Ringkasan Secure Web Proxy

Secure Web Proxy adalah layanan cloud-first yang membantu Anda mengamankan traffic web keluar (HTTP/S). Anda mengonfigurasi klien untuk menggunakan Secure Web Proxy secara eksplisit sebagai gateway. Permintaan web dapat berasal dari sumber berikut:

  • Instance virtual machine (VM)
  • Container
  • Lingkungan serverless yang menggunakan konektor serverless
  • Workload di luar Google Cloud yang terhubung oleh Cloud VPN atau Cloud Interconnect

Secure Web Proxy memungkinkan kebijakan yang fleksibel dan terperinci berdasarkan identitas cloud-first dan aplikasi web.

Mode deployment

Anda dapat men-deploy Secure Web Proxy dengan cara berikut:

Mode pemilihan rute proxy eksplisit

Anda dapat mengonfigurasi lingkungan dan klien beban kerja untuk menggunakan server proxy secara eksplisit. Secure Web Proxy mengisolasi klien dari Internet dengan membuat koneksi TCP baru atas nama klien, sekaligus mematuhi kebijakan keamanan yang dikelola.

Untuk petunjuk mendetail, lihat Men-deploy instance Secure Web Proxy.

Mode lampiran layanan Private Service Connect

Untuk memusatkan deployment Secure Web Proxy saat ada beberapa jaringan, Anda dapat menggunakan Network Connectivity Center. Namun, ada beberapa batasan saat Anda mencoba menskalakan dengan Network Connectivity Center. Menambahkan Secure Web Proxy sebagai lampiran layanan Private Service Connect akan mengatasi batasan tersebut. Anda dapat men-deploy Secure Web Proxy sebagai berikut:

  1. Tambahkan Secure Web Proxy sebagai lampiran layanan Private Service Connect di sisi produsen koneksi Private Service Connect.
  2. Buat endpoint konsumen Private Service Connect di setiap jaringan VPC yang perlu dihubungkan ke lampiran layanan Private Service Connect.
  3. Arahkan traffic keluar beban kerja Anda ke Secure Web Proxy terpusat dalam region dan terapkan kebijakan ke traffic ini.

Deployment ini berfungsi dengan cara hub dan spoke, dengan Secure Web Proxy berada di jalur keluar untuk workload di berbagai jaringan VPC yang terhubung.

Untuk mengetahui petunjuk mendetail, lihat Men-deploy Secure Web Proxy sebagai lampiran layanan.

Secure Web Proxy sebagai next hop

Anda dapat mengonfigurasi deployment Secure Web Proxy untuk bertindak sebagai next hop untuk rute di jaringan Anda. Mengonfigurasi pemilihan rute next hop untuk mengarahkan sumber traffic ke instance Secure Web Proxy Anda akan mengurangi overhead administratif dalam mengonfigurasi variabel proxy eksplisit untuk setiap beban kerja sumber. Untuk informasi selengkapnya tentang cara mengonfigurasi perutean next hop, lihat Men-deploy Secure Web Proxy sebagai next hop.

Solusi yang didukung Secure Web Proxy

Secure Web Proxy mendukung solusi berikut.

Migrasi ke Google Cloud

Secure Web Proxy membantu Anda bermigrasi ke Google Cloud sambil mempertahankan kebijakan dan persyaratan keamanan yang ada untuk traffic web keluar. Anda dapat menghindari penggunaan solusi pihak ketiga yang memerlukan penggunaan konsol pengelolaan lain atau mengedit file konfigurasi secara manual.

Akses ke layanan web eksternal tepercaya

Secure Web Proxy memungkinkan Anda menerapkan kebijakan akses terperinci ke traffic web keluar sehingga Anda dapat mengamankan jaringan. Anda membuat dan mengidentifikasi identitas beban kerja atau aplikasi, lalu menerapkan kebijakan ke lokasi web.

