보안 웹 프록시는 이그레스 웹 트래픽(HTTP/S)을 보호하는 데 도움이 되는 클라우드 중심 서비스입니다. 명시적으로 보안 웹 프록시를 게이트웨이로 사용하도록 클라이언트를 구성합니다. 웹 요청은 다음 소스에서 발생할 수 있습니다.
- 가상 머신(VM) 인스턴스
- 컨테이너
- 서버리스 커넥터를 사용하는 서버리스 환경
- Cloud VPN 또는 Cloud Interconnect로 연결된 Google Cloud 외부의 워크로드
보안 웹 프록시는 클라우드 중심 ID 및 웹 애플리케이션을 기반으로 유연하고 세분화된 정책을 적용합니다.
배포 모드
다음 방법으로 보안 웹 프록시를 배포할 수 있습니다.
명시적 프록시 라우팅 모드
프록시 서버를 명시적으로 사용하도록 워크로드 환경 및 클라이언트를 구성할 수 있습니다. 보안 웹 프록시는 관리되는 보안 정책을 준수하면서 클라이언트를 대신하여 새로운 TCP 연결을 만들어 인터넷에서 클라이언트를 격리합니다.
자세한 내용은 보안 웹 프록시 인스턴스 배포를 참조하세요.
Private Service Connect 서비스 연결 모드
여러 네트워크가 있는 경우 보안 웹 프록시 배포를 중앙에서 관리하려면 Network Connectivity Center를 사용할 수 있습니다. 그러나 Network Connectivity Center로 수직 확장하려고 할 때 몇 가지 제한사항이 있습니다. 보안 웹 프록시를 Private Service Connect 서비스 연결로 추가하면 이러한 제한사항이 해결됩니다. 다음과 같이 보안 웹 프록시를 배포할 수 있습니다.
- Private Service Connect 연결의 제작자 측에서 보안 웹 프록시를 Private Service Connect 서비스 연결로 추가합니다.
- Private Service Connect 서비스 연결에 연결해야 하는 각 VPC 네트워크에 Private Service Connect 소비자 엔드포인트를 만듭니다.
- 워크로드 이그레스 트래픽이 리전 내의 중앙 집중식 보안 웹 프록시를 가리키도록 하고 이 트래픽에 정책을 적용합니다.
배포는 허브 및 스포크 방식으로 작동합니다. 여기서 보안 웹 프록시는 연결된 다양한 VPC 네트워크의 워크로드의 이그레스 경로에 있습니다.
자세한 내용은 서비스 연결로 보안 웹 프록시 배포를 참조하세요.
보안 웹 프록시를 다음 홉으로 사용
보안 웹 프록시 배포를 네트워크 라우팅의 다음 홉으로 작동하도록 구성할 수 있습니다. 트래픽 소스를 보안 웹 프록시 인스턴스로 전달하도록 다음 홉 라우팅을 구성하면 각 소스 워크로드에 명시적 프록시 변수를 구성하는 데 드는 관리 오버헤드가 줄어듭니다. 다음 홉 라우팅 구성에 관한 자세한 내용은 보안 웹 프록시를 다음 홉으로 배포를 참조하세요.
보안 웹 프록시에서 지원하는 솔루션
보안 웹 프록시는 다음 솔루션을 지원합니다.
Google Cloud로의 마이그레이션:
보안 웹 프록시는 이그레스 웹 트래픽에 대한 기존 보안 정책 및 요구사항을 유지하면서 Google Cloud로 마이그레이션하는 데 도움이 됩니다. 다른 관리 콘솔을 사용하거나 구성 파일을 수동으로 편집해야 하는 서드 파티 솔루션을 사용하지 않아도 됩니다.
신뢰할 수 있는 외부 웹 서비스 액세스
보안 웹 프록시를 사용하면 이그레스 웹 트래픽에 세분화된 액세스 정책을 적용하여 네트워크를 보호할 수 있습니다. 워크로드 또는 애플리케이션 ID를 만들고 식별한 다음 웹 위치에 정책을 적용합니다.
