보안 웹 프록시는 이그레스 웹 트래픽(HTTP/S)을 보호하는 데 도움이 되는 클라우드 중심 서비스입니다. 클라이언트가 보안 웹 프록시를 게이트웨이로 명시적으로 사용하도록 구성합니다. 웹 요청은 다음 소스에서 발생할 수 있습니다.
- 가상 머신(VM) 인스턴스
- 컨테이너
- 서버리스 커넥터를 사용하는 서버리스 환경
- Cloud VPN 또는 Cloud Interconnect로 연결된 Google Cloud 외부의 워크로드
보안 웹 프록시는 클라우드 중심 ID 및 웹 애플리케이션을 기반으로 유연하고 세분화된 정책을 적용합니다.
보안 웹 프록시가 지원하는 솔루션
보안 웹 프록시는 다음 솔루션을 지원합니다.
Google Cloud로의 마이그레이션:
보안 웹 프록시를 사용하면 기존 보안 정책 및 이그레스 웹 트래픽 요구사항을 유지하면서 Google Cloud로 마이그레이션할 수 있습니다. 다른 관리 콘솔을 사용하거나 구성 파일을 수동으로 편집해야 하는 타사 솔루션 사용을 피할 수 있습니다.
신뢰할 수 있는 외부 웹 서비스에 대한 액세스
보안 웹 프록시를 사용하면 이그레스 웹 트래픽에 세분화된 액세스 정책을 적용하여 네트워크를 보호할 수 있습니다. 워크로드 또는 애플리케이션 ID를 만들고 식별한 후 웹 위치에 정책을 적용합니다.
신뢰할 수 없는 웹 서비스에 대한 모니터링 액세스
보안 웹 프록시를 사용하여 신뢰할 수 없는 웹 서비스에 대한 모니터링 액세스를 제공할 수 있습니다. 보안 웹 프록시는 정책을 준수하지 않는 트래픽을 식별하고 Cloud Logging(Logging)에 로깅합니다. 그런 다음 인터넷 사용량을 모니터링하고 네트워크에 대한 위협을 발견하며 위협에 대응할 수 있습니다.
안전한 웹 프록시 이점
보안 웹 프록시는 다음과 같은 이점을 제공합니다.
운영 시간 절약
안전한 웹 프록시는 설정 및 구성할 VM이 없고, 보안을 유지하기 위해 소프트웨어 업데이트가 필요하지 않으며, 탄력적인 확장을 제공합니다. 초기 정책 구성 후 리전 보안 웹 프록시 인스턴스가 즉시 작동합니다. 보안 웹 프록시는 설정, 테스트, 배포를 간소화하여 다른 작업에 집중할 수 있는 도구를 제공합니다.
유연한 배포
보안 웹 프록시는 간단하고 유연한 배포를 지원합니다. 보안 웹 프록시 인스턴스, 보안 웹 프록시 정책, URL 목록은 모두 개별 관리자가 만들거나 재사용할 수 있는 모듈식 객체입니다. 예를 들어 모두 동일한 보안 웹 프록시 정책을 사용하는 여러 보안 웹 프록시 인스턴스를 배포할 수 있습니다.
보안 강화
기본 보안 웹 프록시 구성 및 정책은 기본적으로 모두 거부입니다. 또한 Google Cloud는 보안 웹 프록시 소프트웨어와 인프라를 자동으로 업데이트하여 보안 취약점의 위험을 줄입니다.
지원되는 기능
보안 웹 프록시는 다음 기능을 지원합니다.
명시적 프록시 서비스: 클라이언트는 프록시 서버를 사용하도록 명시적으로 구성됩니다. 보안 웹 프록시 프록시는 클라이언트 대신 새 TCP 연결을 만들어 인터넷에서 클라이언트를 격리합니다.
보안 웹 프록시 Envoy 프록시 자동 확장: 리전 내 Envoy 프록시 풀 크기와 풀의 용량을 자동으로 조정하므로 수요가 많은 기간 동안 최저 비용으로 일관된 성능이 사용 설정됩니다.
모듈식 이그레스 액세스 정책: 보안 웹 프록시는 특히 다음 이그레스 정책을 지원합니다.
- 보안 태그, 서비스 계정 또는 IP 주소를 기반으로 하는 소스 ID입니다.
- URL, 호스트 이름 기반의 대상입니다.
- 메서드, 헤더 또는 URL을 기반으로 한 요청입니다. 목록, 와일드 카드, 패턴을 사용하여 URL을 지정할 수 있습니다.
엔드 투 엔드 암호화: 클라이언트 프록시 터널이 TLS를 통해 전송될 수 있습니다. 또한 보안 웹 프록시는 클라이언트에서 시작된 대상 서버에 대한 엔드 투 엔드 TLS 연결의 HTTP/S
CONNECT
를 지원합니다.Cloud 감사 로그 및 Google Cloud 관측 가능성 통합: Cloud 감사 로그 및 Google Cloud Observability는 보안 웹 프록시 관련 리소스에 대한 관리 활동 및 액세스 요청을 기록합니다. 또한 프록시에서 처리하는 요청에 대한 측정항목과 트랜잭션 로그를 기록합니다.
고려할 추가 Google Cloud 도구
Google Cloud는 Google Cloud 배포를 위해 다음과 같은 도구를 제공합니다.
Google Cloud Armor를 사용하여 DDoS 공격과 교차 사이트 스크립팅(XSS) 및 SQL 삽입(SQLi)과 같은 애플리케이션 공격을 포함한 여러 위협으로부터 Google Cloud 배포를 보호합니다.
VPC 방화벽 규칙을 지정하여 VM 인스턴스와의 연결을 보호합니다.
VPC 서비스 제어를 구현하여 Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 데이터 무단 반출을 방지합니다.
Cloud NAT를 사용하여 외부 IP 주소 없이 특정 Google Cloud 리소스에 대해 비보안 아웃바운드 인터넷 연결을 사용 설정합니다.