Secure Web Proxy は、下り(外向き)ウェブ トラフィック(HTTP/S)を保護するクラウド ファーストのサービスです。ゲートウェイとしてSecure Web Proxy を明示的に使用するようにクライアントを構成します。ウェブ リクエストは次のソースから開始されます。
- 仮想マシン(VM)インスタンス
- コンテナ
- サーバーレス コネクタを使用するサーバーレス環境
- Cloud VPN または Cloud Interconnect によって接続された Google Cloud 外のワークロード
Secure Web Proxy を使用すると、クラウド ファースト ID とウェブ アプリケーションに基づいた、柔軟かつ詳細なポリシーを実現できます。
導入モード
Secure Web Proxy は次の方法でデプロイできます。
明示的なプロキシ ルーティング モード
プロキシ サーバーを明示的に使用するようにワークロード環境とクライアントを構成できます。Secure Web Proxy は、管理されたセキュリティ ポリシーを遵守しながら、クライアントに代わって新しい TCP 接続を作成することで、クライアントをインターネットから分離します。
詳細な手順については、Secure Web Proxy インスタンスをデプロイするをご覧ください。
Private Service Connect サービス アタッチメント モード
複数のネットワークがある場合に Secure Web Proxy のデプロイを一元管理するには、Network Connectivity Center を使用できます。ただし、Network Connectivity Center でスケールアップしようとすると、いくつかの制限があります。Private Service Connect サービス アタッチメントとして Secure Web Proxy を追加すると、このような制限を克服できます。Secure Web Proxy は次のようにデプロイできます。
- Private Service Connect 接続のプロデューサー側に Private Service Connect サービス アタッチメントとして Secure Web Proxy を追加します。
- Private Service Connect サービス アタッチメントに接続する必要がある各 VPC ネットワークに Private Service Connect コンシューマ エンドポイントを作成します。
- ワークロードの下り(外向き)トラフィックをリージョン内の一元化された Secure Web Proxy に接続し、このトラフィックにポリシーを適用します。
デプロイはハブアンドスポーク型で機能します。ここで、Secure Web Proxy は、接続されたさまざまな VPC ネットワーク内のワークロードの下り(外向き)パスにあります。
詳しい手順については、サービス アタッチメントとして Secure Web Proxy をデプロイするをご覧ください。
Secure Web Proxy がサポートするソリューション
Secure Web Proxy は、次のソリューションをサポートしています。
Google Cloud への移行
Secure Web Proxy は、下り(外向き)ウェブ トラフィックの既存のセキュリティ ポリシーと要件を維持しながら、Google Cloud への移行を支援します。別の管理コンソールの使用、または構成ファイルの手動編集を必要とするサードパーティのソリューションを回避できます。
信頼できる外部ウェブサービスにアクセスする
Secure Web Proxy では、下り(外向き)ウェブ トラフィックに詳細なアクセス ポリシーを適用して、ネットワークを保護できます。ワークロード ID またはアプリケーション ID を作成して識別し、ウェブ上の場所にポリシーを適用します。
信頼できないウェブサービスへのモニタリングされたアクセス
Secure Web Proxy を使用して、信頼できないウェブサービスへのモニタリング対象アクセスを提供できます。Secure Web Proxy は、ポリシーを遵守していないトラフィックを識別して Cloud Logging(Logging)に記録します。その後、インターネット使用状況をモニタリングして、ネットワークに対する脅威を検出し、脅威に対応できます。
Secure Web Proxy のメリット
Secure Web Proxy には、次のような利点があります。
運用時間の短縮
Secure Web Proxy には、設定と構成を行う VM がありません。セキュリティを維持するためにソフトウェアを更新する必要はありません。また、柔軟にスケールできます。最初のポリシー構成後、リージョン Secure Web Proxy のインスタンスがすぐに使用できます。Secure Web Proxy には、設定、テスト、デプロイを簡素化するツールが用意されているため、他のタスクに集中できます。
柔軟なデプロイ
Secure Web Proxy は、基本的かつ柔軟なデプロイをサポートします。Secure Web Proxy インスタンス、安全なウェブプロキシ ポリシー、URL リストはすべて、個別の管理者で作成または再利用できるモジュール式オブジェクトです。たとえば、同じ Secure Web Proxy ポリシーを使用する複数の Secure Web Proxy インスタンスをデプロイできます。
セキュリティの向上
デフォルトでは、Secure Web Proxy の構成とポリシーはすべて拒否です。さらに、Google Cloud は Secure Web Proxy のソフトウェアとインフラストラクチャを自動的に更新し、セキュリティの脆弱性のリスクを軽減します。
サポートされている機能
Secure Web Proxy は、次の機能をサポートしています。
明示的なプロキシ サービス: クライアントはプロキシ サーバーを使用するように明示的に構成されます。Secure Web Proxy は、クライアントに代わって新しい TCP 接続を作成することで、クライアントをインターネットから分離します。
Secure Web Proxy Envoy プロキシの自動スケーリング: Envoy プロキシプールのサイズとリージョン内のプールの容量を自動的に調整します。これにより、需要が高い期間に最も低コストで、一貫したパフォーマンスが可能になります。
モジュール型下り(外向き)アクセス ポリシー: Secure Web Proxy は、以下の下り(外向き)ポリシーを明示的にサポートしています。
- セキュアタグ、サービス アカウント、IP アドレスに基づくソース ID。
- URL、ホスト名に基づく宛先。
- メソッド、ヘッダー、URL に基づくリクエスト。URL は、リスト、ワイルドカード、パターンを使用して指定できます。
エンドツーエンドの暗号化: クライアント プロキシ トンネルは TLS 経由で転送される場合があります。Secure Web Proxy は、宛先サーバーへのクライアントが開始したエンドツーエンドの TLS 接続用に HTTP/S
CONNECTもサポートしています。Cloud Audit Logs と Google Cloud Observability の統合: Cloud Audit Logs と Google Cloud Observability は、Secure Web Proxy 関連リソースの管理アクティビティとアクセス リクエストを記録します。また、プロキシによって処理されたリクエストの指標とトランザクション ログも記録されます。
検討すべきその他の Google Cloud ツール
Google Cloud では、Google Cloud デプロイに次のツールが用意されています。
Google Cloud Armor を使用すると、分散型サービス拒否(DDoS)攻撃やクロスサイト スクリプティング(XSS)および SQL インジェクション(SQLi)などのアプリケーション攻撃などの複数の脅威から Google Cloud のデプロイを保護できます。
VM インスタンスとの接続を保護するには、VPC ファイアウォール ルールを指定します。
VPC Service Controls を実装して、Cloud Storage や BigQuery などの Google Cloud サービスからのデータ漏洩を防ぎます。
Cloud NAT を使用して、外部 IP アドレスを持たない特定の Google Cloud リソースに対して、セキュリティが確保されていないインターネットへの送信接続を有効にします。