Créer et déployer une instance Secure Web Proxy

Ce guide de démarrage rapide explique comment déployer et tester une instance de proxy Web sécurisé. Les étapes décrivent le déploiement de Secure Web Proxy en mode de routage explicite, fonctionnant comme un proxy explicite.

Les instances de proxy Web sécurisé en mode de routage explicite peuvent être déployées en tant que service Private Service Connect. Vous pouvez également déployer Secure Web Proxy en mode de routage du prochain saut.

Le déploiement de Secure Web Proxy en mode de routage explicite comprend les étapes suivantes :

  1. Créez une règle Secure Web Proxy.
  2. Créez des règles de proxy Web sécurisé et ajoutez-les à la stratégie.
  3. Configurez l'instance Secure Web Proxy en mode de routage explicite.
  4. Testez la connectivité à partir d'une instance de machine virtuelle (VM) Linux pour vérifier que le proxy et ses règles fonctionnent correctement.
Déployez Secure Web Proxy en mode de routage de proxy explicite.
Déployer le proxy Web sécurisé en mode de routage de proxy explicite (cliquez pour agrandir)

Avant de commencer

  1. Suivez la procédure de configuration initiale.

  2. Facultatif : Pour exécuter les exemples de ligne de commande gcloud spécifiés dans ce document, installez Google Cloud CLI dans l'un des environnements de développement suivants :

    Cloud Shell

    Pour utiliser un terminal en ligne avec la gcloud CLI déjà configurée, activez Cloud Shell.

    En bas de la page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

    Si vous avez déjà installé la gcloud CLI, assurez-vous de disposer de la dernière version disponible en exécutant la commande gcloud components update.

    Shell local

    Pour utiliser un environnement de développement local, procédez comme suit :

    1. Installer Google Cloud CLI
    2. Initialiser la gcloud CLI

  3. Créez ou sélectionnez un projet Google Cloud .

    Si vous ne comptez pas conserver les ressources créées dans cette procédure, nous vous recommandons de créer un projet au lieu d'en sélectionner un existant. Une fois les étapes de ce guide de démarrage rapide terminées, vous pouvez supprimer le projet pour supprimer toutes les ressources qui lui sont associées.

    Console

    Dans la console Google Cloud , sur la page de sélection du projet, créez un projet Google Cloud ou sélectionnez-en un existant.

    Accéder au sélecteur de projet

    Cloud Shell

    1. Créez un projet Google Cloud .

      gcloud projects create PROJECT_ID

      Remplacez PROJECT_ID par l'ID de projet de votre choix.

    2. Sélectionnez le projet Google Cloud que vous avez créé.

      gcloud config set project PROJECT_ID

  4. Créez une instance de VM Linux.

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Remplacez ZONE par la zone de votre instance de VM de test.

    Compute Engine attribue le rôle d'administrateur d'instance Compute (roles/compute.instanceAdmin) à l'utilisateur qui crée l'instance de VM. Compute Engine ajoute également cet utilisateur au groupe sudo.

  5. Créez une règle de pare-feu.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Rôles requis

Pour effectuer les tâches de ce tutoriel, assurez-vous de disposer des rôles suivants :

Pour en savoir plus, consultez les ressources suivantes :

Créer une règle Secure Web Proxy

Cette section explique comment créer une règle de proxy Web sécurisé. La stratégie peut ensuite servir de conteneur pour toutes les règles de sécurité qui régissent le flux de trafic via le proxy Web sécurisé. Une fois la stratégie créée, vous pouvez créer des règles et les ajouter à la stratégie.

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur Créer une règle.

  3. Dans le champ Nom, saisissez un nom pour la règle, tel que myswppolicy.

  4. Dans le champ Description, saisissez une description de la règle, par exemple My new swp policy.

  5. Pour Régions, sélectionnez la région dans laquelle vous souhaitez créer le règlement, par exemple us-central1.

  6. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles Secure Web Proxy.

