Halaman ini menjelaskan atribut sumber dan atribut tujuan untuk kebijakan Proxy Web Aman. Selain itu, halaman ini menjelaskan proxy berbasis aturan Transmission Control Protocol (TCP) dan cara mengonfigurasi aturan proxy TCP untuk aplikasi Anda.
Kebijakan Secure Web Proxy didasarkan pada dua parameter berikut:
- Sumber traffic: untuk mengidentifikasi sumber traffic, Secure Web Proxy menggunakan atribut seperti akun layanan, tag aman, dan alamat IP.
- Tujuan yang diizinkan: untuk menentukan tujuan yang diizinkan, Secure Web Proxy menggunakan domain tujuan, jalur URL lengkap (jika pemeriksaan TLS diaktifkan), daftar URL, atau port tujuan.
Secara default, Secure Web Proxy ditetapkan sedemikian rupa untuk menolak traffic web keluar (HTTP atau HTTPS) melalui proxy, kecuali jika Anda menyertakan aturan tertentu dalam kebijakan instance Secure Web Proxy.
Atribut sumber untuk kebijakan
Gunakan atribut berikut agar instance Secure Web Proxy Anda dapat mengidentifikasi sumber traffic:
- Akun layanan: menggunakan akun layanan untuk mengidentifikasi sumber traffic dan mengonfigurasi kebijakan Secure Web Proxy.
- Tag aman: gunakan tag Resource Manager untuk mengontrol akses ke resource Google Cloud Anda.
- Alamat IP: menetapkan alamat IP perusahaan (atau alamat IP Google Cloud statis) yang digunakan Secure Web Proxy untuk traffic keluar.
Identitas yang didukung
Anda dapat menggunakan kebijakan keamanan berbasis identitas sumber (akun layanan dan tag aman) untuk mengamankan traffic web untuk beberapa layanan Google Cloud . Tabel berikut menunjukkan apakah berbagai layanan Google Cloud didukung saat menggunakan kebijakan keamanan berbasis identitas sumber.
| layananGoogle Cloud | Dukungan akun layanan | Dukungan tag aman |
|---|---|---|
| VM | ||
| Node GKE | ||
| Penampung GKE | 1 | 1 |
| VPC Langsung untuk Cloud Run | 1 | |
| Konektor Akses VPC Serverless | 2 | 2 |
| Cloud VPN | 1 | 1 |
| Cloud Interconnect di lokasi Anda | 1 | 1 |
| Load Balancer Aplikasi | ||
| Network Load Balancer |
2 Alamat IP sumber bersifat unik dan dapat digunakan sebagai gantinya.
Tabel berikut menunjukkan apakah berbagai arsitektur Virtual Private Cloud (VPC) didukung saat menggunakan kebijakan keamanan berbasis identitas sumber:
| VPC | Arsitektur VPC | Dukungan |
|---|---|---|
| Dalam VPC | Lintas project (VPC Bersama) | |
| Dalam VPC | Lintas region | |
| VPC Lintas | Link peering silang (VPC peer) | |
| VPC Lintas | Private Service Connect Lintas | |
| VPC Lintas | Spoke lintas Network Connectivity Center |
Atribut tujuan untuk kebijakan
Dengan Secure Web Proxy, Anda dapat mengonfigurasi kebijakan untuk aplikasi berdasarkan domain tujuan dan jalur URL lengkap (jika pemeriksaan TLS diaktifkan).
Gunakan atribut berikut untuk memungkinkan instance Secure Web Proxy menentukan tujuan traffic yang diizinkan:
- Port tujuan: port upstream tempat instance Secure Web Proxy Anda mengirim traffic.
Untuk mengetahui informasi selengkapnya, lihat Atribut yang tersedia untuk
SessionMatcherdanApplicationMatcher. - Daftar URL: gunakan daftar URL untuk menentukan URL yang dapat diakses pengguna Anda. Untuk informasi selengkapnya, lihat Daftar URL.
Untuk traffic tujuan berbasis HTTP, Anda dapat menggunakan atribut tujuan host() untuk aplikasi Anda.
Selain itu, untuk traffic tujuan berbasis HTTPS, Anda dapat menggunakan berbagai atribut terkait tujuan request.* (seperti request.method) untuk aplikasi Anda.
Untuk informasi selengkapnya tentang atribut tujuan yang dapat Anda gunakan untuk traffic HTTP dan HTTPS, lihat Atribut.
Aturan proxy TCP
Dengan instance Secure Web Proxy, Anda dapat mengonfigurasi aturan proxy untuk
traffic Transmission Control Protocol (TCP), termasuk traffic yang tidak
dikaitkan dengan protokol web. Misalnya, Anda dapat memilih untuk mengizinkan atau
memblokir traffic situs atau aplikasi yang mengirim traffic dari port apa pun
selain 80 (HTTP) atau 443 (HTTPS).
