Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Richtlinien und Regeln

Auf dieser Seite wird erläutert, wie Sie Regeln für Ihren ausgehenden Webtraffic mit Secure Web Proxy konfigurieren. Sie können anhand verschiedener Kriterien steuern, welcher Traffic zugelassen oder abgelehnt wird, damit nur autorisierter Traffic Ihr Netzwerk verlässt. Secure Web Proxy bietet zwei primäre Mechanismen zum Definieren dieser Steuerelemente: Autorisierungsrichtlinien und Gateway-Sicherheitsrichtlinien.

Autorisierungsrichtlinien bieten einen flexiblen Rahmen zum Sichern Ihres ausgehenden Traffics. Mit diesen Richtlinien können Sie detaillierte Steuerelemente aktivieren, darunter identitätsbasierte und inhaltsbasierte Richtlinien. Außerdem können Sie die Delegierung an externe Autorisierungs-Engines mithilfe von Service Extensions unterstützen.

Gateway-Sicherheitsrichtlinien sind die Grundlage für die Definition von Sicherheitsregeln in Secure Web Proxy. Sie lassen Anfragen basierend auf der Quellidentität, z. B. Dienstkonten oder sicheren Tags, und Zielattributen wie URL-Listen zu oder lehnen sie ab.

Passenden Richtlinientyp verwenden

Mit Secure Web Proxy können Sie ausgehenden Traffic entweder mit einer Autorisierungsrichtlinie oder einer Gateway-Sicherheitsrichtlinie verwalten. Sie können nicht beide Richtlinientypen für dasselbe Gateway verwenden.

Wählen Sie einen Richtlinientyp aus, der Ihren Anforderungen entspricht:

Autorisierungsrichtlinie: Verwenden Sie diesen Richtlinientyp für Funktionen wie benutzerdefinierte Autorisierungserweiterungen mit Service Extensions oder Frontend-mTLS.

Wenn Sie diese Funktionen für ein vorhandenes Deployment übernehmen möchten, müssen Sie Ihre Regeln für ausgehenden Traffic aus Ihrer Gateway-Sicherheitsrichtlinie zu einer Autorisierungsrichtlinie migrieren.

Achtung :Bevor Sie Ihre Regeln migrieren, müssen Sie prüfen, ob Autorisierungsrichtlinien alle erforderlichen Abgleichskriterien unterstützen. Beispielsweise werden URL-Listen in Autorisierungsrichtlinien nicht unterstützt.
Gateway-Sicherheitsrichtlinie: Verwenden Sie diesen Richtlinientyp, wenn Sie entweder eine standardmäßige Filterung auf Verbindungsebene basierend auf der Quellidentität und den Zielattributen oder URL-Listen in Ihrer Richtlinie benötigen. Gateway-Sicherheitsrichtlinien unterstützen keine Funktionen wie benutzerdefinierte Autorisierungserweiterungen oder Frontend-mTLS.

Autorisierungsrichtlinien

Mit Autorisierungsrichtlinien können Sie identitätsbasierte Zugriffssteuerungsprüfungen einrichten, wenn ausgehende Anfragen über Secure Web Proxy verarbeitet werden. Sie können Autorisierungsrichtlinien (AuthzPolicy) konfigurieren, um die Identität einer Quellarbeitslast oder eines Agents zu validieren, der auf das Internet zugreift.

Mit einer Autorisierungsrichtlinie können Sie Bedingungen festlegen, um die Autorisierung von Anfragen basierend auf ihrer Quelle, ihrem Ziel und anderen Anfrageattributen zuzulassen, abzulehnen oder zu delegieren. Anfragen, die diese Prüfungen bestehen, werden an das Webziel weitergeleitet. Fehlgeschlagene Anfragen werden mit dem Fehler 403 Forbidden abgelehnt.

Für Secure Web Proxy können Sie Autorisierungsrichtlinien an Ihre Gateway-Ressource anhängen, um den Sicherheitsperimeter für Ihren ausgehenden Traffic zu definieren und Autorisierungsrichtlinienregeln in Secure Web Proxy auszuwerten. Außerdem können Sie Secure Web Proxy so konfigurieren, dass Autorisierungsentscheidungen mithilfe von Service Extensions (Autorisierungserweiterungen) an eine externe Autorisierungs-Engine delegiert werden.

Weitere Informationen zum Konfigurieren von Autorisierungsrichtlinien finden Sie unter Autorisierungsrichtlinien für Secure Web Proxy einrichten.

