このページでは、Secure Web Proxy を使用して下り(外向き)ウェブ トラフィックのルールを構成する方法について説明します。さまざまな条件に基づいて、許可または拒否するトラフィックを制御し、承認されたトラフィックのみがネットワークから送信されるようにします。Secure Web Proxy には、これらの制御を定義するための主なメカニズムが 2 つあります。 認可ポリシーと ゲートウェイ セキュリティ ポリシーです。
認可ポリシーは、下り(外向き)トラフィックを保護するための柔軟なフレームワークを提供します。これらのポリシーを使用して、ID ベースのポリシーやコンテンツ ベースのポリシーなどのきめ細かい 制御を有効にできます。また、Service Extensions を使用して、外部認可エンジンへの委任を サポートすることもできます。
ゲートウェイ セキュリティ ポリシーは、Secure Web Proxy でセキュリティ ルールを定義するための基盤となります。サービス アカウント や セキュアタグなどのソース ID と、URL リストなどの宛先 属性に基づいてリクエストを許可または拒否します。
適切なポリシータイプを使用する
Secure Web Proxy では、認可ポリシーまたはゲートウェイ セキュリティ ポリシーを使用して下り(外向き)トラフィックを管理できます。同じゲートウェイで両方のポリシータイプを使用することはできません。
要件に基づいてポリシータイプを選択します。
認可ポリシー: Service Extensions を使用したカスタム認可拡張機能やフロントエンド mTLS などの機能には、このポリシータイプを使用します。
既存のデプロイメントでこれらの機能を採用する場合は、 ゲートウェイ セキュリティ ポリシーから認可ポリシーに下り(外向き)トラフィックのルールを移行する必要があります。
ゲートウェイ セキュリティ ポリシー: ポリシーで ソース ID と宛先 属性に基づく標準の接続レベルのフィルタリングまたは URL リストが必要な場合は、このポリシータイプを使用します。ゲートウェイ セキュリティ ポリシーは、カスタム認可拡張機能やフロントエンド mTLS などの機能の使用をサポートしていません。
認可ポリシー
認可ポリシー
を使用すると、ID ベースのアクセス制御チェックを確立できます
。Secure Web Proxy を介して下り(外向き)リクエストを処理するときに。認可ポリシー(AuthzPolicy)を構成して、インターネットにアクセスするソース ワークロードまたはエージェントの ID を検証できます。
認可ポリシーを使用すると、リクエストのソース、宛先、その他のリクエスト属性に基づいて、リクエストの認可を許可、拒否、または委任する条件を指定できます。これらのチェックに合格したリクエストは、ウェブの宛先に転送されます。失敗したリクエストは 403 Forbidden エラーで拒否されます。
Secure Web Proxy の場合、認可ポリシーをゲートウェイ リソースにアタッチして、下り(外向き)トラフィックのセキュリティ境界を定義し、Secure Web Proxy で認可ポリシールールを評価できます。また、 Service Extensions(認可 拡張機能)を使用して、認可の決定を外部認可エンジンに委任するように Secure Web Proxy を 構成することもできます。
認可ポリシーを構成する方法の詳細については、 Secure Web Proxy の認可ポリシーを設定するをご覧ください。
認可ポリシーには、標準の ゲートウェイ セキュリティ ポリシーよりも次の利点があります。
一貫したポリシー サーフェス: 統合された
AuthzPolicyAPI を使用して、 Secure Web Proxy のトラフィック認可を、アプリケーション ロードバランサや Cloud Service Mesh(CSM)などの他のサービスとともに管理します。Service Extensions のサポート: Service Extensions を使用して、認可の決定をカスタム ロジックに委任します。認可拡張機能を使用して、リクエスト レベルの認可(ヘッダー、ID などに基づく)とコンテンツのサニタイズ(機密データの保護や脅威の検出など)を実行できます。
ID 中心のセキュリティ: 認可ポリシーは、IP ベースのルールをサポートしながら、 ID に基づいて制御を適用することで、 より堅牢なセキュリティ体制を提供します。サービス アカウント、タグ、またはフロントエンドの相互 TLS を使用して、セキュリティ境界を定義できます。また、 Service Extensions を使用して、認可の決定を Identity-Aware Proxy などの ID ベースのサービスに委任することもできます。
ゲートウェイ セキュリティ ポリシーとルール
ゲートウェイ セキュリティ ポリシーは、すべての下り(外向き)ウェブ トラフィックのアクセス制御を定義する コア セキュリティ アイテムです。
ゲートウェイ セキュリティ ポリシーには、次の主な機能があります。
ポリシー制御: ポリシーには、プロキシがウェブ リクエストを許可または拒否するために使用するゲートウェイ セキュリティ ルールが含まれています。単一のポリシーを作成し、複数の Secure Web Proxy インスタンスで再利用して、セキュリティ ルールの一貫性と 効率性を維持できます。
デフォルトで安全性を確保: ゲートウェイ セキュリティ ポリシーは、
deny-allデフォルトです。許可する特定のルールを作成するまで、プロキシはすべての HTTP リクエストと HTTPS リクエストをブロックします。これにより、最初からゼロトラスト アーキテクチャが適用されます。ポリシー ロジック: すべてのポリシーは、トラフィック ソースの特定 と許可された宛先の検証という 2 つのコアチェックに基づいて構築されています。
ゲートウェイ セキュリティ ルールは、ゲートウェイ セキュリティ ポリシーの 指示であり、最終的なアクション( 許可または拒否)を照合して定義します。
Secure Web Proxy インスタンスは、優先度に基づいてルールを評価します。数値が小さいものから先にチェックされます。プロキシは、リクエストに一致する最初のルールで停止して処理を行います。
Session Matcher: ネットワーク接続の設定時に、ネットワーク接続に関する基本情報をチェックします。Session Matcher には次の項目が含まれます。
- ソース ID(サービス アカウントまたはセキュアタグ)
- 宛先ホスト名(ドメイン名)
- 宛先ポート
Application Matcher: 実際のウェブ リクエストのコンテンツを検査します。通常、きめ細かい制御を確保するために使用され、暗号化されたトラフィックをチェックするには TLS インスペクションが必要です。Application Matcher には次の項目が含まれます。
- 完全な URL パス
- リクエスト メソッド(例: すべての
DELETEアクションをブロックする) - 特定の HTTP ヘッダー
制限事項
Secure Web Proxy でポリシーを構成する場合、次の制限が適用されます。
ゲートウェイ セキュリティ ポリシー: これらのポリシーは認可拡張機能をサポートしていません。 カスタム ロジックの使用や、認可の決定を外部サービスに委任するなどの高度な機能は、認可ポリシーでのみ使用できます。
認可ポリシー: これらのポリシーは、URL 文字列の URL リストまたは正規表現 (regex)照合をサポートしていません。