Auf dieser Seite werden die Quellattribute und Zielattribute für Secure Web Proxy-Richtlinien beschrieben. Außerdem wird auf dieser Seite regelbasiertes Proxying für das Transmission Control Protocol (TCP) erläutert und wie Sie TCP-Proxyregeln für Ihre Anwendung konfigurieren.
Secure Web Proxy-Richtlinien basieren auf den folgenden zwei Parametern:
- Trafficquelle: Zum Identifizieren der Trafficquelle verwendet Secure Web Proxy Attribute wie Dienstkonten, sichere Tags und IP-Adressen.
- Zulässiges Ziel: Um die zulässigen Ziele zu ermitteln, verwendet Secure Web Proxy eine Zieldomain, einen vollständigen URL-Pfad (wenn die TLS-Prüfung aktiviert ist), URL-Listen oder den Zielport.
Standardmäßig ist der sichere Web-Proxy so konfiguriert, dass ausgehender Web-Traffic (HTTP oder HTTPS) über den Proxy abgelehnt wird, es sei denn, Sie fügen der Richtlinie Ihrer sicheren Web-Proxy-Instanz eine bestimmte Regel hinzu.
Quellattribute für Richtlinien
Verwenden Sie die folgenden Attribute, damit Ihre Secure Web Proxy-Instanz die Quelle des Traffics identifizieren kann:
- Dienstkonten: Mit Dienstkonten können Sie die Trafficquelle identifizieren und Secure Web Proxy-Richtlinien konfigurieren.
- Sichere Tags: Mit Resource Manager-Tags können Sie den Zugriff auf Ihre Google Cloud Ressourcen steuern.
- IP-Adressen: Weisen Sie Ihrem Unternehmen IP-Adressen (oder statische Google Cloud IP-Adressen) zu, die der Secure Web Proxy für ausgehenden Traffic verwendet.
Unterstützte Identitäten
Sie können richtlinienbasierte Sicherheitsmaßnahmen für Quellidentitäten (Dienstkonten und sichere Tags) verwenden, um den Webtraffic für mehrere Google Cloud Dienste zu sichern. In der folgenden Tabelle sehen Sie, ob verschiedene Google Cloud -Dienste bei Verwendung von richtlinienbasierten Sicherheitsmaßnahmen für die Identität der Quelle unterstützt werden.
| Google Cloud -Dienste | Support für Dienstkonten | Unterstützung für sichere Tags |
|---|---|---|
| VM | ||
| GKE-Knoten | ||
| GKE-Container | 1 | 1 |
| Direct VPC für Cloud Run | 1 | |
| Connector für serverlosen VPC-Zugriff | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect on Premises | 1 | 1 |
| Application Load Balancer | ||
| Netzwerk-Load-Balancer |
2 Die Quell-IP-Adresse ist eindeutig und kann stattdessen verwendet werden.
In der folgenden Tabelle sehen Sie, ob verschiedene Virtual Private Cloud-Architekturen (VPC) bei der Verwendung von richtlinienbasierten Sicherheitsmaßnahmen für Quellidentitäten unterstützt werden:
| VPC | VPC-Architektur | Support |
|---|---|---|
| Innerhalb der VPC | Projektübergreifend (freigegebene VPC) | |
| Innerhalb der VPC | Regionenübergreifend | |
| VPC-übergreifender Zugriff | Peering-Link (Peer-VPC) | |
| VPC-übergreifender Zugriff | Private Service Connect kreuzen | |
| VPC-übergreifender Zugriff | Network Connectivity Center-Spokes kreuzen |
Zielattribute für Richtlinien
Mit Secure Web Proxy können Sie Richtlinien für Ihre Anwendung basierend auf Zieldomains und vollständigen URL-Pfaden konfigurieren, sofern die TLS-Prüfung aktiviert ist.
Mit den folgenden Attributen können Sie festlegen, welches Ziel für den zulässigen Traffic von Ihrer Secure Web Proxy-Instanz bestimmt werden soll:
- Zielport: Upstream-Port, an den Ihre Secure Web Proxy-Instanz Traffic sendet.
Weitere Informationen finden Sie unter Für
SessionMatcherundApplicationMatcherverfügbare Attribute. - URL-Listen: Mit URL-Listen können Sie URLs definieren, auf die Ihre Nutzer zugreifen können. Weitere Informationen finden Sie unter URL-Listen.
Für HTTP-basierten Ziel-Traffic können Sie das Zielattribut host() für Ihre Anwendung verwenden.
Für HTTPS-basierten Ziel-Traffic können Sie verschiedene request.*Ziel-bezogene Attribute (z. B. request.method) für Ihre Anwendung verwenden.
Weitere Informationen zu Zielattributen, die Sie für HTTP- und HTTPS-Traffic verwenden können, finden Sie unter Attribute.
TCP-Proxy-Regeln
Mit Ihrer Secure Web Proxy-Instanz können Sie Proxyregeln für TCP-Traffic (Transmission Control Protocol) konfigurieren, einschließlich Traffic, der nicht mit Webprotokollen verknüpft ist. Sie können beispielsweise den Traffic von Websites oder Anwendungen zulassen oder blockieren, die Traffic von anderen Ports als 80 (HTTP) oder 443 (HTTPS) senden.
