而不只是根據 IP 位址。
下表列出支援這些以來源身分識別為依據的政策的各種 Google Cloud 服務:
| Google Cloud 服務 | 服務帳戶支援 | 安全標記支援 |
|---|---|---|
| Compute Engine 虛擬機器 (VM) | ||
| Google Kubernetes Engine (GKE) 節點 | ||
| Google Kubernetes Engine (GKE) 容器 | 1 | 1 |
| Cloud Run 的直接 VPC | 1 | |
| 無伺服器虛擬私有雲存取連接器 | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect 內部部署 | 1 | 1 |
| 應用程式負載平衡器 | ||
| 網路負載平衡器 |
2 來源 IP 位址是專屬位址,可做為替代位址。
下表說明使用以來源身分為依據的安全政策時,是否支援各種虛擬私有雲 (VPC) 架構:
| 虛擬私人雲端 | 虛擬私有雲架構 | 支援 |
|---|---|---|
| 虛擬私有雲內部 | 跨專案 (共用 VPC) | |
| 虛擬私有雲內部 | 跨區域 | |
| 跨虛擬私有雲 | 跨對等互連連結 (對等互連虛擬私有雲) | |
| 跨虛擬私有雲 | 跨 Private Service Connect | |
| 跨虛擬私有雲 | 跨 Network Connectivity Center 輪輻 |
目的地屬性
Secure Web Proxy 政策會分析目標網站或服務的下列屬性,判斷是否核准目的地:
到達網域:網站的地址,例如
example.com。網址清單:預先定義的核准或封鎖網址清單,可協助您更有效率地管理政策。
目的地通訊埠:Secure Web Proxy 執行個體傳送流量的網路通訊埠。例如 HTTPS 的
443。完整網址路徑:網站的確切路徑。如要查看特定網頁的完整內容,必須啟用 TLS 檢查。
對於 HTTP 和 HTTPS 目的地流量,您都可以使用應用程式的host目的地屬性和各種request.*目的地相關屬性,例如 request.method。
如要進一步瞭解可用於 HTTP 和 HTTPS 流量的目的地屬性,請參閱「屬性」。
規則總覽
Secure Web Proxy 規則是 Secure Web Proxy 政策中的個別指令,可執行實際比對並定義最終動作:允許或拒絕。Secure Web Proxy 執行個體會根據優先順序評估規則,並先檢查編號最低的規則。Proxy 會停止運作,並根據符合要求的第一個規則採取行動。
規則會使用下列兩種專用比對引擎檢查流量:
工作階段比對器:在設定網路連線時檢查基本資訊。工作階段比對器包含下列項目:
- 來源身分 (服務帳戶或安全標記)
- 目的地主機名稱 (網域名稱)
- 目的地通訊埠
應用程式比對器:檢查實際網頁請求的內容。這項功能通常用於確保精細控管,且需要 TLS 檢查才能檢查加密流量。應用程式比對工具包含下列項目:
- 完整網址路徑
- 要求方法,例如封鎖所有
DELETE動作 - 特定 HTTP 標頭
主機比對規則
Secure Web Proxy 會使用主機名稱比對來驗證目的地網域,而驗證方式會因 Proxy 的部署方式而略有不同,如下表所示。詳情請參閱「設定主機比對規則」。
| 部署模式 | 主機驗證程序 |
|---|---|
| 明確 Proxy 模式 | 如果是未加密的流量,Proxy 會根據 HTTP 連線標頭檢查主機名稱。如果您使用 [Application Matcher 屬性](/secure-web-proxy/docs/cel-matcher-language-reference#attributes-available-only-to-applicationmatcher)進行 TLS 檢查,Proxy 會分兩個步驟檢查主機名稱:先在連線層級檢查,然後在應用程式層級檢查。 |
| 下一個躍點模式 | 如果是加密流量,Proxy 會根據傳出要求中的伺服器名稱指示 (SNI) 欄位檢查目的地主機名稱,即使是安全連線也能看到這個欄位。 |
TCP Proxy 規則
傳輸控制通訊協定 (TCP) Proxy 規則可讓您控管非標準網路流量,例如 HTTP 的通訊埠 80 和 HTTPS 的通訊埠 443。設定 TCP Proxy 規則後,您就能核准或封鎖任何其他 TCP 通訊埠的流量。這有助於封鎖惡意流量,並精細控管使用 TCP 的非網頁應用程式。
如果您的工作負載 (例如應用程式和服務) 使用Secure Web Proxy 做為下一個躍點,則套用 TCP Proxy 規則會很有幫助。這是因為使用以路徑為準的重新導向程序,會將非 HTTP(S) 和非網路流量導向安全網路 Proxy 執行個體。這麼做可防止惡意流量連上應用程式,並控管哪些應用程式或網站可以存取您的網路。
詳情請參閱「設定 TCP Proxy 規則」。