Este documento descreve as etapas de configuração inicial necessárias para usar o Secure Web Proxy.
Receber permissões e papéis do IAM
Para receber as permissões necessárias para provisionar uma instância do Secure Web Proxy, peça ao administrador para conceder a você os seguintes papéis do IAM no seu projeto:
- Para configurar políticas e provisionar uma instância do Secure Web Proxy:
Papel de administrador de rede do Compute
(
roles/compute.networkAdmin) - Para fazer upload de certificados TLS explícitos do Secure Web Proxy:
Papel de editor do Gerenciador de certificados
(
roles/certificatemanager.editor)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
Opcional: se você tiver um conjunto de usuários responsáveis por gerenciar as políticas de segurança da organização do Compute Engine, conceda a eles o papel de Administrador de políticas de segurança da organização do Compute (roles/compute.orgSecurityPolicyAdmin).
Para mais informações sobre papéis e permissões de projeto, consulte:
- Documentação do Identity and Access Management.
- Documentação da API Compute Engine
- Documentação da API Cloud Monitoring
Crie um projeto do Google Cloud .
Para criar ou selecionar um projeto do Google Cloud , siga estas etapas:
Console
No console do Google Cloud , acesse a página Seletor de Projetos.
Crie um Google Cloud projeto ou selecione um projeto atual.
gcloud
Siga uma destas etapas:
Para criar um projeto Google Cloud , use o comando
gcloud projects create.gcloud projects create PROJECT_IDSubstitua
PROJECT_IDpor um ID exclusivo do projeto.Para selecionar um projeto Google Cloud , use o comando
gcloud config set.gcloud config set project PROJECT_ID
Ativar faturamento
Verifique se o faturamento foi ativado para o projeto Google Cloud . Para mais informações, consulte Ativar, desativar ou alterar o faturamento de um projeto e Verificar o status de faturamento dos seus projetos.
Ative as APIs necessárias
Console
No console do Google Cloud , acesse a página Ativar acesso às APIs.
Acessar "Ativar o acesso às APIs"
Siga as instruções para ativar estas APIs obrigatórias: API Compute Engine, API Certificate Manager, API Network Services e API Network Security.
Opcional: se você planeja configurar a inspeção TLS para seu proxy, ative a API Certificate Authority Service.
gcloud
Para ativar as APIs Google Cloud necessárias, use o
comandogcloud services enable.
gcloud services enable \
--compute.googleapis.com \
--certificatemanager.googleapis.com \
--networkservices.googleapis.com \
--networksecurity.googleapis.com \
--privateca.googleapis.com
Opcional: se você planeja configurar a inspeção TLS para seu proxy, ative a API Certificate Authority Service (privateca.googleapis.com).
Criar uma sub-rede VPC
Crie uma sub-rede na rede VPC para cada região em que você
quer implantar a instância do Secure Web Proxy. Se você já tiver criado uma
sub-rede, poderá reutilizá-la como uma sub-rede VPC definindo o parâmetro
purpose como PRIVATE.
gcloud
Para criar uma sub-rede, use o
comando gcloud compute networks subnets create.
gcloud compute networks subnets create VPC_SUBNET_NAME \
--purpose=PRIVATE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Substitua:
VPC_SUBNET_NAME: nome da sub-rede da VPC.REGION: região em que você quer implantar sua sub-rede da VPCNETWORK_NAME: nome da rede VPC.IP_RANGE: intervalo de sub-rede, como10.10.10.0/24
Criar uma sub-rede de proxy
Crie uma sub-rede de proxy para cada região em que você quer implantar a instância do Secure Web Proxy.
Recomendamos criar uma sub-rede de tamanho /23, que pode armazenar até 512 endereços somente proxy. O Secure Web Proxy usa esse intervalo para alocar um pool dedicado de endereços IP exclusivos. Esse pool reservado ajuda a garantir
que o proxy tenha capacidade suficiente para lidar com o escalonamento
e interagir com segurança com o Cloud NAT e os destinos na sua
rede VPC.
gcloud
Para criar uma sub-rede de proxy, use o
comando gcloud compute networks subnets create.
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Substitua:
PROXY_SUBNET_NAME: nome da sub-rede de proxyREGION: região em que você quer implantar a sub-rede de proxyNETWORK_NAME: nome da rede VPC.IP_RANGE: intervalo de sub-rede, como192.168.0.0/23
Implantar um certificado TLS
Como a função padrão e mais básica do Secure Web Proxy (aplicação de políticas sem inspeção detalhada) não exige certificados Transport Layer Security (TLS), os certificados TLS (antigamente SSL) são opcionais para o Secure Web Proxy.
Os certificados TLS são necessários para o Secure Web Proxy somente quando os clientes (as cargas de trabalho, aplicativos ou dispositivos na sua rede) se conectam ao proxy usando HTTPS. Para mais informações, consulte a visão geral dos certificados SSL.
Para implantar certificados TLS usando o Gerenciador de certificados, siga um destes métodos:
Implantar um certificado regional gerenciado pelo Google com autorização de DNS por projeto
Implantar um certificado regional gerenciado pelo Google com o Certificate Authority Service
O exemplo a seguir mostra como implantar um certificado autogerenciado regional usando o Gerenciador de certificados:
Crie um certificado TLS.
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Substitua:
KEY_PATH: caminho para salvar a chave privada, como~/key.pemCERTIFICATE_PATH: o caminho para salvar o certificado, como~/cert.pem.SWP_HOST_NAME: nome do host da sua instância do Secure Web Proxy, comomyswp.example.com
Fazer upload do certificado TLS para o Gerenciador de certificados
A seguir
- Criar e implantar uma instância do Secure Web Proxy
- Ativar a inspeção TLS
- Criar uma política
- Configurar regras