Auf dieser Seite werden die Quellattribute und Zielattribute für Secure Web Proxy-Richtlinien beschrieben. Außerdem wird auf dieser Seite das regelbasierte Proxying mit dem Transmission Control Protocol (TCP) erläutert und Sie erfahren, wie Sie TCP-Proxyregeln für Ihre Anwendung konfigurieren.
Secure Web Proxy-Richtlinien basieren auf den folgenden zwei Parametern:
- Traffic-Quelle: Secure Web Proxy verwendet Attribute wie Dienstkonten, sichere Tags und IP-Adressen, um die Traffic-Quelle zu identifizieren.
- Zulässiges Ziel: Um die zulässigen Ziele zu ermitteln, verwendet Secure Web Proxy eine Zieldomain, einen vollständigen URL-Pfad (wenn die TLS-Prüfung aktiviert ist), URL-Listen oder den Zielport.
Standardmäßig ist der sichere Web-Proxy so konfiguriert, dass jeglicher ausgehender Web-Traffic (HTTP oder HTTPS) über den Proxy abgelehnt wird, sofern Sie keine bestimmte Regel in die Richtlinie Ihrer Instanz des sicheren Web-Proxys aufnehmen.
Quellattribute für Richtlinien
Verwenden Sie die folgenden Attribute, damit Ihre Secure Web Proxy-Instanz die Quelle des Traffics identifizieren kann:
- Dienstkonten: Mit Dienstkonten können Sie die Traffic-Quelle identifizieren und Secure Web Proxy-Richtlinien konfigurieren.
- Sichere Tags: Verwenden Sie Resource Manager-Tags, um den Zugriff auf Ihre Google Cloud -Ressourcen zu steuern.
- IP-Adressen: Weisen Sie die IP-Adressen Ihres Unternehmens (oder statische Google Cloud IP-Adressen) zu, die Secure Web Proxy für ausgehenden Traffic verwendet.
Unterstützte Identitäten
Sie können auf Quellidentitäten basierende Sicherheitsrichtlinien (Dienstkonten und sichere Tags) verwenden, um Webtraffic für mehrere Google Cloud Dienste zu schützen. In der folgenden Tabelle sehen Sie, ob verschiedene Google Cloud -Dienste unterstützt werden, wenn Sie sicherheitsrichtlinien verwenden, die auf der Quellidentität basieren.
| Google Cloud -Dienste | Support für Dienstkonten | Unterstützung für sichere Tags |
|---|---|---|
| VM | ||
| GKE-Knoten | ||
| GKE-Container | 1 | 1 |
| Direct VPC für Cloud Run | 1 | |
| Connector für serverlosen VPC-Zugriff | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect lokal | 1 | 1 |
| Application Load Balancer | ||
| Netzwerk-Load-Balancer |
2 Die Quell-IP-Adresse ist eindeutig und kann stattdessen verwendet werden.
In der folgenden Tabelle sehen Sie, ob verschiedene Virtual Private Cloud-Architekturen (VPC) unterstützt werden, wenn Sie auf Quellidentität basierende Sicherheitsrichtlinien verwenden:
| VPC | VPC-Architektur | Support |
|---|---|---|
| Innerhalb von VPC | Projektübergreifend (freigegebene VPC) | |
| Innerhalb von VPC | Regionenübergreifend | |
| VPC-übergreifend | Cross-Peering-Link (Peering-VPC) | |
| VPC-übergreifend | Cross Private Service Connect | |
| VPC-übergreifend | Cross Network Connectivity Center-Spokes |
Zielattribute für Richtlinien
Mit Secure Web Proxy können Sie Richtlinien für Ihre Anwendung basierend auf Zieldomains und vollständigen URL-Pfaden konfigurieren (wenn die TLS-Prüfung aktiviert ist).
Mit den folgenden Attributen können Sie festlegen, wie Ihre Secure Web Proxy-Instanz das zulässige Ziel für den Traffic ermittelt:
- Zielport: Upstream-Port, an den Ihre Secure Web Proxy-Instanz Traffic sendet.
Weitere Informationen finden Sie unter Für
SessionMatcherundApplicationMatcherverfügbare Attribute. - URL-Listen: Mit URL-Listen können Sie URLs definieren, auf die Ihre Nutzer zugreifen können. Weitere Informationen finden Sie unter URL-Listen.
Für HTTP-basierten Ziel-Traffic können Sie das Attribut host() destination für Ihre Anwendung verwenden.
Für HTTPS-basierten Ziel-Traffic können Sie verschiedene request.*zielbezogene Attributerequest.method für Ihre Anwendung verwenden.
Weitere Informationen zu den Zielattributen, die Sie für HTTP- und HTTPS-Traffic verwenden können, finden Sie unter Attribute.
TCP-Proxyregeln
Mit Ihrer Secure Web Proxy-Instanz können Sie Proxyregeln für TCP-Traffic (Transmission Control Protocol) konfigurieren, einschließlich Traffic, der nicht mit Webprotokollen verknüpft ist. Sie können beispielsweise den Traffic von Websites oder Anwendungen zulassen oder blockieren, die Traffic von anderen Ports als 80 (HTTP) oder 443 (HTTPS) senden.
