Halaman ini menjelaskan atribut sumber dan atribut tujuan untuk kebijakan Secure Web Proxy. Selain itu, halaman ini menjelaskan proxy berbasis aturan Transmission Control Protocol (TCP) dan cara mengonfigurasi aturan proxy TCP untuk aplikasi Anda.
Kebijakan Secure Web Proxy didasarkan pada dua parameter berikut:
- Sumber traffic: untuk mengidentifikasi sumber traffic, Secure Web Proxy menggunakan atribut seperti akun layanan, tag aman, dan alamat IP.
- Tujuan yang diizinkan: untuk menentukan tujuan yang diizinkan, Secure Web Proxy menggunakan domain tujuan, jalur URL lengkap (jika pemeriksaan TLS diaktifkan), daftar URL, atau port tujuan.
Secara default, Secure Web Proxy disetel untuk menolak traffic web keluar (HTTP atau HTTPS) melalui proxy kecuali jika Anda menyertakan aturan tertentu dalam kebijakan instance Secure Web Proxy Anda.
Atribut sumber untuk kebijakan
Gunakan atribut berikut agar instance Secure Web Proxy Anda dapat mengidentifikasi sumber traffic:
- Akun layanan: gunakan akun layanan untuk mengidentifikasi sumber traffic dan mengonfigurasi kebijakan Secure Web Proxy.
- Tag aman: gunakan tag Resource Manager untuk mengontrol akses ke resource Google Cloud Anda.
- Alamat IP: tetapkan alamat IP perusahaan Anda (atau alamat IP statis) yang digunakan Secure Web Proxy untuk traffic keluar. Google Cloud
Identitas yang didukung
Anda dapat menggunakan kebijakan keamanan berbasis identitas sumber (akun layanan dan tag aman) untuk mengamankan traffic web untuk beberapa layanan Google Cloud . Tabel berikut menunjukkan apakah berbagai layanan didukung saat menggunakan kebijakan keamanan berbasis identitas sumber. Google Cloud
| Google Cloud layanan | Dukungan akun layanan | Dukungan tag aman |
|---|---|---|
| VM | ||
| Node GKE | ||
| Container GKE | 1 | 1 |
| VPC Langsung untuk Cloud Run | 1 | |
| Konektor Akses VPC Serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect di lokal | 1 | 1 |
| Load Balancer Aplikasi | ||
| Network Load Balancer |
2 Alamat IP sumber bersifat unik dan dapat digunakan sebagai gantinya.
Tabel berikut menunjukkan apakah berbagai arsitektur Virtual Private Cloud (VPC) didukung saat menggunakan kebijakan keamanan berbasis identitas sumber:
| VPC | Arsitektur VPC | Dukungan |
|---|---|---|
| Dalam VPC | Layanan lintas project (VPC Bersama) | |
| Dalam VPC | Lintas region | |
| VPC Lintas | Link peering silang (VPC peer) | |
| VPC Lintas | Private Service Connect lintas | |
| VPC Lintas | Spoke Network Connectivity Center lintas jaringan |
Atribut tujuan untuk kebijakan
Dengan Secure Web Proxy, Anda dapat mengonfigurasi kebijakan untuk aplikasi berdasarkan domain tujuan dan jalur URL lengkap (jika pemeriksaan TLS diaktifkan).
Gunakan atribut berikut agar instance Secure Web Proxy Anda dapat menentukan tujuan traffic yang diizinkan:
- Port tujuan: port upstream tempat instance Secure Web Proxy Anda mengirimkan traffic.
Untuk mengetahui informasi selengkapnya, lihat Atribut yang tersedia untuk
SessionMatcherdanApplicationMatcher. - Daftar URL: gunakan daftar URL untuk menentukan URL yang dapat diakses pengguna Anda. Untuk mengetahui informasi selengkapnya, lihat Daftar URL.
Untuk traffic tujuan berbasis HTTP, Anda dapat menggunakan atribut tujuan host() untuk aplikasi Anda.
Untuk traffic tujuan berbasis HTTPS, Anda dapat menggunakan berbagai atribut terkait tujuan request.* (seperti request.method) untuk aplikasi Anda.
Untuk mengetahui informasi selengkapnya tentang atribut tujuan yang dapat Anda gunakan untuk traffic HTTP dan HTTPS, lihat Atribut.
Aturan proxy TCP
Dengan instance Secure Web Proxy, Anda dapat mengonfigurasi aturan proxy untuk traffic Transmission Control Protocol (TCP), termasuk traffic yang tidak terkait dengan protokol web. Misalnya, Anda dapat memilih untuk mengizinkan atau memblokir traffic situs atau aplikasi yang mengirim traffic dari port selain 80 (HTTP) atau 443 (HTTPS).
