Secure Web Proxy は、下り(外向き)ウェブ トラフィック(HTTP/S)を保護するクラウド ファーストのサービスです。ゲートウェイとしてSecure Web Proxy を明示的に使用するようにクライアントを構成します。ウェブ リクエストは次のソースから送信できます。
- 仮想マシン(VM)インスタンス
- コンテナ
- サーバーレス コネクタを使用するサーバーレス環境
- Cloud VPN または Cloud Interconnect によって接続された Google Cloud の外部にあるワークロード
Secure Web Proxy を使用すると、クラウド ファースト ID とウェブ アプリケーションに基づいた、柔軟かつ詳細なポリシーを実現できます。
Secure Web Proxy がサポートするソリューション
Secure Web Proxy は、次のソリューションをサポートしています。
Google Cloud への移行
Secure Web Proxy は、下り(外向き)ウェブ トラフィックの既存のセキュリティ ポリシーと要件を維持しながら、Google Cloud への移行を支援します。別の管理コンソールの使用や構成ファイルの手動編集を必要とするサードパーティのソリューションの使用を回避できます。
信頼できる外部ウェブサービスへのアクセス
Secure Web Proxy では、下り(外向き)ウェブ トラフィックに詳細なアクセス ポリシーを適用して、ネットワークを保護できます。ワークロード ID またはアプリケーション ID を作成して識別し、ウェブ上の場所に適用します。
信頼されていないウェブサービスへのアクセスのモニタリング
Secure Web Proxy を使用して、信頼できないウェブサービスへのモニタリング対象アクセスを提供できます。Secure Web Proxy は、ポリシーを遵守していないトラフィックを識別して Cloud Logging(Logging)に記録します。インターネットの使用状況のモニタリング、ネットワークへの脅威の検出、脅威への対応を行うことができます。
Secure Web Proxy のメリット
Secure Web Proxy には、次のような利点があります。
運用時間の節約
Secure Web Proxy には、設定と構成を行う VM がありません。セキュリティを維持するためにソフトウェアを更新する必要はありません。また、柔軟にスケールできます。最初のポリシー構成後、リージョン Secure Web Proxy のインスタンスがすぐに使用できます。Secure Web Proxy には、設定、テスト、デプロイを簡素化するツールが用意されているため、他のタスクに集中できます。
柔軟なデプロイ
Secure Web Proxy は、シンプルかつ柔軟なデプロイをサポートします。Secure Web Proxy インスタンス、安全なウェブプロキシ ポリシー、URL リストはすべて、個別の管理者で作成または再利用できるモジュール式オブジェクトです。たとえば、同じ Secure Web Proxy ポリシーを使用する複数の Secure Web Proxy インスタンスをデプロイできます。
セキュリティの向上
デフォルトでは、Secure Web Proxy の構成とポリシーはすべて拒否です。さらに、Google Cloud は Secure Web Proxy のソフトウェアとインフラストラクチャを自動的に更新し、セキュリティの脆弱性のリスクを軽減します。
サポートされている機能
Secure Web Proxy は、次の機能をサポートしています。
明示的なプロキシ サービス: クライアントは、プロキシ サーバーを使用するように明示的に構成されています。Secure Web Proxy は、クライアントに代わって新しい TCP 接続を作成することで、クライアントをインターネットから分離します。
Secure Web Proxy Envoy プロキシの自動スケーリング: Envoy プロキシプールのサイズとリージョン内のプールの容量を自動的に調整します。これにより、需要が高い期間に最も低コストで、一貫したパフォーマンスが可能になります。
モジュール型下り(外向き)アクセス ポリシー: Secure Web Proxy は、以下の下り(外向き)ポリシーを明示的にサポートしています。
- セキュアタグ、サービス アカウント、IP アドレスに基づくソース ID。
- URL、ホスト名に基づく宛先。
- メソッド、ヘッダー、URL に基づくリクエスト。 URL は、リスト、ワイルドカード、パターンを使用して指定できます。
エンドツーエンドの暗号化: クライアント プロキシ トンネルが TLS で転送される場合があります。Secure Web Proxy は、宛先サーバーへのクライアントが開始したエンドツーエンドの TLS 接続用に HTTP/S
CONNECTもサポートしています。Cloud Audit Logs と Google Cloud Observability の統合: Cloud Audit Logs と Google Cloud Observability は、Secure Web Proxy 関連リソースの管理アクティビティとアクセス リクエストを記録します。また、プロキシによって処理されたリクエストの指標とトランザクション ログも記録されます。
考慮すべきその他の Google Cloud ツール
Google Cloud では、Google Cloud のデプロイに次のツールを使用できます。
Google Cloud Armor を使用すると、分散型サービス拒否(DDoS)攻撃やクロスサイト スクリプティング(XSS)および SQL インジェクション(SQLi)などのアプリケーション攻撃などの複数の脅威から Google Cloud のデプロイを保護できます。
VM インスタンスとの間の接続を保護するために、VPC ファイアウォール ルールを指定します。
VPC Service Controls を実装して、Cloud Storage や BigQuery などの Google Cloud サービスからのデータ漏洩を防ぎます。
Cloud NAT を使用して、外部 IP アドレスを持たない特定の Google Cloud リソースに対して安全でない送信インターネット接続を有効にします。