安全 Web 代理概览

安全 Web 代理是一项云优先服务,可帮助您保护出站 Web 流量 (HTTP/S)。您可以将客户端配置为明确使用安全 Web 代理作为网关。Web 请求可以来自以下来源:

  • 虚拟机 (VM) 实例
  • 容器
  • 使用无服务器连接器的无服务器环境
  • 通过 Cloud VPN 或 Cloud Interconnect 连接 Google Cloud 之外的工作负载

安全 Web 代理可以基于云优先身份和 Web 应用实现灵活、精细的政策。

部署模式

您可以通过以下方式部署安全 Web 代理:

显式代理路由模式

您可以将工作负载环境和客户端配置为明确使用代理服务器。安全 Web 代理会代表客户端创建新的 TCP 连接,同时遵守所管理的安全政策,从而将客户端与互联网隔离。

如需了解详细说明,请参阅部署安全 Web 代理实例

Private Service Connect 服务连接模式

如需在存在多个网络的情况下集中部署安全 Web 代理,您可以使用 Network Connectivity Center。不过,在尝试使用 Network Connectivity Center 扩容时,会遇到一些限制。将安全 Web 代理添加为 Private Service Connect 服务连接可以克服此类限制。您可以按如下方式部署安全 Web 代理:

  1. 创建安全 Web 代理政策和规则。
  2. 创建使用您的政策的安全 Web 代理实例。
  3. 创建服务连接,以便将安全 Web 代理实例发布为 Private Service Connect 服务。
  4. 在需要连接到安全 Web 代理的每个 VPC 网络中创建一个 Private Service Connect 使用方端点。
  5. 将工作负载出站流量指向该区域内的集中式安全 Web 代理实例。

此部署采用轮辐式结构,其中安全 Web 代理位于各种已连接 VPC 网络中工作负载的出站路径上。

如需了解详细说明,请参阅将安全 Web 代理部署为服务附件

安全 Web 代理作为下一个跃点

您可以将安全 Web 代理部署配置为网络中路由的下一个跃点。配置下一个跃点路由以将流量来源指向您的安全 Web 代理实例,可减少为每个来源工作负载配置显式代理变量的管理开销。如需详细了解如何配置下一个跃点路由,请参阅将安全 Web 代理部署为下一个跃点

安全 Web 代理支持的解决方案

安全 Web 代理支持以下解决方案。

迁移到 Google Cloud

安全 Web 代理可帮助您迁移到 Google Cloud ,同时保留针对出站 Web 流量的现有安全政策和要求。您可以避免使用需要使用其他管理控制台或手动修改配置文件的第三方解决方案。

访问受信任的外部 Web 服务

借助安全 Web 代理,您可以对 Web 出站流量应用精细的访问权限政策,从而保护您的网络。您可以创建和识别工作负载或应用身份,然后将政策应用于网站位置。

对不可信 Web 服务的访问受到监控

您可以使用安全 Web 代理来提供对不受信任的 Web 服务的受监控访问。安全 Web 代理会识别不符合政策的流量,并将其记录到 Cloud Logging(日志记录)中。然后,您可以监控互联网使用情况、发现网络威胁并对其做出响应。

安全 Web 代理的好处

安全 Web 代理具有以下优势。

缩短运营时间

安全 Web 代理不需要设置和配置虚拟机,也不需要进行软件更新来维护安全性,并且支持弹性伸缩。完成初始政策配置后,区域性安全 Web 代理实例即可开箱即用。安全 Web 代理提供了一些工具来简化设置、测试和部署,让您可以专注于其他任务。

灵活部署

安全 Web 代理支持基本部署和灵活部署。安全 Web 代理实例、安全 Web 代理政策和网址列表都是模块对象,可以由不同的管理员创建或重复使用。例如,您可以部署多个安全 Web 代理实例,这些实例都使用相同的安全 Web 代理政策。

安全性更高

默认的安全 Web 代理配置和政策默认处于“全部拒绝”状态。此外, Google Cloud 还会自动更新安全 Web 代理软件和基础架构,从而降低安全漏洞风险。

支持的功能

安全 Web 代理支持以下功能:

  • 可自动扩缩的安全 Web 代理 Envoy 代理:支持自动调整 Envoy 代理池的大小和池在某个区域中的容量,从而在高需求期间以最低的成本实现一致的性能。

  • 模块化出站访问权限政策:安全 Web 代理专门支持以下出站政策:

    • 基于安全标记、服务账号或 IP 地址的来源身份。
    • 基于网址、主机名的目的地。
    • 基于方法、标头或网址的请求。您可以使用列表、通配符或格式指定网址。

  • 端到端加密:客户端-代理隧道可能会通过 TLS 传输。安全网站代理还支持 HTTP/S CONNECT,以便客户端发起与目标服务器的端到端 TLS 连接。

  • Cloud Audit Logs 与 Google Cloud Observability 集成:Cloud Audit Logs 和 Google Cloud Observability 会记录与安全 Web 代理相关资源的管理活动和访问请求。它们还会记录代理处理的请求的指标和事务日志。

其他 Google Cloud 可考虑的工具

Google Cloud 为您的 Google Cloud部署提供了以下工具:

  • 使用 Google Cloud Armor 可保护Google Cloud 部署免受多种威胁,包括分布式拒绝服务 (DDoS 攻击) 攻击以及跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等应用攻击。

  • 指定 VPC 防火墙规则,以保护传入或传出虚拟机实例的连接。

  • 实现 VPC Service Controls,以防止 Cloud Storage 和 BigQuery 等 Google Cloud 服务中发生数据渗漏。

  • 使用 Cloud NAT 可为没有外部 IP 地址的特定 Google Cloud 资源启用不安全的出站互联网连接。