Übersicht: Secure Web Proxy

Der Secure Web Proxy ist ein Cloud-first-Dienst, mit dem Sie ausgehenden Webtraffic (HTTP/S) sichern können. Sie konfigurieren Ihre Clients so, dass sie Secure Web Proxy ausdrücklich als Gateway verwenden. Die Webanfragen können aus den folgenden Quellen stammen:

  • VM-Instanzen
  • Container
  • Eine serverlose Umgebung, die einen serverlosen Connector verwendet
  • Arbeitslasten außerhalb von Google Cloud, die über Cloud VPN oder Cloud Interconnect verbunden sind

Secure Web Proxy ermöglicht flexible und detaillierte Richtlinien basierend auf Cloud Identity und Webanwendungen.

Bereitstellungsmodi

Sie haben folgende Möglichkeiten, Secure Web Proxy bereitzustellen:

Modus für explizites Proxy-Routing

Sie können Ihre Arbeitslastumgebungen und ‑clients so konfigurieren, dass der Proxyserver explizit verwendet wird. Secure Web Proxy isoliert Clients vom Internet, indem neue TCP-Verbindungen im Namen des Clients erstellt werden, wobei die verwaltete Sicherheitsrichtlinie eingehalten wird.

Eine ausführliche Anleitung finden Sie unter Secure Web Proxy-Instanz bereitstellen.

Modus für Private Service Connect-Dienstanhänge

Wenn Sie Ihre Secure Web Proxy-Bereitstellung bei mehreren Netzwerken zentralisieren möchten, können Sie das Network Connectivity Center verwenden. Es gibt jedoch einige Einschränkungen, wenn Sie mit Network Connectivity Center skalieren möchten. Wenn Sie einen sicheren Webproxy als Private Service Connect-Dienstanhang hinzufügen, können Sie diese Einschränkungen überwinden. So können Sie Secure Web Proxy bereitstellen:

  1. Fügen Sie den sicheren Webproxy als Private Service Connect-Dienstanhang auf der Erstellerseite einer Private Service Connect-Verbindung hinzu.
  2. Erstellen Sie in jedem VPC-Netzwerk, das mit dem Private Service Connect-Dienstanhang verbunden werden muss, einen Private Service Connect-Nutzerendpunkt.
  3. Leiten Sie den ausgehenden Traffic Ihrer Arbeitslast an den zentralen Secure Web Proxy innerhalb der Region weiter und wenden Sie Richtlinien auf diesen Traffic an.

Die Bereitstellung funktioniert nach dem Hub-and-Spoke-Prinzip, wobei sich der Secure Web Proxy auf dem Ausgangspfad für Arbeitslasten in den verschiedenen verbundenen VPC-Netzwerken befindet.

Eine ausführliche Anleitung finden Sie unter Secure Web Proxy als Dienstanhang bereitstellen.

Secure Web Proxy als nächster Hop

Sie können die Bereitstellung des Secure Web Proxy so konfigurieren, dass er als nächster Hop für das Routing in Ihrem Netzwerk dient. Wenn Sie das Next-Hop-Routing so konfigurieren, dass Trafficquellen auf Ihre Secure Web Proxy-Instanz verweisen, verringert sich der Verwaltungsaufwand für die Konfiguration einer expliziten Proxyvariablen für jede Quellarbeitslast. Weitere Informationen zum Konfigurieren des nächsten Hop-Routings finden Sie unter Sicheren Webproxy als nächsten Hop bereitstellen.

Von Secure Web Proxy unterstützte Lösungen

Secure Web Proxy unterstützt die folgenden Lösungen.

Migration zu Google Cloud

Mit Secure Web Proxy können Sie zu Google Cloud migrieren und dabei Ihre vorhandenen Sicherheitsrichtlinien und Anforderungen für ausgehenden Web-Traffic beibehalten. Sie können die Verwendung von Drittanbieterlösungen vermeiden, für die eine andere Verwaltungskonsole oder die manuelle Bearbeitung von Konfigurationsdateien erforderlich ist.

Zugriff auf vertrauenswürdige externe Webdienste

Mit Secure Web Proxy können Sie detaillierte Zugriffsrichtlinien auf Ihren ausgehenden Webtraffic anwenden, um Ihr Netzwerk zu schützen. Sie erstellen und identifizieren Workload- oder Anwendungsidentitäten und wenden dann Richtlinien auf Webstandorte an.