Wenn für Ihre Arbeitslast (z. B. Ihre Anwendungen und Dienste) Secure Web Proxy als nächster Hop verwendet wird, ist es sinnvoll, TCP-Proxyregeln anzuwenden. Das liegt daran, dass bei Verwendung eines routenbasierten Weiterleitungsverfahrens Nicht-HTTP(S)- und Nicht-Web-Traffic an Ihre Secure Web Proxy-Instanz weitergeleitet wird. So können Sie verhindern, dass schädlicher Traffic Ihre Anwendung erreicht, und festlegen, welche Anwendungen oder Websites auf Ihr Netzwerk zugreifen dürfen.
TCP-Proxyregeln für Ihre Anwendung konfigurieren
Wenn Sie TCP-Proxyregeln implementieren und eine Regel zum Zulassen oder Blockieren von Traffic für Ihre Anwendung erstellen möchten, müssen Sie den Zielport angeben. Optional können Sie eines der folgenden SessionMatcher-Attribute einfügen, um die Kriterien der Zulassungs- oder Blockierungsregel zu verfeinern.
| Attribut | Attributtyp | Beschreibung |
|---|---|---|
source.ip |
String | IP-Adresse des Clients, der die Anfrage gesendet hat. |
source.port |
String | Clientport, über den die Anfrage gesendet wurde. |
destination.port |
String | Upstream-Port, an den Ihre Secure Web Proxy-Instanz den Traffic sendet. |
source.matchTag(SECURE_TAG) |
boolean |
Das Argument ist die permanente ID des sicheren Tags, z. B. |
source.matchServiceAccount(SERVICE_ACCOUNT) |
boolean | True, wenn die Quelle mit SERVICE_ACCOUNT verknüpft ist, z. B. source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
boolean | True, wenn IP_ADDRESS in IP_RANGE enthalten ist, z. B. inIpRange(source.ip, '1.2.3.0/24'). Subnetzmasken für IPv6-Adressen dürfen nicht größer als /64 sein.
|
Beschränkungen
Secure Web Proxy unterstützt nicht die Konfiguration von TCP-Proxyregeln für User Datagram Protocol (UDP)-Anwendungen. Daher blockiert der sichere Webproxy den Traffic von UDP-basierten Anwendungen.
Regeln für den Hostabgleich
Achten Sie beim Konfigurieren von Regeln für ausgehenden Traffic für Ihre Secure Web Proxy-Instanz darauf, die Regeln in Abhängigkeit vom Zielhost ausgehender Anfragen zu definieren. Sie sollten auch berücksichtigen, wie der Hostabgleich basierend auf dem Bereitstellungsmodus Ihrer Secure Web Proxy-Instanz funktioniert.
Expliziter Proxymodus
Für unverschlüsselte HTTP-Anfragen können Sie die Regel
host() == "myownpersonaldomain.com"in derSessionMatcherverwenden. Secure Web Proxy validiert diese Regel anhand des FeldshostimCONNECT-Header der HTTP-Anfrage.Wenn Sie die TLS-Prüfung aktivieren und Regeln basierend auf
Application Matcherfestlegen möchten, müssen Sie eineSessionMatcher-Regel festlegen, die alsTRUEausgewertet wird. Sie können beispielsweise diehost() == "myownpersonaldomain.com"-Regel in derSessionMatcherverwenden und dann dierequest.host() == "myownpersonaldomain.com"-Regel in derApplicationMatcherhinzufügen.Secure Web Proxy validiert zuerst
SessionMatcheranhand des Feldshostim HeaderCONNECTder HTTP-Anfrage. Nur wenn dieSessionMatcher-Regel gültig ist, werden dieApplicationMatcher-Regeln vom sicheren Webproxy geprüft.
Modus für den nächsten Hop
Für unverschlüsselte HTTP-Anfragen können Sie die Regel
host() == "myownpersonaldomain.com"in derSessionMatcherverwenden. Secure Web Proxy validiert diese Regel anhand des Feldshostim Standard-HTTP-Anfrageheader.Wenn die Anfrage jedoch TLS-verschlüsselt ist, wird dieselbe Regel von Secure Web Proxy für den Server Name Indication (SNI)-Header in der ausgehenden Anfrage validiert.
Wenn Sie die TLS-Prüfung aktivieren und Regeln basierend auf
ApplicationMatcherfestlegen möchten, müssen Sie eineSessionMatcher-Regel festlegen, die alsTRUEausgewertet wird. Sie können beispielsweise diehost() == "myownpersonaldomain.com"-Regel in derSessionMatcherverwenden und dann dierequest.host() == "myownpersonaldomain.com"-Regel in derApplicationMatcherhinzufügen.Secure Web Proxy validiert zuerst
SessionMatcheranhand des SNI-Headers in der ausgehenden Anfrage. Und nur wenn dieSessionMatcher-Regel gültig ist, werden dieApplicationMatcher-Regeln vom sicheren Webproxy geprüft.