安全 Web 代理概览

安全 Web 代理是一项云优先服务,可帮助您保护出站 Web 流量 (HTTP/S)。您可以将客户端配置为明确使用安全 Web 代理作为网关。Web 请求可能来自以下来源:

  • 虚拟机 (VM) 实例
  • 容器
  • 使用无服务器连接器的无服务器环境
  • 通过 Cloud VPN 或 Cloud Interconnect 连接的 Google Cloud 外部的工作负载

安全 Web 代理可实现基于云优先身份和 Web 应用的灵活精细政策。

安全 Web 代理支持的解决方案

安全 Web 代理支持以下解决方案。

迁移到 Google Cloud

安全 Web 代理可帮助您迁移到 Google Cloud,同时保留您的出站 Web 流量的现有安全政策和要求。您可以避免使用需要使用其他管理控制台或手动修改配置文件的第三方解决方案。

对受信任的外部 Web 服务的访问权限

通过安全 Web 代理,您可以将精细的访问政策应用于出站 Web 流量,从而保障网络安全。您可以创建并确定工作负载或应用身份,然后将政策应用于 Web 位置。

受监控的不受信任的 Web 服务访问情况

您可以使用安全 Web 代理为不受信任的 Web 服务提供受监控的访问权限。安全 Web 代理可识别不符合政策的流量,并将其记录到 Cloud Logging (Logging) 中。然后,您可以监控互联网使用情况,发现网络面临的威胁并应对威胁。

安全 Web 代理的优势

安全 Web 代理具有以下优势。

节省运营时间

安全 Web 代理无需设置和配置虚拟机,无需软件更新即可保持安全性,并且提供弹性伸缩。完成初始政策配置后,区域级安全 Web 代理实例将开箱即用。安全 Web 代理提供的工具可简化设置、测试和部署,以便您专注于其他任务。

灵活部署

安全 Web 代理支持简单灵活的部署。安全 Web 代理实例、安全 Web 代理政策和网址列表都是可以由不同管理员创建或重复使用的模块化对象。例如,您可以部署多个使用相同安全 Web 代理政策的安全 Web 代理实例。

安全性更高

默认情况下,默认的安全 Web 代理配置和政策均为“拒绝全部”。 此外,Google Cloud 还会自动更新安全 Web 代理软件和基础架构,从而降低安全漏洞的风险。

支持的功能

安全 Web 代理支持以下功能:

  • 显式代理服务:客户端已明确配置为使用代理服务器。安全 Web 代理代理会代表客户端创建新的 TCP 连接,从而将客户端与互联网隔离。

  • 自动扩缩安全 Web 代理 Envoy 代理:支持自动调整 Envoy 代理池大小和区域中池的容量,从而在高需求期间以最低费用实现一致的性能。

  • 模块化出站流量访问政策:安全 Web 代理明确支持以下出站流量政策:

    • 基于安全标记、服务帐号或 IP 地址的来源身份。
    • 基于网址、主机名的目标。
    • 基于方法、标头或网址的请求。可以使用列表、通配符或格式指定网址。
  • 端到端加密:客户端代理隧道可能会通过 TLS 传输。对于客户端发起的到目标服务器的端到端 TLS 连接,安全 Web 代理还支持使用 HTTP/S CONNECT

  • Cloud Audit Logs 与 Google Cloud 的运维套件集成:Cloud Audit Logs 和 Google Cloud 的运维套件会记录安全 Web 代理相关资源的管理活动和访问请求。它们还会记录代理处理的请求的指标和事务日志。

可以考虑的其他 Google Cloud 工具

Google Cloud 为 Google Cloud 部署提供了以下工具:

  • 使用 Google Cloud Armor 保护 Google Cloud 部署免受多种威胁,包括分布式拒绝服务 (DDoS 攻击) 攻击以及跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等应用攻击。

  • 指定 VPC 防火墙规则以保护进出虚拟机实例的连接。

  • 实现 VPC Service Controls 以防止 Google Cloud 服务(如 Cloud Storage 和 BigQuery)中的数据渗漏。

  • 使用 Cloud NAT 为没有外部 IP 地址的特定 Google Cloud 资源启用不安全的出站互联网连接。