Jika beban kerja Anda (seperti aplikasi dan layanan) menggunakan Secure Web Proxy sebagai next hop, maka menerapkan aturan proxy TCP akan bermanfaat. Hal ini karena menggunakan proses pengalihan berbasis rute mengarah ke traffic non-HTTP(S) dan non-web ke instance Secure Web Proxy Anda. Dengan begitu, Anda dapat memblokir traffic berbahaya agar tidak menjangkau aplikasi dan mengontrol aplikasi atau situs mana yang dapat mengakses jaringan Anda.
Mengonfigurasi aturan proxy TCP untuk aplikasi Anda
Untuk menerapkan aturan proxy TCP dan membuat aturan traffic izinkan atau blokir untuk
aplikasi, Anda harus menentukan port tujuan. Secara opsional, Anda dapat menyertakan salah satu atribut SessionMatcher berikut untuk menyaring kriteria aturan izinkan atau blokir.
| Atribut | Jenis atribut | Deskripsi |
|---|---|---|
source.ip |
string | Alamat IP klien yang mengirim permintaan. |
source.port |
string | Port klien yang mengirim permintaan. |
destination.port |
string | Port upstream tempat instance Secure Web Proxy Anda mengirim traffic. |
source.matchTag(SECURE_TAG) |
boolean |
Argumennya adalah ID permanen tag aman, seperti
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
boolean | True, jika sumber dikaitkan dengan
SERVICE_ACCOUNT, seperti
source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inIpRange(IP_ADDRESS, |
boolean | True, jika IP_ADDRESS
terdapat dalam IP_RANGE, seperti
inIpRange(source.ip, '1.2.3.0/24'). Mask subnet
untuk alamat IPv6 tidak boleh lebih besar dari /64.
|
Batasan
Secure Web Proxy tidak mendukung kemampuan untuk mengonfigurasi aturan proxy TCP untuk aplikasi User Datagram Protocol (UDP). Akibatnya, Secure Web Proxy memblokir traffic aplikasi berbasis UDP.
Aturan pencocokan host
Saat mengonfigurasi aturan keluar untuk instance Secure Web Proxy, pastikan untuk menentukan aturan bergantung pada host tujuan permintaan keluar. Anda juga harus mempertimbangkan cara kerja pencocokan host berdasarkan mode deployment instance Secure Web Proxy Anda.
Mode proxy eksplisit
Untuk permintaan HTTP yang tidak dienkripsi, Anda dapat menggunakan aturan
host() == "myownpersonaldomain.com"diSessionMatcher. Secure Web Proxy memvalidasi aturan ini terhadap kolomhostdi headerCONNECTpermintaan HTTP.Jika ingin mengaktifkan pemeriksaan TLS dan menetapkan aturan berdasarkan
Application Matcher, Anda harus menetapkan aturanSessionMatcheryang dievaluasi menjadiTRUE. Misalnya, Anda dapat menggunakan aturanhost() == "myownpersonaldomain.com"diSessionMatcher, lalu menambahkan aturanrequest.host() == "myownpersonaldomain.com"diApplicationMatcher.Secure Web Proxy pertama-tama memvalidasi
SessionMatcherterhadap kolomhostdi headerCONNECTpermintaan HTTP. Dan hanya jika aturanSessionMatchervalid, Secure Web Proxy akan memeriksa aturanApplicationMatcher.
Mode next hop
Untuk permintaan HTTP yang tidak dienkripsi, Anda dapat menggunakan aturan
host() == "myownpersonaldomain.com"diSessionMatcher. Secure Web Proxy memvalidasi aturan ini terhadap kolomhostdi header permintaan HTTP standar.Namun, jika permintaan dienkripsi TLS, Secure Web Proxy akan memvalidasi aturan yang sama terhadap header Server Name Indication (SNI) dalam permintaan keluar.
Jika ingin mengaktifkan pemeriksaan TLS dan menetapkan aturan berdasarkan
ApplicationMatcher, Anda harus menetapkan aturanSessionMatcheryang dievaluasi menjadiTRUE. Misalnya, Anda dapat menggunakan aturanhost() == "myownpersonaldomain.com"diSessionMatcher, lalu menambahkan aturanrequest.host() == "myownpersonaldomain.com"diApplicationMatcher.Secure Web Proxy pertama-tama memvalidasi
SessionMatcherterhadap header SNI dalam permintaan keluar. Dan hanya jika aturanSessionMatchervalid, Secure Web Proxy akan memeriksa aturanApplicationMatcher.