En este documento, se explica cómo crear un dominio de Secure Access Connect. Un dominio de Secure Access Connect establece una conexión entre tu Google Cloud proyecto y un servicio de SSE.
Antes de comenzar
Antes de comenzar, haz lo siguiente:
Configura uno de los siguientes servicios de socios de SSE:
Configura la puerta de enlace de NCC y crea un concentrador global
Roles obligatorios
Para obtener los permisos que
necesitas para crear dominios,
pídele a tu administrador que te otorgue el
rol de IAM Administrador de Compute Network (roles/compute.networkAdmin) en el proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Crea un dominio de Secure Access Connect
Para crear un dominio de Secure Access Connect, sigue las instrucciones que corresponden a tu proveedor de SSE.
Prisma Access de Palo Alto Networks
Para crear un dominio, haz lo siguiente.
Console
En la Google Cloud consola, ve a la página Secure Access Connect.
Haz clic en Create Realm.
Ingresa un nombre para el dominio que deseas crear.
En el campo Security service, elige Palo Alto Networks Prisma Access.
Haz clic en Crear.
gcloud
Para crear un dominio, ejecuta el
gcloud network-security secure-access-connect realms createcomando:gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=prisma-accessReemplaza
REALM_IDpor un nombre para tu dominio.Para identificar la clave de sincronización del dominio, ejecuta el
gcloud network-security secure-access-connect realms describecomando:gcloud network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_IDReemplaza lo siguiente:
REALM_ID: Es el nombre de tu dominio.PROJECT_ID: Es el ID del proyecto.
El resultado es similar a este:
createTime: '...' name: ... pairingKey: expireTime: '...' key: 12345678-0000-4321-1234-abcdefghijkl securityService: PALO_ALTO_PRISMA_ACCESS state: UNATTACHED updateTime: '...'El campo
keycontiene la clave de sincronización.Usa la clave de sincronización para configurar una Cloud WAN administrada en Prisma Access.
API
Usa el método projects.locations.sacRealms.create.
POST https://networksecurity.googleapis.com/v1/project/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "PALO_ALTO_PRISMA_ACCESS"
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto.REALM_ID: Es el nombre de tu dominio.
Cloud SWG de Symantec
Para crear un dominio, haz lo siguiente.
Console
En la Google Cloud consola, ve a la página Secure Access Connect.
Haz clic en Create Realm.
Ingresa un nombre para el dominio que deseas crear.
En el campo Security service, elige Symantec Cloud SWG.
Si ya tienes la clave secreta de Symantec, en el campo Secret, ingresa la clave secreta de Symantec. Si no tienes la clave secreta, puedes obtenerla siguiendo estos pasos:
- Haz clic en Enter secret manually.
Para almacenar la clave de API en Secret Manager, haz lo siguiente:
Google CloudCrea un secreto en el mismo proyecto en el que deseas crear el dominio.
Agrega una versión del secreto que contenga la clave secreta. No debe haber espacios en blanco adicionales en el contenido del secreto. Usa el siguiente formato:
projects/<var>PROJECT_NUMBER</var>/secrets/<var>SECRET_NAME</var>.
Haz clic en Crear.
gcloud
Si aún no lo hiciste, proporciona la clave de API de Symantec a Secure Access Connect de la siguiente manera:
En Cloud SWG de Symantec, crea una clave de API y establece Access en Location Management.
Para almacenar la clave de API en Secret Manager, haz lo siguiente:
Google CloudCrea un secreto en el mismo proyecto en el que deseas crear el dominio.
Agrega una versión del secreto que contenga la clave de API. No debe haber espacios en blanco adicionales en el contenido del secreto. Usa el siguiente formato:
USERNAME:PASSWORDReemplaza lo siguiente:
USERNAME: Es el nombre de usuario de la clave de API.PASSWORD: Es la contraseña de la clave de API.
Para crear un dominio, ejecuta el
gcloud network-security secure-access-connect realms createcomando:gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=symantec-cloud-swg \ --project=PROJECT_ID \ --symantec-secret=SECRET_IDReemplaza lo siguiente:
REALM_ID: Es un nombre para tu dominio.PROJECT_ID: Es el ID del proyecto.SECRET_ID: Es el ID del secreto que contiene la clave de API.
Para otorgar acceso a la cuenta de servicio de seguridad de red a la clave de API, ejecuta el
gcloud secrets add-iam-policy-bindingcomando:gcloud secrets add-iam-policy-binding SECRET_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessorReemplaza lo siguiente:
SECRET_ID: Es el ID del secreto que contiene la clave de API.PROJECT_NUMBER: Es el número de tu proyecto.
API
Usa el método projects.locations.sacRealms.create.
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "SYMANTEC_CLOUD_SWG",
"symantecOptions": {
"secretPath": "SECRET_ID"
}
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto.REALM_ID: Es un nombre para tu dominio.SECRET_ID: Es el ID del secreto que contiene la clave de API.