安全 Web 代理概览

安全 Web 代理是一项云优先服务， 可帮助您保护出站 Web 流量 (HTTP/S)。您可以将客户端配置为 明确使用安全 Web 代理作为网关。Web 请求可以发起 以下来源：

• 虚拟机 (VM) 实例
• 容器
• 使用无服务器连接器的无服务器环境
• 通过 Cloud VPN 或 Cloud Interconnect

安全 Web 代理支持根据不同需求灵活、精细的政策， 云优先身份和 Web 应用。

部署模式

您可以通过以下方式部署安全 Web 代理：

显式代理路由模式

您可以将工作负载环境和客户端配置为明确使用 代理服务器。安全 Web 代理通过以下方式将客户端与互联网隔离开来： 代表客户端新建 TCP 连接，同时遵守 安全政策。

<ph type="x-smartling-placeholder">

</ph>

有关详细说明，请参阅 部署安全 Web 代理实例。

Private Service Connect 服务连接模式

跨多个网络环境时，集中管理安全 Web 代理部署 可以使用 Network Connectivity Center。但也有一些 。添加安全 Web 代理 Private Service Connect 服务连接可以克服 限制。您可以按如下方式部署安全 Web 代理：

1. 将安全 Web 代理添加为 Private Service Connect 服务 Private Service Connect 的生产方端的连接 连接。
2. 在每个位置创建一个 Private Service Connect 使用方端点 需要连接到该 VPC 网络 Private Service Connect 服务连接。
3. 将工作负载出站流量指向集中式安全 Web 代理 并对这些流量应用政策。

<ph type="x-smartling-placeholder"></ph>

该部署以中心辐射型方式运行， 安全 Web 代理位于 连接 VPC 网络。

如需了解详细说明，请参阅将安全 Web 代理作为服务连接部署。

安全 Web 代理支持的解决方案

安全 Web 代理支持以下解决方案。

迁移到 Google Cloud

安全 Web 代理可帮助您迁移到 Google Cloud，同时 出站 Web 流量的现有安全政策和要求。您可以 避免使用需要使用其他管理控制台的第三方解决方案 或手动修改配置文件

访问受信任的外部 Web 服务

借助安全 Web 代理，您可以对出站 Web 应用精细的访问权限政策 以便保护您的网络你可以创建和确定工作负载 应用身份，然后将政策应用于 Web 位置。

监控对不受信任的 Web 服务的访问

您可以使用安全 Web 代理，为不受信任的 Web 提供受监控的访问 服务。安全 Web 代理可识别不符合政策的流量 并将其记录到 Cloud Logging (Logging)。然后，您可以监控 使用互联网、发现网络面临的威胁并应对威胁。

安全 Web 代理的优势

安全 Web 代理具有以下优势。

节省运营时间

安全 Web 代理不需要设置和配置虚拟机，不要求 软件更新以保持安全性，并提供弹性伸缩。初始 区域级安全 Web 代理实例 方框。Secure Web Proxy 提供的工具可简化设置、测试和 让您可以专注于其他任务。

灵活部署

安全 Web 代理支持基本的灵活部署。安全 Web 代理 安全 Web 代理政策和网址列表都属于模块化对象 可由不同的管理员创建或重复使用例如，您可以 部署多个安全 Web 代理实例，这些实例 安全 Web 代理政策。

提高安全性

默认情况下，安全 Web 代理的默认配置和政策为“全部拒绝”。 此外，Google Cloud 还会自动更新安全 Web 代理， 从而降低安全漏洞风险

支持的功能

安全 Web 代理支持以下功能：

• 显式代理服务：客户端明确配置为使用 代理服务器。安全 Web 代理代理将客户端与 代表客户端创建新的 TCP 连接，从而实现互联网通信。

• 自动扩缩安全 Web 代理 Envoy 代理：支持自动 调整 Envoy 代理池大小和区域中的池容量， 可确保在高需求期间 费用最低。

• 模块化出站流量访问政策：安全 Web 代理专门支持 以下出站流量政策：

  • 基于安全标记、服务账号或 IP 地址的来源身份。
  • 基于网址和主机名的目标页面。
  • 基于方法、标头或网址的请求。您可以指定网址 使用列表、通配符或模式

• 端到端加密：客户端代理隧道可能会通过 TLS 传输。 安全 Web 代理还支持使用 HTTP/S CONNECT（由客户端发起、 到目标服务器的端到端 TLS 连接。

• Cloud Audit Logs 与 Google Cloud Observability 集成：Cloud Audit Logs 和 Google Cloud Observability 会记录以下各项的管理活动和访问请求： 与 Web 代理相关的安全资源。它们还会记录指标 事务日志。

可考虑的其他 Google Cloud 工具

Google Cloud 为您的 Google Cloud 提供以下工具 部署：

• 使用 Google Cloud Armor 保护 Google Cloud 部署可抵御多种威胁，包括 分布式拒绝服务 (DDoS 攻击) 攻击和应用攻击 跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi)。

• 指定 VPC 防火墙规则以安全连接到 或虚拟机实例

• 实施 VPC Service Controls 以 防止数据从 Google Cloud 服务渗漏，例如 Cloud Storage 和 BigQuery。

• 使用 Cloud NAT 实现不安全的出站互联网 特定 Google Cloud 资源的无外部 IP 地址连接 地址。