Übersicht: Secure Web Proxy

Secure Web Proxy ist ein Cloud-First-Dienst, mit dem Sie ausgehenden Webtraffic (HTTP/S) sichern können. Sie konfigurieren Ihre Clients so, dass Secure Web Proxy explizit als Gateway verwendet wird. Die Webanfragen können aus den folgenden Quellen stammen:

  • VM-Instanzen
  • Container
  • Serverlose Umgebung, die einen serverlosen Connector verwendet
  • Arbeitslasten außerhalb von Google Cloud, die über Cloud VPN oder Cloud Interconnect verbunden sind

Secure Web Proxy ermöglicht flexible und detaillierte Richtlinien basierend auf Cloud-First-Identitäten und Webanwendungen.

Bereitstellungsmodi

Sie können Secure Web Proxy auf folgende Arten bereitstellen:

Modus für expliziten Proxy-Routing

Sie können Ihre Arbeitslastumgebungen und Clients so konfigurieren, dass sie den Proxyserver explizit verwenden. Secure Web Proxy isoliert Clients vom Internet, indem neue TCP-Verbindungen im Namen des Clients hergestellt werden und dabei die verwaltete Sicherheitsrichtlinie eingehalten wird.

Eine ausführliche Anleitung finden Sie unter Secure Web Proxy-Instanz bereitstellen.

Anhangsmodus des Private Service Connect-Dienstes

Mit Network Connectivity Center können Sie Ihre Secure Web Proxy-Bereitstellung zentralisieren, wenn mehrere Netzwerke vorhanden sind. Es gibt jedoch einige Einschränkungen, wenn Sie versuchen, mit Network Connectivity Center hochzuskalieren. Durch das Hinzufügen von Secure Web Proxy als Private Service Connect-Dienstanhang können solche Einschränkungen umgangen werden. Sie können Secure Web Proxy so bereitstellen:

  1. Fügen Sie Secure Web Proxy auf der Producer-Seite einer Private Service Connect-Verbindung als Private Service Connect-Dienstanhang hinzu.
  2. Erstellen Sie in jedem VPC-Netzwerk, das mit dem Anhang des Private Service Connect-Dienstes verbunden werden muss, einen Private Service Connect-Nutzerendpunkt.
  3. Leiten Sie den ausgehenden Arbeitslasttraffic auf den zentralen Secure Web Proxy in der Region weiter und wenden Sie Richtlinien auf diesen Traffic an.

Die Bereitstellung erfolgt im Hub-and-Spoke-Stil, wobei sich Secure Web Proxy im Pfad für ausgehenden Traffic für Arbeitslasten in den verschiedenen verbundenen VPC-Netzwerken befindet.

Eine ausführliche Anleitung finden Sie unter Secure Web Proxy als Dienstanhang bereitstellen.

Von Secure Web Proxy unterstützte Lösungen

Secure Web Proxy unterstützt die folgenden Lösungen.

Migration zu Google Cloud

Secure Web Proxy unterstützt Sie bei der Migration zu Google Cloud, während gleichzeitig Ihre vorhandenen Sicherheitsrichtlinien und Anforderungen für ausgehenden Web-Traffic aufrechterhalten werden. So vermeiden Sie die Verwendung von Drittanbieterlösungen, die die Verwendung einer anderen Verwaltungskonsole oder die manuelle Bearbeitung von Konfigurationsdateien erfordern.

Zugriff auf vertrauenswürdige externe Webdienste

Mit Secure Web Proxy können Sie detaillierte Zugriffsrichtlinien auf Ihren ausgehenden Web-Traffic anwenden, um Ihr Netzwerk zu schützen. Sie erstellen und identifizieren Arbeitslast- oder Anwendungsidentitäten und wenden dann Richtlinien auf Webadressen an.

Überwachter Zugriff auf nicht vertrauenswürdige Webdienste

Sie können Secure Web Proxy verwenden, um überwachten Zugriff auf nicht vertrauenswürdige Webdienste bereitzustellen. Secure Web Proxy erkennt richtlinienwidrigen Traffic und protokolliert ihn in Cloud Logging (Logging). So können Sie die Internetnutzung überwachen, Bedrohungen für Ihr Netzwerk erkennen und auf Bedrohungen reagieren.

