Secure Web Proxy의 승인 정책 설정

이 페이지에서는 Secure Web Proxy의 승인 정책을 설정하는 방법을 설명합니다.

시작하기 전에

• Secure Web Proxy 개요 및 승인 정책 개요 페이지를 검토합니다.

• 다음 API를 사용 설정합니다.

  • Network Security API
  • Network Services API
  • Certificate Manager API

• 적절한 역할 및 권한이 있는지 확인합니다.

• 활성 Secure Web Proxy 인스턴스가 배포되어 GatewaySecurityPolicy와 연결되어 있어야 합니다. 자세한 내용은 Secure Web Proxy 인스턴스 배포를 참고하세요.

• Secure Web Proxy 승인 정책을 구성하려면 TLS 검사 정책을 사용 설정해야 합니다.

승인 정책 만들기

이 섹션에서는 Secure Web Proxy 인스턴스에 연결된 다양한 유형의 승인 정책을 만드는 방법을 설명합니다.

Secure Web Proxy의 승인 정책을 만들려면 다음을 수행하세요.

• 타겟과 규칙을 정의하는 YAML 파일을 구성합니다.
• gcloud network-security authz-policies import 명령을 사용하여 파일을 가져옵니다.

mTLS ID 기반 승인 정책

Secure Web Proxy는 상호 TLS (mTLS) 인증서에서 파생된 ID를 기반으로 보안 규칙 적용을 지원합니다. 이러한 ID를 기반으로 규칙을 적용하는 것은 특히 클라이언트와 프록시 간 트래픽이 mTLS로 보호되는 제로 트러스트 환경에서 유용합니다. 자세한 내용은 주체를 기반으로 하는 승인 정책을 참고하세요.

다음 예는 swp1라는 Secure Web Proxy 인스턴스의 승인 정책을 보여줍니다. 이 예에서는 프록시로의 트래픽이 HTTPS 프로토콜을 사용한다고 가정합니다.

REQUEST_AUTHZ 프로필이 있는 정책은 example.com/mcp로 향하는 모든 트래픽이 트래픽이 통과하도록 허용되기 전에 특정 주체의 mTLS 인증을 요구합니다. 이 정책은 example.com/mcp로 이동하지 않는 모든 아웃바운드 트래픽도 거부합니다.

1. 승인 정책 YAML 파일을 만듭니다.

   다음 예에서는 authz-policy.yaml 파일을 만듭니다. 이 정책은 클라이언트가 정의된 SPIFFE ID 주 구성원과 일치하는 인증서를 제시하는 경우에만 지정된 호스트와 경로로 트래픽을 허용합니다.

   $ cat >authz-policy.yaml <<EOF
   name: test-authz-policy-mtls
   target:
     resources:
     - "projects/ PROJECT_ID /locations/ LOCATION /gateways/swp1"
   policyProfile: REQUEST_AUTHZ
   httpRules:
   - to:
     operations:
     - hosts:
         - exact: "example.com"
       paths:
         - exact: "/mcp"
     from:
       sources:
       - principals:
         - principalSelector: CLIENT_CERT_URI_SAN
           principal:
             exact: "spiffe:// PROJECT_ID .global.123.workload.id.goog/ns/ns1/sa/hellomcp"
   action: ALLOW
   EOF
   

   다음을 바꿉니다.

   • PROJECT_ID: Google Cloud 프로젝트 ID
   • LOCATION: Secure Web Proxy 인스턴스의 리전

2. gcloud network-security authz-policies import 명령어를 사용하여 승인 정책을 만들고 YAML 파일을 가져옵니다.

   gcloud beta network-security authz-policies import my-authz-policy-allow
       --source=authz-policy.yaml
       --location= LOCATION 
   

   LOCATION을 Secure Web Proxy 인스턴스의 리전으로 바꿉니다.

서비스 계정 또는 태그 기반의 승인 정책

다양한 Google Cloud 리소스에 연결된 서비스 계정 또는 태그 기반의 승인 정책을 적용할 수 있습니다.

이 예에서는 다음을 완료했다고 가정합니다.

• 서비스 계정을 만들고 Google Cloud리소스에 연결했습니다.

• 태그를 만들고 키-값 쌍으로 Google Cloud 리소스에 연결했습니다. 태그를 만들 때 --purpose 플래그를 GCE_FIREWALL로 설정합니다. 승인 정책은 태그를 적용하기 위해 GCE_FIREWALL 용도가 필요합니다.

승인 결정을 위임하는 승인 정책

표준 ALLOW 또는 DENY 규칙을 사용하여 표현할 수 없는 복잡한 승인 결정의 경우 CUSTOM 작업이 포함된 승인 정책을 만들 수 있습니다. 그런 다음 승인 결정을 승인 확장 프로그램(Service Extensions)에 위임할 수 있습니다.

CUSTOM 작업으로 정책을 구성하면 Secure Web Proxy가 요청 메타데이터 또는 페이로드를 Service Extensions로 오프로드합니다. Service Extensions의 응답에 따라 프록시는 트래픽을 허용하거나 거부합니다.

Secure Web Proxy는 다음과 같은 유형의 위임을 지원합니다.

• 요청 승인 결정을 Service Extensions에 위임: CUSTOM 작업 및 REQUEST_AUTHZ 프로필로 구성된 승인 정책을 사용하여 요청 메타데이터 및 헤더를 기반으로 결정을 위임할 수 있습니다. 이 모드에서는 액세스 결정이 승인 확장 프로그램에 위임됩니다. 이 모드를 사용하여 ID와 권한을 확인할 수 있습니다.

• 콘텐츠 승인 결정을 Service Extensions에 위임: CUSTOM 작업 및 CONTENT_AUTHZ 프로필이 있는 승인 정책을 사용하여 요청의 실제 데이터 페이로드를 기반으로 결정을 승인 확장 프로그램에 위임할 수 있습니다. 이 모드를 사용하면 심층 콘텐츠 검사 및 보안 시행을 사용 설정하여 Model Armor와 같은 서비스와 통합하여 민감한 정보 또는 악성 패턴을 검색할 수 있습니다.

제한사항

Secure Web Proxy에 승인 정책을 구현할 때는 다음 제한사항이 적용됩니다.

• 타겟 및 연결 제약 조건: Secure Web Proxy의 승인 확장 프로그램은 IAP (Identity-Aware Proxy)를 직접 타겟으로 지원하지 않습니다.

• 정책 충돌 및 호환성: 기존 보안 규칙이 있는 게이트웨이 보안 정책이 있는 경우 이를 삭제할 필요가 없습니다. 인스턴스에 승인 정책을 적용하면 Secure Web Proxy가 이러한 규칙을 무시합니다.

• 프로토콜 및 검사 요구사항: Secure Web Proxy 승인 정책을 구성하려면 TLS 검사를 사용 설정해야 합니다.

다음 단계

• Secure Web Proxy와 함께 프런트엔드 mTLS 사용