  7. Cliquez sur Créer.

Cloud Shell

  1. Utilisez l'éditeur de texte de votre choix pour créer un fichier policy.yaml.

  2. Ajoutez ce qui suit au fichier policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/myswppolicy

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION : région dans laquelle votre stratégie est créée, par exemple us-central1

  3. Créez la règle Secure Web Proxy.

    gcloud network-security gateway-security-policies import myswppolicy \
    --source=policy.yaml \
    --location=REGION

Créer des règles Secure Web Proxy

Cette section décrit en détail les étapes à suivre pour créer des règles de proxy Web sécurisé. Les règles permettent de définir les contrôles d'accès réels pour le trafic Web.

Dans la stratégie que vous avez créée précédemment, vous pouvez définir des règles telles que allow-wikipedia-org. Ces règles spécifient les critères de correspondance des sessions Web (par exemple, la correspondance d'un hôte spécifique tel que www.wikipedia.org), puis autorisent ou refusent le trafic Web.

Console

  1. Dans la console Google Cloud , accédez à la page Règles SWP.

    Accéder aux règles SWP

  2. Cliquez sur le nom de votre règle, par exemple myswppolicy.

  3. Cliquez sur Ajouter une règle.

  4. Pour chaque règle, procédez comme suit :

    1. Dans Priorité, saisissez l'ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée.

    2. Dans le champ Nom, saisissez un nom pour la règle (par exemple, allow-wikipedia-org).

    3. Dans le champ Description, saisissez une description de la règle, par exemple Allow wikipedia.org.

    4. Pour Action, sélectionnez l'une des options suivantes :

      • Autoriser : pour autoriser les demandes de connexion correspondant à la règle.
      • Refuser : pour refuser les demandes de connexion correspondant à la règle.

    5. Pour le champ État, sélectionnez l'une des options suivantes pour l'application des règles :

      • Activé : pour appliquer la règle à votre instance Secure Web Proxy.
      • Désactivé : pour ne pas appliquer la règle à votre instance Secure Web Proxy.

    6. Dans la section Correspondance de session, spécifiez les critères de correspondance de la session, par exemple host() == 'www.wikipedia.org'.

      Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.

    7. Dans la section Correspondance de l'application, spécifiez les critères de correspondance de la requête. Étant donné que nous n'avons pas activé la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.

      Pour en savoir plus sur la mise en correspondance du trafic TCP, consultez Configurer des règles de proxy TCP.

    8. Cliquez sur Créer.

  5. Pour ajouter une autre règle, cliquez sur Ajouter une règle.

Cloud Shell

  1. Utilisez l'éditeur de texte de votre choix pour créer le fichier rule.yaml.

  2. Ajoutez ce qui suit au fichier rule.yaml. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION : région de votre règle
    • RULE_NAME : nom de la règle, par exemple allow-wikipedia-org.

  3. Créez la règle de stratégie de sécurité.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurer un proxy Web

Cette section explique comment déployer Secure Web Proxy en mode de routage explicite, en tant que proxy explicite. Il explique également comment associer la stratégie et les règles précédemment créées à votre instance de proxy Web sécurisé, en veillant à ce que tout le trafic qui y transite soit soumis aux contrôles d'accès définis.

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web.

    Accéder aux proxys Web

  2. Cliquez sur Créer un proxy Web sécurisé.

  3. Dans le champ Nom, saisissez un nom pour le proxy Web, tel que myswp.

  4. Dans le champ Description, saisissez une description du proxy Web, par exemple My new swp.

  5. Pour Mode de routage, sélectionnez l'option Explicite.

  6. Pour Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web, par exemple us-central1.

  7. Pour Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.

  8. Pour Sous-réseau, sélectionnez le sous-réseau VPC que vous avez créé précédemment dans les étapes de configuration initiale.

  9. Facultatif : Dans le champ Adresse IP du proxy Web, saisissez l'adresse IP du proxy Web sécurisé.

    Vous pouvez saisir une adresse IP de la plage d'adresses IP du proxy Web sécurisé qui se trouve dans le sous-réseau que vous avez créé à l'étape précédente. Si vous ne saisissez pas l'adresse IP, votre instance Secure Web Proxy choisit automatiquement une adresse IP dans le sous-réseau sélectionné.

