보안 웹 프록시 개요

보안 웹 프록시는 이그레스 웹 트래픽(HTTP/S)을 보호하는 데 도움이 되는 클라우드 중심 서비스입니다. 클라이언트가 보안 웹 프록시를 게이트웨이로 명시적으로 사용하도록 구성합니다. 웹 요청은 다음 소스에서 발생할 수 있습니다.

  • 가상 머신(VM) 인스턴스
  • 컨테이너
  • 서버리스 커넥터를 사용하는 서버리스 환경
  • Cloud VPN 또는 Cloud Interconnect로 연결된 Google Cloud 외부의 워크로드

보안 웹 프록시는 클라우드 중심 ID 및 웹 애플리케이션을 기반으로 유연하고 세분화된 정책을 적용합니다.

보안 웹 프록시가 지원하는 솔루션

보안 웹 프록시는 다음 솔루션을 지원합니다.

Google Cloud로의 마이그레이션:

보안 웹 프록시를 사용하면 기존 보안 정책 및 이그레스 웹 트래픽 요구사항을 유지하면서 Google Cloud로 마이그레이션할 수 있습니다. 다른 관리 콘솔을 사용하거나 구성 파일을 수동으로 편집해야 하는 타사 솔루션 사용을 피할 수 있습니다.

신뢰할 수 있는 외부 웹 서비스에 대한 액세스

보안 웹 프록시를 사용하면 이그레스 웹 트래픽에 세분화된 액세스 정책을 적용하여 네트워크를 보호할 수 있습니다. 워크로드 또는 애플리케이션 ID를 만들고 식별한 후 웹 위치에 정책을 적용합니다.

신뢰할 수 없는 웹 서비스에 대한 모니터링 액세스

보안 웹 프록시를 사용하여 신뢰할 수 없는 웹 서비스에 대한 모니터링 액세스를 제공할 수 있습니다. 보안 웹 프록시는 정책을 준수하지 않는 트래픽을 식별하고 Cloud Logging(Logging)에 로깅합니다. 그런 다음 인터넷 사용량을 모니터링하고 네트워크에 대한 위협을 발견하며 위협에 대응할 수 있습니다.

안전한 웹 프록시 이점

보안 웹 프록시는 다음과 같은 이점을 제공합니다.

운영 시간 절약

안전한 웹 프록시는 설정 및 구성할 VM이 없고, 보안을 유지하기 위해 소프트웨어 업데이트가 필요하지 않으며, 탄력적인 확장을 제공합니다. 초기 정책 구성 후 리전 보안 웹 프록시 인스턴스가 즉시 작동합니다. 보안 웹 프록시는 설정, 테스트, 배포를 간소화하여 다른 작업에 집중할 수 있는 도구를 제공합니다.

유연한 배포

보안 웹 프록시는 간단하고 유연한 배포를 지원합니다. 보안 웹 프록시 인스턴스, 보안 웹 프록시 정책, URL 목록은 모두 개별 관리자가 만들거나 재사용할 수 있는 모듈식 객체입니다. 예를 들어 모두 동일한 보안 웹 프록시 정책을 사용하는 여러 보안 웹 프록시 인스턴스를 배포할 수 있습니다.

보안 강화

기본 보안 웹 프록시 구성 및 정책은 기본적으로 모두 거부입니다. 또한 Google Cloud는 보안 웹 프록시 소프트웨어와 인프라를 자동으로 업데이트하여 보안 취약점의 위험을 줄입니다.

지원되는 기능

보안 웹 프록시는 다음 기능을 지원합니다.

  • 명시적 프록시 서비스: 클라이언트는 프록시 서버를 사용하도록 명시적으로 구성됩니다. 보안 웹 프록시 프록시는 클라이언트 대신 새 TCP 연결을 만들어 인터넷에서 클라이언트를 격리합니다.

  • 보안 웹 프록시 Envoy 프록시 자동 확장: 리전 내 Envoy 프록시 풀 크기와 풀의 용량을 자동으로 조정하므로 수요가 많은 기간 동안 최저 비용으로 일관된 성능이 사용 설정됩니다.

  • 모듈식 이그레스 액세스 정책: 보안 웹 프록시는 특히 다음 이그레스 정책을 지원합니다.

    • 보안 태그, 서비스 계정 또는 IP 주소를 기반으로 하는 소스 ID입니다.
    • URL, 호스트 이름 기반의 대상입니다.
    • 메서드, 헤더 또는 URL을 기반으로 한 요청입니다. 목록, 와일드 카드, 패턴을 사용하여 URL을 지정할 수 있습니다.

  • 엔드 투 엔드 암호화: 클라이언트 프록시 터널이 TLS를 통해 전송될 수 있습니다. 또한 보안 웹 프록시는 클라이언트에서 시작된 대상 서버에 대한 엔드 투 엔드 TLS 연결의 HTTP/S CONNECT를 지원합니다.

  • Cloud 감사 로그 및 Google Cloud 관측 가능성 통합: Cloud 감사 로그 및 Google Cloud Observability는 보안 웹 프록시 관련 리소스에 대한 관리 활동 및 액세스 요청을 기록합니다. 또한 프록시에서 처리하는 요청에 대한 측정항목과 트랜잭션 로그를 기록합니다.

고려할 추가 Google Cloud 도구

Google Cloud는 Google Cloud 배포를 위해 다음과 같은 도구를 제공합니다.

  • Google Cloud Armor를 사용하여 DDoS 공격과 교차 사이트 스크립팅(XSS) 및 SQL 삽입(SQLi)과 같은 애플리케이션 공격을 포함한 여러 위협으로부터 Google Cloud 배포를 보호합니다.

  • VPC 방화벽 규칙을 지정하여 VM 인스턴스와의 연결을 보호합니다.

  • VPC 서비스 제어를 구현하여 Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 데이터 무단 반출을 방지합니다.

  • Cloud NAT를 사용하여 외부 IP 주소 없이 특정 Google Cloud 리소스에 대해 비보안 아웃바운드 인터넷 연결을 사용 설정합니다.