Vorteile von Secure Web Proxy

Secure Web Proxy bietet die folgenden Vorteile.

Zeitersparnis bei Betriebsabläufen

Secure Web Proxy hat keine VMs zum Einrichten und Konfigurieren, erfordert zur Aufrechterhaltung der Sicherheit keine Softwareupdates und bietet eine flexible Skalierung. Nach der anfänglichen Richtlinienkonfiguration ist eine regionale Secure Web Proxy-Instanz einsatzbereit. Secure Web Proxy bietet Tools, die Einrichtung, Tests und Bereitstellung vereinfachen, damit Sie sich auf andere Aufgaben konzentrieren können.

Flexible Bereitstellung

Secure Web Proxy unterstützt einfache und flexible Bereitstellungen. Secure Web Proxy-Instanzen, Secure Web Proxy-Richtlinien und URL-Listen sind modulare Objekte, die von verschiedenen Administratoren erstellt oder wiederverwendet werden können. Sie können beispielsweise mehrere Secure Web Proxy-Instanzen bereitstellen, die alle dieselbe Secure Web Proxy-Richtlinie verwenden.

Verbesserte Sicherheit

Sichere Web-Proxy-Standardkonfigurationen und -richtlinien sind standardmäßig auf „Alle ablehnen“ gesetzt. Darüber hinaus aktualisiert Google Cloud automatisch die Software und Infrastruktur von Secure Web Proxy, um das Risiko von Sicherheitslücken zu verringern.

Unterstützte Features

Secure Web Proxy unterstützt die folgenden Funktionen:

  • Expliziter Proxydienst: Clients sind explizit für die Verwendung des Proxyservers konfiguriert. Der Secure Web Proxy-Proxy isoliert Clients vom Internet, indem er neue TCP-Verbindungen für den Client erstellt.

  • Autoscaling sicherer Web-Proxy-Envoy-Proxys:Unterstützt die automatische Anpassung der Envoy-Proxy-Poolgröße und der Poolkapazität in einer Region. Dadurch wird in Zeiten hoher Nachfrage eine konstante Leistung zu möglichst geringen Kosten ermöglicht.

  • Modulare Richtlinien für ausgehenden Zugriff:Secure Web Proxy unterstützt speziell die folgenden Richtlinien für ausgehenden Traffic:

    • Quellidentität, basierend auf sicheren Tags, Dienstkonten oder IP-Adressen.
    • Ziele basierend auf URLs und Hostnamen.
    • Anfragen, die auf Methoden, Headern oder URLs basieren. URLs können mithilfe von Listen, Platzhaltern oder Mustern angegeben werden.

  • Ende-zu-Ende-Verschlüsselung:Client-Proxy-Tunnel können über TLS übertragen werden. Secure Web Proxy unterstützt auch HTTP/S CONNECT für vom Client initiierte End-to-End-TLS-Verbindungen zum Zielserver.

  • Einbindung von Cloud-Audit-Logs und Google Cloud-Beobachtbarkeit:Cloud-Audit-Logs und Google Cloud Observability zeichnen Verwaltungsaktivitäten und Zugriffsanfragen für Ressourcen im Zusammenhang mit Secure Web Proxy auf. Sie zeichnen auch Messwerte und Transaktionslogs für Anfragen auf, die vom Proxy verarbeitet werden.

Weitere mögliche Google Cloud-Tools

Google Cloud bietet die folgenden Tools für Ihre Google Cloud-Bereitstellungen:

  • Mit Google Cloud Armor schützen Sie Google Cloud-Bereitstellungen vor mehreren Bedrohungen, einschließlich DDoS-Angriffen (Distributed Denial of Service) und Anwendungsangriffen wie Cross-Site-Scripting (XSS) und SQL-Injection (SQLi).

  • Geben Sie VPC-Firewallregeln an, um Verbindungen zu oder von Ihren VM-Instanzen zu sichern.

  • Implementieren Sie VPC Service Controls, um die Daten-Exfiltration durch Google Cloud-Dienste wie Cloud Storage und BigQuery zu verhindern.

  • Verwenden Sie Cloud NAT, um ungesicherte ausgehende Internetverbindungen für bestimmte Google Cloud-Ressourcen ohne externe IP-Adresse zu aktivieren.