Étapes de configuration initiale

Ce document décrit les étapes de configuration initiale requises pour utiliser Secure Web Proxy.

Obtenir des rôles et des autorisations IAM

Pour obtenir les autorisations nécessaires pour provisionner une instance Secure Web Proxy, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

• Pour configurer des règles et provisionner une instance Secure Web Proxy : Rôle d'administrateur réseau Compute (roles/compute.networkAdmin)
• Pour importer des certificats TLS Secure Web Proxy explicites : Rôle Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Facultatif : Si vous avez un ensemble d'utilisateurs responsables de la gestion de vos règles de sécurité de l'organisation Compute Engine, accordez-leur le rôle Administrateur des règles de sécurité de l'organisation Compute (roles/compute.orgSecurityPolicyAdmin).

Pour en savoir plus sur les rôles et les autorisations des projets, consultez les articles suivants :

• Documentation sur Identity and Access Management
• Documentation sur l'API Compute Engine
• Documentation sur l'API Cloud Monitoring

Créez un projet Google Cloud

Pour créer ou sélectionner un projet Google Cloud  :

Activer la facturation

Assurez-vous que la facturation est activée pour votre projet Google Cloud . Pour en savoir plus, consultez Activer, désactiver ou modifier la facturation pour un projet et Vérifier l'état de facturation de vos projets.

Activer les API requises

    gcloud services enable \
        --compute.googleapis.com \
        --certificatemanager.googleapis.com \
        --networkservices.googleapis.com \
        --networksecurity.googleapis.com \
        --privateca.googleapis.com

Créer un sous-réseau VPC

Créez un sous-réseau dans le réseau VPC pour chaque région dans laquelle vous souhaitez déployer votre instance Secure Web Proxy. Si vous avez déjà créé un sous-réseau, vous pouvez le réutiliser en tant que sous-réseau VPC en définissant le paramètre purpose sur PRIVATE.

gcloud compute networks subnets create VPC_SUBNET_NAME \
    --purpose=PRIVATE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Créer un sous-réseau proxy

Créez un sous-réseau proxy pour chaque région dans laquelle vous souhaitez déployer votre instance de proxy Web sécurisé.

Nous vous recommandons de créer un sous-réseau de taille /23, qui peut stocker jusqu'à 512 adresses proxy réservées. Secure Web Proxy utilise cette plage pour allouer un pool dédié d'adresses IP uniques. Ce pool réservé permet de s'assurer que le proxy dispose d'une capacité suffisante pour gérer la mise à l'échelle et interagir de manière sécurisée avec Cloud NAT et les destinations de votre réseau VPC.

gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Déployer un certificat TLS

Étant donné que la fonction par défaut et la plus élémentaire du proxy Web sécurisé (application des règles sans inspection approfondie) ne nécessite pas de certificats TLS (Transport Layer Security), les certificats TLS (anciennement SSL) sont facultatifs pour le proxy Web sécurisé.

Les certificats TLS ne sont requis pour le Secure Web Proxy que lorsque les clients (c'est-à-dire les charges de travail, les applications ou les appareils de votre réseau) se connectent au proxy à l'aide du protocole HTTPS. Pour en savoir plus, consultez la page Présentation des certificats SSL.

Pour déployer des certificats TLS à l'aide du gestionnaire de certificats, suivez l'une des méthodes suivantes :

• Déployer un certificat régional géré par Google avec une autorisation DNS par projet

• Déployer un certificat régional géré par Google avec Certificate Authority Service

• Déployer un certificat autogéré au niveau régional

L'exemple suivant montre comment déployer un certificat autogéré régional à l'aide de Certificate Manager :

1. Créez un certificat TLS.

   openssl req -x509 -newkey rsa:2048 \
       -keyout KEY_PATH \
       -out CERTIFICATE_PATH -days 365 \
       -subj '/CN=SWP_HOST_NAME' -nodes -addext \
       "subjectAltName=DNS:SWP_HOST_NAME"
   

   Remplacez les éléments suivants :

   • KEY_PATH : chemin d'accès où enregistrer la clé privée, par exemple ~/key.pem
   • CERTIFICATE_PATH : chemin d'accès dans lequel enregistrer le certificat, par exemple ~/cert.pem
   • SWP_HOST_NAME : nom d'hôte de votre instance Secure Web Proxy, tel que myswp.example.com

2. Importer le certificat TLS dans le gestionnaire de certificats

3. Déployer le certificat TLS sur un équilibreur de charge

Étapes suivantes

• Créer et déployer une instance Secure Web Proxy
• Activer l'inspection TLS
• Créer une règle
• Configurer des règles