Pasos iniciales para la configuración

En este documento, se describen los pasos de configuración iniciales necesarios para usar Secure Web Proxy.

Obtén roles y permisos de IAM

Para obtener los permisos que necesitas para aprovisionar una instancia de Secure Web Proxy, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o de otros roles predefinidos.

Opcional: Si tienes un conjunto de usuarios responsables de administrar las políticas de seguridad de la organización de Compute Engine, otórgales el rol de administrador de políticas de seguridad de Compute para la organización (roles/compute.orgSecurityPolicyAdmin).

Para obtener más información sobre los roles y los permisos de los proyectos, consulta lo siguiente:

Crear un proyecto de Google Cloud

Para crear o seleccionar un proyecto de Google Cloud , sigue estos pasos:

Console

  1. En la consola de Google Cloud , ve a la página del selector de proyectos.

    Ir al selector de proyectos

  2. Crea un Google Cloud proyecto o selecciona uno existente.

gcloud

Puedes seguir uno de estos pasos:

  • Para crear un proyecto Google Cloud , usa el comando gcloud projects create.

    gcloud projects create PROJECT_ID

    Reemplaza PROJECT_ID por un ID del proyecto único.

  • Para seleccionar un proyecto Google Cloud existente, usa el comando gcloud config set.

    gcloud config set project PROJECT_ID

Habilitar facturación

Asegúrate de tener habilitada la facturación para tu proyecto de Google Cloud . Para obtener más información, consulta Habilita, inhabilita o cambia la facturación de un proyecto y Verifica el estado de la facturación de tus proyectos.

Habilite las API necesarias

Console

  1. En la consola de Google Cloud , ve a la página Habilita el acceso a las APIs.

    Ir a Habilita el acceso a las APIs

    Sigue las instrucciones para habilitar estas APIs obligatorias: API de Compute Engine, API de Certificate Manager, API de Network Services y API de Network Security.

  2. Opcional: Si planeas configurar la inspección de TLS para tu proxy, debes habilitar la API de Certificate Authority Service.

    Ir a Habilita el acceso a la API

gcloud

Para habilitar las APIs Google Cloud requeridas, usa el comandogcloud services enable.

    gcloud services enable \
        --compute.googleapis.com \
        --certificatemanager.googleapis.com \
        --networkservices.googleapis.com \
        --networksecurity.googleapis.com \
        --privateca.googleapis.com

Opcional: Si planeas configurar la inspección de TLS para tu proxy, debes habilitar la API de Certificate Authority Service (privateca.googleapis.com).

Crea una subred de VPC

Crea una subred en la red de VPC para cada región en la que desees implementar tu instancia de Proxy web seguro. Si ya creaste una subred, puedes reutilizarla como una subred de VPC configurando el parámetro purpose en PRIVATE.

gcloud

Para crear una subred, usa el comando gcloud compute networks subnets create.

gcloud compute networks subnets create VPC_SUBNET_NAME \
    --purpose=PRIVATE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Reemplaza lo siguiente:

  • VPC_SUBNET_NAME: Es el nombre de tu subred de VPC.
  • REGION: Región en la que deseas implementar tu subred de VPC
  • NETWORK_NAME: Es el nombre de tu red de VPC.
  • IP_RANGE: rango de subred, como 10.10.10.0/24

Crea una subred de proxy

Crea una subred de proxy para cada región en la que deseas implementar tu instancia del Proxy web seguro.

Te recomendamos que crees un tamaño de subred de /23, que puede almacenar hasta 512 direcciones de solo proxy. El Proxy web seguro usa este rango para asignar un grupo exclusivo de direcciones IP únicas. Este grupo reservado ayuda a garantizar que el proxy tenga capacidad suficiente para controlar el ajuste de escala y, además, interactuar de forma segura con Cloud NAT y los destinos en tu red de VPC.

gcloud

Para crear una subred de proxy, usa el comando gcloud compute networks subnets create.

gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Reemplaza lo siguiente:

  • PROXY_SUBNET_NAME: Es el nombre de tu subred de proxy.
  • REGION: Región en la que deseas implementar la subred del proxy
  • NETWORK_NAME: Es el nombre de tu red de VPC.
  • IP_RANGE: rango de subred, como 192.168.0.0/23

Implementa un certificado TLS

Dado que la función predeterminada y más básica del proxy web seguro (aplicación de políticas sin inspección profunda) no requiere certificados de seguridad de la capa de transporte (TLS), los certificados TLS (anteriormente SSL) son opcionales para el proxy web seguro.

Los certificados TLS solo son necesarios para el proxy web seguro cuando los clientes (las cargas de trabajo, las aplicaciones o los dispositivos dentro de tu red) se conectan al proxy a través de HTTPS. Para obtener más información, consulta Descripción general de certificados SSL.

Para implementar certificados TLS con el Administrador de certificados, sigue cualquiera de estos métodos:

En el siguiente ejemplo, se muestra cómo implementar un certificado autoadministrado regional con Certificate Manager:

  1. Crea un certificado TLS.

    openssl req -x509 -newkey rsa:2048 \
    -keyout KEY_PATH \
    -out CERTIFICATE_PATH -days 365 \
    -subj '/CN=SWP_HOST_NAME' -nodes -addext \
    "subjectAltName=DNS:SWP_HOST_NAME"

    Reemplaza lo siguiente:

    • KEY_PATH: Ruta de acceso en la que se guardará la clave privada, como ~/key.pem
    • CERTIFICATE_PATH: Ruta de acceso en la que se guardará el certificado, como ~/cert.pem
    • SWP_HOST_NAME: Es el nombre de host de tu instancia de Secure Web Proxy, como myswp.example.com.

  2. Sube el certificado TLS al Administrador de certificados

  3. Implementa el certificado TLS en un balanceador de cargas

¿Qué sigue?