신뢰할 수 없는 웹 서비스 액세스 모니터링
보안 웹 프록시를 사용하여 신뢰할 수 없는 웹 서비스 액세스를 모니터링할 수 있습니다. 보안 웹 프록시는 정책을 준수하지 않는 트래픽을 식별하고 Cloud Logging(Logging)에 로깅합니다. 그런 후 인터넷 사용량을 모니터링하고, 네트워크에 대한 위협을 발견하고, 위협에 대응할 수 있습니다.
보안 웹 프록시 이점
보안 웹 프록시는 다음과 같은 이점을 제공합니다.
작업 시간 절약
보안 웹 프록시는 설정하고 구성할 VM이 없고, 보안 유지를 위해 소프트웨어 업데이트가 필요하지 않으며, 탄력적인 확장이 가능합니다. 초기 정책 구성 후에는 리전 보안 웹 프록시 인스턴스가 즉시 작동합니다. 보안 웹 프록시는 다른 태스크에 집중할 수 있도록 설정, 테스트, 배포를 간소화하는 도구를 제공합니다.
유연한 배포
보안 웹 프록시는 기본 및 유연한 배포를 지원합니다. 보안 웹 프록시 인스턴스, 보안 웹 프록시 정책 및 URL 목록은 모두 개별 관리자가 생성하거나 재사용할 수 있는 모듈식 개체입니다. 예를 들어 모두 동일한 보안 웹 프록시 정책을 사용하는 여러 보안 웹 프록시 인스턴스를 배포할 수 있습니다.
보안 강화
기본 보안 웹 프록시 구성 및 정책은 기본적으로 모두 거부입니다. 또한 Google Cloud는 보안 웹 프록시 소프트웨어 및 인프라를 자동으로 업데이트하여 보안 취약점의 위험을 줄입니다.
지원되는 기능
보안 웹 프록시는 다음 기능을 지원합니다.
보안 웹 프록시 Envoy 프록시 자동 확장: 리전 내 Envoy 프록시 풀 크기와 풀의 용량을 자동으로 조정하므로 수요가 많은 기간 동안 최저 비용으로 일관된 성능이 사용 설정됩니다.
모듈식 이그레스 액세스 정책: 보안 웹 프록시는 특히 다음 이그레스 정책을 지원합니다.
- 보안 태그, 서비스 계정 또는 IP 주소를 기반으로 한 소스 ID
- URL, 호스트 이름 기반의 대상입니다.
- 메서드, 헤더 또는 URL을 기반으로 한 요청입니다. 목록, 와일드 카드, 패턴을 사용하여 URL을 지정할 수 있습니다.
엔드 투 엔드 암호화: 클라이언트 프록시 터널이 TLS를 통해 전송될 수 있습니다. 또한 보안 웹 프록시는 클라이언트에서 시작된 대상 서버에 대한 엔드 투 엔드 TLS 연결의 HTTP/S
CONNECT
를 지원합니다.Cloud 감사 로그 및 Google Cloud 관측 가능성 통합: Cloud 감사 로그 및 Google Cloud Observability는 보안 웹 프록시 관련 리소스에 대한 관리 활동 및 액세스 요청을 기록합니다. 또한 프록시에서 처리하는 요청에 대한 측정항목과 트랜잭션 로그를 기록합니다.
고려해야 할 추가 Google Cloud 도구
Google Cloud는 Google Cloud 배포를 위해 다음 도구를 제공합니다.
Google Cloud Armor를 사용하여 DDoS 공격과 교차 사이트 스크립팅(XSS) 및 SQL 삽입(SQLi)과 같은 애플리케이션 공격을 포함한 여러 위협으로부터 Google Cloud 배포를 보호합니다.
VPC 방화벽 규칙을 지정하여 VM 인스턴스와의 연결을 보호합니다.
VPC 서비스 제어를 구현하여 Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 데이터 무단 반출을 방지합니다.
Cloud NAT를 사용하여 외부 IP 주소 없이 특정 Google Cloud 리소스에 대해 보안되지 않은 아웃바운드 인터넷 연결을 사용 설정합니다.