Autorisierungsrichtlinien bieten gegenüber Standard-Gateway-Sicherheitsrichtlinien die folgenden Vorteile:

Einheitliche Richtlinienoberfläche: Verwenden Sie die einheitliche AuthzPolicy-API, um die Traffic-Autorisierung für Secure Web Proxy zusammen mit anderen Diensten wie Application Load Balancer und Cloud Service Mesh (CSM) zu verwalten.
Unterstützung von Service Extensions: Mit Service Extensions können Sie Autorisierungsentscheidungen an Ihre benutzerdefinierte Logik delegieren. Sie können Autorisierungserweiterungen verwenden, um die Autorisierung auf Anfrageebene (basierend auf Headern, Identität usw.) und die Bereinigung von Inhalten (z. B. Schutz sensibler Daten oder Bedrohungserkennung) durchzuführen.
Identitätsorientierte Sicherheit: Autorisierungsrichtlinien unterstützen zwar weiterhin IP-basierte Regeln, bieten aber einen robusteren Sicherheitsstatus, da Sie Kontrollen basierend auf der Identität erzwingen können. Sie können Ihren Sicherheitsbereich mit Dienstkonten, Tags oder gegenseitigem Frontend-TLS definieren. Sie können auch Service Extensions verwenden, um Autorisierungsentscheidungen an identitätsbasierte Dienste wie Identity-Aware Proxy zu delegieren.

Gateway-Sicherheitsrichtlinien und ‑regeln

Eine Gateway-Sicherheitsrichtlinie ist das zentrale Sicherheitselement, das Zugriffssteuerungen für den gesamten ausgehenden Webtraffic definiert.

Gateway-Sicherheitsrichtlinien umfassen die folgenden Hauptfunktionen:

Richtliniensteuerung: Eine Richtlinie enthält die Gateway-Sicherheitsregeln, die der Proxy verwendet, um eine Webanfrage zuzulassen oder abzulehnen. Sie können eine einzelne Richtlinie erstellen und sie für mehrere Secure Web Proxy-Instanzen wiederverwenden, um Ihre Sicherheitsregeln konsistent und effizient zu halten.
Standardmäßig sicher: Gateway-Sicherheitsrichtlinien sind standardmäßig deny-all. Der Proxy blockiert jede HTTP- und HTTPS-Anfrage, bis Sie eine bestimmte Regel erstellen, um sie zuzulassen. So wird von Anfang an eine Zero-Trust-Architektur erzwungen.
Richtlinienlogik: Jede Richtlinie basiert auf zwei Kernprüfungen: Ermitteln der Traffic-Quelle und Überprüfen des zulässigen Ziels.

Eine Gateway-Sicherheitsregel ist eine Anweisung in einer Gateway-Sicherheitsrichtlinie, die die endgültige Aktion (zulassen oder ablehnen) abgleicht und definiert.

Ihre Secure Web Proxy-Instanz wertet Regeln anhand der Priorität aus. Dabei wird zuerst die niedrigste Zahl geprüft. Der Proxy stoppt und reagiert auf die erste Regel, die der Anfrage entspricht.

Session Matcher: prüft grundlegende Informationen zur Netzwerkverbindung während der Einrichtung. Session Matcher umfasst die folgenden Elemente:
- Quellidentität (Dienstkonto oder sicheres Tag)
- Ziel-Hostname (der Domainname)
- Zielport
Application Matcher: prüft den Inhalt der eigentlichen Webanfrage. Sie wird in der Regel verwendet, um eine detaillierte Kontrolle zu ermöglichen, und erfordert eine TLS-Prüfung, um verschlüsselten Traffic zu prüfen. Application Matcher umfasst die folgenden Elemente:
- Vollständiger URL-Pfad
- Anfragemethode: Sie können beispielsweise alle DELETE-Aktionen blockieren.
- Spezifische HTTP-Header

Beschränkungen

Wenn Sie Richtlinien in Secure Web Proxy konfigurieren, gelten die folgenden Einschränkungen:

Gateway-Sicherheitsrichtlinien: Diese Richtlinien unterstützen keine Autorisierungserweiterungen. Erweiterte Funktionen wie die Verwendung benutzerdefinierter Logik oder die Übertragung von Autorisierungsentscheidungen an externe Dienste sind nur über Autorisierungsrichtlinien verfügbar.
Autorisierungsrichtlinien: Diese Richtlinien unterstützen keine URL-Listen oder den Abgleich von URL-Strings mit regulären Ausdrücken.