Übersicht: Secure Web Proxy

Secure Web Proxy ist ein Cloud-First-Dienst, können Sie den ausgehenden Webtraffic (HTTP/S) sichern. Sie konfigurieren Ihre Clients so, dass sie Secure Web Proxy ausdrücklich als Gateway verwenden. Die Webanfragen können aus aus folgenden Quellen:

  • VM-Instanzen
  • Container
  • Eine serverlose Umgebung, die einen serverlosen Connector verwendet
  • Arbeitslasten außerhalb von Google Cloud, die über Cloud VPN oder Cloud Interconnect

Secure Web Proxy ermöglicht flexible und detaillierte Richtlinien basierend auf Cloud-Identitäten und Webanwendungen.

Bereitstellungsmodi

Sie können Secure Web Proxy auf folgende Arten bereitstellen:

Modus für expliziten Proxy-Routing

Sie können Ihre Arbeitslastumgebungen und ‑clients so konfigurieren, dass der Proxyserver explizit verwendet wird. Secure Web Proxy isoliert Clients vom Internet, indem neue TCP-Verbindungen im Namen des Clients unter Einhaltung der Sicherheitsrichtlinie.

Eine ausführliche Anleitung finden Sie unter Eine Secure Web Proxy-Instanz bereitstellen.

Anhangsmodus des Private Service Connect-Dienstes

Wenn Sie Ihre Secure Web Proxy-Bereitstellung bei mehreren Netzwerken zentralisieren möchten, können Sie das Network Connectivity Center verwenden. Aber es gibt einige Einschränkungen beim Hochskalieren mit Network Connectivity Center. Secure Web Proxy hinzufügen da ein Private Service Connect-Dienstanhang solche Probleme Einschränkungen. Sie können Secure Web Proxy so bereitstellen:

  1. Secure Web Proxy als Private Service Connect-Dienst hinzufügen Anhang auf der Producer-Seite von Private Service Connect
  2. Erstellen Sie in jedem VPC-Netzwerk, das mit dem Private Service Connect-Dienstanhang verbunden werden muss, einen Private Service Connect-Nutzerendpunkt.
  3. Leiten Sie den ausgehenden Traffic Ihrer Arbeitslast an den zentralen Secure Web Proxy innerhalb der Region weiter und wenden Sie Richtlinien auf diesen Traffic an.

Die Bereitstellung funktioniert nach dem Hub-and-Spoke-Prinzip, wobei sich der Secure Web Proxy auf dem Ausgangspfad für Arbeitslasten in den verschiedenen verbundenen VPC-Netzwerken befindet.

Eine ausführliche Anleitung finden Sie unter Secure Web Proxy als Dienstanhang bereitstellen.

Sicherer Web-Proxy als nächster Hop

Sie können die Bereitstellung des Secure Web Proxy so konfigurieren, dass er als nächster Hop für das Routing in Ihrem Netzwerk dient. Routing für nächsten Hop zu Zugangspunkten konfigurieren zu Ihrer Secure Web Proxy-Instanz verringert den Verwaltungsaufwand eine explizite Proxyvariable für jede Quellarbeitslast konfigurieren. Weitere Informationen zum Konfigurieren des nächsten Hop-Routings finden Sie unter Sicheren Webproxy als nächsten Hop bereitstellen.

Von Secure Web Proxy unterstützte Lösungen

Secure Web Proxy unterstützt die folgenden Lösungen.

Migration zu Google Cloud

Mit Secure Web Proxy können Sie zu Google Cloud migrieren, vorhandene Sicherheitsrichtlinien und Anforderungen für ausgehenden Web-Traffic. Sie können Sie vermeiden den Einsatz von Drittanbieterlösungen, für die eine andere Verwaltungskonsole erforderlich ist. oder Konfigurationsdateien manuell bearbeiten.

Zugriff auf vertrauenswürdige externe Webdienste

Mit Secure Web Proxy können Sie detaillierte Zugriffsrichtlinien auf Ihren ausgehenden Webtraffic anwenden, um Ihr Netzwerk zu schützen. Sie erstellen und identifizieren Workload- oder Anwendungsidentitäten und wenden dann Richtlinien auf Webstandorte an.