Überwachter Zugriff auf nicht vertrauenswürdige Webdienste

Mit dem sicheren Web-Proxy können Sie überwachten Zugriff auf nicht vertrauenswürdige Webdienste gewähren. Secure Web Proxy identifiziert Traffic, der nicht der Richtlinie entspricht, und protokolliert ihn in Cloud Logging. Sie können dann die Internetnutzung überwachen, Bedrohungen für Ihr Netzwerk erkennen und darauf reagieren.

Vorteile von Secure Web Proxy

Secure Web Proxy bietet folgende Vorteile:

Zeitersparnis bei der Betriebsabwicklung

Für den Secure Web Proxy müssen keine VMs eingerichtet und konfiguriert werden. Außerdem sind keine Softwareupdates zur Aufrechterhaltung der Sicherheit erforderlich und er bietet eine elastische Skalierung. Nach der Erstkonfiguration der Richtlinie funktioniert eine regionale Secure Web Proxy-Instanz sofort. Secure Web Proxy bietet Tools, mit denen sich die Einrichtung, Tests und die Bereitstellung vereinfachen lassen, damit Sie sich auf andere Aufgaben konzentrieren können.

Flexible Bereitstellung

Secure Web Proxy unterstützt einfache und flexible Bereitstellungen. Secure Web Proxy-Instanzen, Secure Web Proxy-Richtlinien und URL-Listen sind modulare Objekte, die von verschiedenen Administratoren erstellt oder wiederverwendet werden können. Beispiel: Sie können mehrere Secure Web Proxy-Instanzen bereitstellen, die alle dieselbe Secure Web Proxy-Richtlinie nutzen.

Verbesserte Sicherheit

Die Standardkonfigurationen und ‑richtlinien für Secure Web Proxy sind standardmäßig so festgelegt, dass alle Zugriffe abgelehnt werden. Außerdem werden die Software und die Infrastruktur des Secure Web Proxy in Google Cloud automatisch aktualisiert, um das Risiko von Sicherheitslücken zu verringern.

Unterstützte Features

Secure Web Proxy unterstützt die folgenden Funktionen:

  • Autoscaling Secure Web Proxy Envoy-Proxys: Unterstützt die automatische Anpassung der Größe des Envoy-Proxy-Pools und der Kapazität des Pools in einer Region. So wird eine gleichbleibende Leistung bei hoher Nachfrage zu den niedrigsten Kosten ermöglicht.

  • Modulare Richtlinien für den ausgehenden Zugriff:Secure Web Proxy unterstützt speziell die folgenden Richtlinien für den ausgehenden Traffic:

    • Quellidentität basierend auf sicheren Tags, Dienstkonten oder IP-Adressen.
    • Ziele basierend auf URLs und Hostnamen
    • Anfragen basierend auf Methoden, Headern oder URLs. URLs können über Listen, Platzhalter oder Muster angegeben werden.

  • End-to-End-Verschlüsselung:Client-Proxy-Tunnel können über TLS übertragen werden. Der sichere Webproxy unterstützt auch HTTP/S CONNECT für clientinitiierte, Ende-zu-Ende-TLS-Verbindungen zum Zielserver.

  • Cloud Audit Logs und Google Cloud Observability-Integration:In Cloud-Audit-Logs und Google Cloud Observability werden administrative Aktivitäten und Zugriffsanfragen für Secure Web Proxy-bezogene Ressourcen protokolliert. Außerdem werden Messwerte und Transaktionsprotokolle für Anfragen erfasst, die vom Proxy verarbeitet werden.

Weitere Google Cloud-Tools

Google Cloud bietet die folgenden Tools für Ihre Google Cloud-Bereitstellungen:

  • Mit Google Cloud Armor können Sie Ihre Google Cloud-Bereitstellungen vor mehreren Arten von Bedrohungen schützen. Dazu gehören DDoS-Angriffe (Denial of Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi).

  • Geben Sie VPC-Firewallregeln an, um Verbindungen zu oder von Ihren VM-Instanzen zu schützen.

  • Implementieren Sie VPC Service Controls, um die Daten-Exfiltration aus Google Cloud-Diensten wie Cloud Storage und BigQuery zu verhindern.

  • Mit Cloud NAT können Sie eine ungesicherte ausgehende Internetverbindung für bestimmte Google Cloud-Ressourcen ohne externe IP-Adresse aktivieren.