Akses yang dipantau ke layanan web yang tidak tepercaya

Anda dapat menggunakan Secure Web Proxy untuk memberikan akses yang dipantau ke layanan web yang tidak tepercaya. Secure Web Proxy mengidentifikasi traffic yang tidak sesuai dengan kebijakan dan mencatatnya ke dalam Cloud Logging (Logging). Kemudian, Anda dapat memantau penggunaan internet, menemukan ancaman terhadap jaringan, dan merespons ancaman.

Manfaat Secure Web Proxy

Secure Web Proxy memberikan manfaat berikut.

Penghematan waktu operasional

Secure Web Proxy tidak memiliki VM untuk disiapkan dan dikonfigurasi, tidak memerlukan update software untuk menjaga keamanan, dan menawarkan penskalaan elastis. Setelah konfigurasi kebijakan awal, instance Secure Web Proxy regional akan berfungsi secara otomatis. Secure Web Proxy menyediakan alat untuk menyederhanakan penyiapan, pengujian, dan deployment sehingga Anda dapat berfokus pada tugas lain.

Deployment fleksibel

Secure Web Proxy mendukung deployment dasar dan fleksibel. Instance, kebijakan, dan daftar URL Secure Web Proxy adalah objek modular yang dapat dibuat atau digunakan kembali oleh administrator yang berbeda. Misalnya, Anda dapat men-deploy beberapa instance Secure Web Proxy yang semuanya menggunakan kebijakan Secure Web Proxy yang sama.

Keamanan meningkat

Konfigurasi dan kebijakan Secure Web Proxy default adalah tolak semua secara default. Selain itu, Google Cloud otomatis mengupdate software dan infrastruktur Proxy Web Aman, sehingga mengurangi risiko kerentanan keamanan.

Fitur yang didukung

Secure Web Proxy mendukung fitur berikut:

  • Penskalaan otomatis proxy Envoy Secure Web Proxy: Mendukung penyesuaian ukuran kumpulan proxy Envoy dan kapasitas kumpulan secara otomatis di region, yang memungkinkan performa yang konsisten selama periode permintaan tinggi dengan biaya terendah.

  • Kebijakan akses keluar modular: Secure Web Proxy secara khusus mendukung kebijakan keluar berikut:

    • Identitas sumber berdasarkan tag aman, akun layanan, atau alamat IP.
    • Tujuan berdasarkan URL, nama host.
    • Permintaan berdasarkan metode, header, atau URL. URL dapat ditentukan menggunakan daftar, karakter pengganti, atau pola.

  • Enkripsi end-to-end: Tunnel proxy klien dapat ditransmisikan melalui TLS. Secure Web Proxy juga mendukung HTTP/S CONNECT untuk koneksi TLS menyeluruh yang dimulai klien ke server tujuan.

  • Integrasi Cloud Audit Logs dan Google Cloud Observability: Cloud Audit Logs dan Google Cloud Observability mencatat aktivitas administratif dan permintaan akses untuk resource terkait Secure Web Proxy. Log ini juga mencatat metrik dan log transaksi untuk permintaan yang ditangani oleh proxy.

Alat Google Cloud tambahan yang perlu dipertimbangkan

Google Cloud menyediakan alat berikut untuk deployment Google CloudAnda:

  • Gunakan Google Cloud Armor untuk melindungi deploymentGoogle Cloud dari berbagai ancaman, termasuk serangan distributed denial of service (DDoS) dan serangan aplikasi seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL (SQLi).

  • Tentukan aturan firewall VPC untuk mengamankan koneksi ke atau dari instance VM Anda.

  • Terapkan Kontrol Layanan VPC untuk mencegah pemindahan data yang tidak sah dari layanan Google Cloud , seperti Cloud Storage dan BigQuery.

  • Gunakan Cloud NAT untuk mengaktifkan konektivitas internet keluar yang tidak aman untuk resource Google Cloud tertentu tanpa alamat IP eksternal.