Überwachter Zugriff auf nicht vertrauenswürdige Webdienste

Mit Secure Web Proxy können Sie überwachten Zugriff auf nicht vertrauenswürdige Webinhalte gewähren Dienstleistungen. Secure Web Proxy identifiziert Traffic, der nicht der Richtlinie entspricht, und protokolliert ihn in Cloud Logging. Anschließend können Sie Internetnutzung nutzen, Bedrohungen für Ihr Netzwerk erkennen und auf Bedrohungen reagieren.

Vorteile von Secure Web Proxy

Secure Web Proxy bietet die folgenden Vorteile.

Zeitersparnis bei der Betriebsabwicklung

Secure Web Proxy hat keine VMs zum Einrichten und Konfigurieren und erfordert keine Software-Updates zur Aufrechterhaltung der Sicherheit und eine flexible Skalierung. Nach der Erstkonfiguration der Richtlinie funktioniert eine regionale Secure Web Proxy-Instanz sofort. Secure Web Proxy bietet Tools, die Einrichtung, Tests und damit Sie sich auf andere Aufgaben konzentrieren können.

Flexible Bereitstellung

Secure Web Proxy unterstützt einfache und flexible Bereitstellungen. Sicherer Web-Proxy Instanzen, Secure Web Proxy-Richtlinien und URL-Listen sind modulare Objekte, die von verschiedenen Administratoren erstellt oder wiederverwendet werden können. So können Sie zum Beispiel mehrere Secure Web Proxy-Instanzen bereitstellen, die alle dieselben Secure Web Proxy-Richtlinie.

Verbesserte Sicherheit

Sichere Web-Proxy-Standardkonfigurationen und -richtlinien sind standardmäßig auf „Alle ablehnen“ gesetzt. Außerdem werden in Google Cloud die Software und die Infrastruktur des Secure Web Proxy automatisch aktualisiert, um das Risiko von Sicherheitslücken zu verringern.

Unterstützte Features

Secure Web Proxy unterstützt die folgenden Funktionen:

  • Autoscaling sicherer Web-Proxy-Envoy-Proxys:wird automatisch unterstützt die Größe des Envoy-Proxy-Pools und die Poolkapazität in einer Region anpassen, Dies ermöglicht eine konsistente Leistung in Zeiten hoher Nachfrage zu und die niedrigsten Kosten.

  • Modulare Richtlinien für den ausgehenden Zugriff: Secure Web Proxy unterstützt speziell die folgenden Richtlinien für den ausgehenden Traffic:

    • Quellidentität basierend auf sicheren Tags, Dienstkonten oder IP-Adressen.
    • Ziele basierend auf URLs und Hostnamen.
    • Anfragen, die auf Methoden, Headern oder URLs basieren. URLs können angegeben werden mit Listen, Platzhaltern oder Mustern.
  • Ende-zu-Ende-Verschlüsselung:Client-Proxy-Tunnel können über TLS übertragen werden. Der sichere Webproxy unterstützt auch HTTP/S CONNECT für clientinitiierte, Ende-zu-Ende-TLS-Verbindungen zum Zielserver.

  • Cloud Audit Logs und Google Cloud Observability-Integration: In Cloud Audit Logs und Google Cloud Observability werden administrative Aktivitäten und Zugriffsanfragen für Secure Web Proxy-bezogene Ressourcen aufgezeichnet. Sie zeichnen auch Metriken und Transaktionslogs für Anfragen, die vom Proxy verarbeitet werden.

Weitere mögliche Google Cloud-Tools

Google Cloud bietet die folgenden Tools für Ihre Google Cloud-Bereitstellungen:

  • Mit Google Cloud Armor können Sie Ihre Google Cloud-Bereitstellungen vor mehreren Arten von Bedrohungen schützen. Dazu gehören DDoS-Angriffe (Denial of Service) und Anwendungsangriffe wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi).

  • Geben Sie VPC-Firewallregeln an, um Verbindungen zu oder von Ihren VM-Instanzen zu schützen.

  • Implementieren Sie VPC Service Controls, um die Daten-Exfiltration aus Google Cloud-Diensten wie Cloud Storage und BigQuery zu verhindern.

  • Mit Cloud NAT können Sie eine ungesicherte ausgehende Internetverbindung für bestimmte Google Cloud-Ressourcen ohne externe IP-Adresse aktivieren.