Jika beban kerja Anda (seperti aplikasi dan layanan Anda) menggunakan Secure Web Proxy sebagai next hop, maka penerapan aturan proxy TCP akan bermanfaat. Hal ini karena menggunakan proses pengalihan berbasis rute mengarahkan traffic non-HTTP(S) dan non-web ke instance Secure Web Proxy Anda. Dengan begitu, Anda dapat memblokir lalu lintas berbahaya agar tidak mencapai aplikasi Anda dan mengontrol aplikasi atau situs mana yang dapat mengakses jaringan Anda.
Mengonfigurasi aturan proxy TCP untuk aplikasi Anda
Untuk menerapkan aturan proxy TCP dan membuat aturan izinkan atau blokir traffic untuk aplikasi Anda, Anda harus menentukan port tujuan. Secara opsional, Anda dapat menyertakan
salah satu atribut SessionMatcher berikut untuk mempertajam kriteria
aturan izinkan atau blokir.
| Atribut | Jenis atribut | Deskripsi |
|---|---|---|
source.ip |
string | Alamat IP klien yang mengirim permintaan. |
source.port |
string | Port klien yang mengirim permintaan. |
destination.port |
string | Port upstream tempat instance Secure Web Proxy Anda mengirimkan traffic. |
source.matchTag(SECURE_TAG) |
boolean |
Argumen adalah ID permanen tag aman, seperti
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
boolean | True, jika sumber dikaitkan dengan
SERVICE_ACCOUNT, seperti
source.matchServiceAccount('x@my-project.').
|
inIpRange(IP_ADDRESS, |
boolean | True, jika IP_ADDRESS
terkandung dalam IP_RANGE, seperti
inIpRange(source.ip, '1.2.3.0/24'). Masker subnet
untuk alamat IPv6 tidak boleh lebih besar dari /64.
|
Batasan
Secure Web Proxy tidak mendukung kemampuan untuk mengonfigurasi aturan proxy TCP untuk aplikasi User Datagram Protocol (UDP). Akibatnya, Secure Web Proxy memblokir traffic aplikasi berbasis UDP.
Aturan pencocokan host
Saat mengonfigurasi aturan keluar untuk instance Secure Web Proxy, pastikan Anda menentukan aturan bergantung pada host tujuan permintaan keluar. Anda juga harus mempertimbangkan cara kerja pencocokan host berdasarkan mode deployment instance Secure Web Proxy Anda.
Mode proxy eksplisit
Untuk permintaan HTTP yang tidak dienkripsi, Anda dapat menggunakan aturan
host() == "myownpersonaldomain.com"diSessionMatcher. Secure Web Proxy memvalidasi aturan ini terhadap kolomhostdi headerCONNECTpermintaan HTTP.Jika Anda ingin mengaktifkan pemeriksaan TLS dan menetapkan aturan berdasarkan
Application Matcher, Anda harus menetapkan aturanSessionMatcheryang dievaluasi menjadiTRUE. Misalnya, Anda dapat menggunakan aturanhost() == "myownpersonaldomain.com"diSessionMatcher, lalu menambahkan aturanrequest.host() == "myownpersonaldomain.com"diApplicationMatcher.Secure Web Proxy terlebih dahulu memvalidasi
SessionMatcherterhadap kolomhostdi headerCONNECTpermintaan HTTP. Dan hanya jika aturanSessionMatchervalid, Secure Web Proxy akan memeriksa aturanApplicationMatcher.
Mode hop berikutnya
Untuk permintaan HTTP yang tidak dienkripsi, Anda dapat menggunakan aturan
host() == "myownpersonaldomain.com"diSessionMatcher. Secure Web Proxy memvalidasi aturan ini terhadap kolomhostdi header permintaan HTTP standar.Namun, jika permintaan dienkripsi TLS, Secure Web Proxy akan memvalidasi aturan yang sama terhadap header Server Name Indication (SNI) dalam permintaan keluar.
Jika Anda ingin mengaktifkan pemeriksaan TLS dan menetapkan aturan berdasarkan
ApplicationMatcher, Anda harus menetapkan aturanSessionMatcheryang dievaluasi menjadiTRUE. Misalnya, Anda dapat menggunakan aturanhost() == "myownpersonaldomain.com"diSessionMatcher, lalu menambahkan aturanrequest.host() == "myownpersonaldomain.com"diApplicationMatcher.Secure Web Proxy terlebih dahulu memvalidasi
SessionMatcherterhadap header SNI dalam permintaan keluar. Dan hanya jika aturanSessionMatchervalid, Secure Web Proxy akan memeriksa aturanApplicationMatcher.