Wenn Ihre Arbeitslast (z. B. Ihre Anwendungen und Dienste) einen sicheren Webproxy als nächsten Hop verwendet, ist die Anwendung von TCP-Proxyregeln sinnvoll. Das liegt daran, dass bei einem routenbasierten Weiterleitungsprozess Nicht-HTTP(S)- und Nicht-Web-Traffic an Ihre Secure Web Proxy-Instanz weitergeleitet wird. So können Sie verhindern, dass schädlicher Traffic Ihre Anwendung erreicht, und festlegen, welche Anwendungen oder Websites auf Ihr Netzwerk zugreifen dürfen.
TCP-Proxy-Regeln für Ihre Anwendung konfigurieren
Wenn Sie TCP-Proxyregeln implementieren und eine Regel zum Zulassen oder Blockieren von Traffic für Ihre Anwendung erstellen möchten, müssen Sie den Zielport angeben. Optional können Sie eines der folgenden SessionMatcher-Attribute angeben, um die Kriterien der Zulassungs- oder Blockierungsregel zu verfeinern.
| Attribut | Attributtyp | Beschreibung |
|---|---|---|
source.ip |
String | IP-Adresse des Clients, der die Anfrage gesendet hat. |
source.port |
String | Clientport, von dem die Anfrage gesendet wurde. |
destination.port |
String | Upstream-Port, an den Ihre Secure Web Proxy-Instanz den Traffic sendet. |
source.matchTag(SECURE_TAG) |
boolean |
Das Argument ist die permanente ID des sicheren Tags, z. B. |
source.matchServiceAccount(SERVICE_ACCOUNT) |
boolean | True, wenn die Quelle mit SERVICE_ACCOUNT verknüpft ist, z. B. source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
boolean | True, wenn IP_ADDRESS in IP_RANGE enthalten ist, z. B. inIpRange(source.ip, '1.2.3.0/24'). Subnetzmasken für IPv6-Adressen dürfen nicht größer als /64 sein.
|
Beschränkungen
Secure Web Proxy unterstützt nicht die Konfiguration von TCP-Proxyregeln für User Datagram Protocol (UDP)-Anwendungen. Daher blockiert Secure Web Proxy den Traffic von UDP-basierten Anwendungen.
Regeln für den Hostabgleich
Wenn Sie Regeln für den ausgehenden Traffic für Ihre Secure Web Proxy-Instanz konfigurieren, müssen Sie die Regeln je nach Zielhost der ausgehenden Anfragen definieren. Berücksichtigen Sie auch, wie die Hostabgleiche je nach Bereitstellungsmodus Ihrer Secure Web Proxy-Instanz funktionieren.
Modus für explizite Proxys
Für unverschlüsselte HTTP-Anfragen können Sie die Regel
host() == "myownpersonaldomain.com"in derSessionMatcherverwenden. Der sichere Webproxy validiert diese Regel anhand des FeldshostimCONNECT-Header der HTTP-Anfrage.Wenn Sie die TLS-Prüfung aktivieren und Regeln basierend auf
Application Matcherfestlegen möchten, müssen Sie eineSessionMatcher-Regel festlegen, die zuTRUEführt. Du kannst beispielsweise die Regelhost() == "myownpersonaldomain.com"in derSessionMatcherverwenden und dann die Regelrequest.host() == "myownpersonaldomain.com"in derApplicationMatcherhinzufügen.Der sichere Webproxy validiert zuerst die
SessionMatcheranhand deshost-Felds imCONNECT-Header der HTTP-Anfrage. Nur wenn dieSessionMatcher-Regel gültig ist, prüft der sichere Webproxy dieApplicationMatcher-Regeln.
Next-Hop-Modus
Für unverschlüsselte HTTP-Anfragen können Sie die Regel
host() == "myownpersonaldomain.com"in derSessionMatcherverwenden. Der sichere Webproxy prüft diese Regel anhand des Feldshostim standardmäßigen HTTP-Anfrageheader.Wenn die Anfrage jedoch TLS-verschlüsselt ist, prüft der Secure Web Proxy dieselbe Regel anhand des Servernamenindikators (SNI) in der ausgehenden Anfrage.
Wenn Sie die TLS-Prüfung aktivieren und Regeln basierend auf
ApplicationMatcherfestlegen möchten, müssen Sie eineSessionMatcher-Regel festlegen, die zuTRUEführt. Du kannst beispielsweise diehost() == "myownpersonaldomain.com"-Regel in derSessionMatcherverwenden und dann dierequest.host() == "myownpersonaldomain.com"-Regel in derApplicationMatcherhinzufügen.Der Secure Web Proxy validiert zuerst den
SessionMatcheranhand des SNI-Headers in der ausgehenden Anfrage. Nur wenn dieSessionMatcher-Regel gültig ist, prüft der sichere Webproxy dieApplicationMatcher-Regeln.