  10. Pour Ports, saisissez les numéros de port sur lesquels vous souhaitez que le proxy Web écoute, par exemple 80 ou 443.

  1. Pour Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  2. Pour Règle associée, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  3. Cliquez sur Créer.

Cloud Shell

  1. Utilisez l'éditeur de texte de votre choix pour créer un fichier gateway.yaml.

  2. Ajoutez ce qui suit au fichier gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/myswp
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de votre projet
    • REGION : région dans laquelle votre instance Secure Web Proxy est créée
    • IP_ADDRESS : adresse IP de votre instance Secure Web Proxy
    • NETWORK : réseau de votre instance Secure Web Proxy
    • SUBNETWORK : sous-réseau de votre instance Secure Web Proxy. Vous devez utiliser le sous-réseau VPC que vous avez créé précédemment lors des étapes de configuration initiale.

  3. Créez une instance de proxy Web sécurisé basée sur le fichier gateway.yaml.

    gcloud network-services gateways import myswp \
    --source=gateway.yaml \
    --location=REGION

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Tester la connectivité

Cette section se concentre sur le test de la connectivité à partir d'une VM Linux pour confirmer que le proxy Web sécurisé nouvellement déployé, ses stratégies et ses règles associées fonctionnent correctement.

  1. Connectez-vous à la VM que vous avez provisionnée précédemment.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Remplacez ZONE par la zone de votre instance de VM de test.

  2. Testez l'instance Secure Web Proxy.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    Remplacez IP_ADDRESS par l'adresse IP de votre instance Secure Web Proxy.

    Cette commande affiche le code d'état HTTP renvoyé par www.wikipedia.org. Si la commande aboutit, le code d'état est 200. Toutefois, en cas de problème avec le proxy, la commande renvoie un code d'état 000 pour indiquer une erreur de connexion. Pour afficher les messages d'erreur détaillés, ajoutez l'option -v à la commande.

Nous n'avons pas configuré l'inspection TLS dans l'exemple mentionné sur cette page. Pour savoir comment configurer le proxy Web sécurisé pour l'inspection TLS, puis tester votre instance de proxy Web sécurisé, consultez Activer l'inspection TLS.

Effectuer un nettoyage

Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre compte Google Cloud , procédez comme suit :

Supprimez l'instance swp1 Secure Web Proxy.

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez le proxy Web que vous souhaitez supprimer. Ici, le nom du proxy Web est swp1.

  3. Cliquez sur Supprimer, puis à nouveau sur Supprimer pour confirmer l'opération.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Remplacez REGION par la région de votre instance Secure Web Proxy.

Supprimer la règle allow-wikipedia-org

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Cliquez sur la stratégie. Ici, le nom de la règle est policy1.

  3. Sélectionnez la règle que vous souhaitez supprimer. Ici, le nom de la règle est allow-wikipedia-org.

  4. Cliquez sur Supprimer, puis à nouveau sur Supprimer pour confirmer l'opération.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Remplacez REGION par la région de votre règle.

Supprimer la règle Secure Web Proxy policy1

Console

  1. Dans la console Google Cloud , accédez à la page Proxys Web. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux qui sont disponibles dans un réseau donné.

    Accéder aux proxys Web

  2. Sélectionnez la règle que vous souhaitez supprimer. Ici, le nom de la règle est policy1.

  3. Cliquez sur Supprimer, puis à nouveau sur Supprimer pour confirmer l'opération.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Remplacez REGION par la région de votre règle.

Supprimer l'instance de VM Linux swp-test-vm

Console

  1. Dans la console Google Cloud , accédez à la page Instances de VM.

    Accéder à "Instances de VM"

  2. Sélectionnez les instances à supprimer. Ici, swp-test-vm est le nom de l'instance de VM Linux.

  3. Cliquez sur Supprimer.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Étapes suivantes