Criar e implantar uma instância do Secure Web Proxy

Neste guia de início rápido, explicamos como implantar e testar uma instância do Secure Web Proxy. As etapas descrevem a implantação do Secure Web Proxy no modo de roteamento explícito, funcionando como um proxy explícito.

As instâncias do Secure Web Proxy no modo de roteamento explícito podem ser implantadas como um serviço do Private Service Connect. Como alternativa, é possível implantar o Secure Web Proxy no modo de roteamento de próximo salto.

A implantação do Secure Web Proxy no modo de roteamento explícito inclui as seguintes etapas:

  1. Crie uma política do Secure Web Proxy.
  2. Crie regras do Secure Web Proxy e adicione-as à política.
  3. Configure a instância do Secure Web Proxy no modo de roteamento explícito.
  4. Teste a conectividade de uma instância de máquina virtual (VM) do Linux para confirmar se o proxy e as políticas dele estão funcionando corretamente.
Implante o Secure Web Proxy no modo de roteamento de proxy explícito.
Implante o Secure Web Proxy no modo de roteamento de proxy explícito (clique para ampliar).

Antes de começar

  1. Conclua as etapas de configuração inicial.

  2. Opcional: para executar os exemplos de linha de comando do gcloud especificados neste documento, instale a Google Cloud CLI em qualquer um dos seguintes ambientes de desenvolvimento:

    Cloud Shell

    Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell.

    Na parte de baixo desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

    Se você já instalou a CLI gcloud, verifique se tem a versão mais recente disponível executando o comando gcloud components update.

    Shell local

    Para usar um ambiente de desenvolvimento local, siga estas etapas:

    1. Instale a CLI do Google Cloud
    2. Inicialize a CLI gcloud

  3. Crie ou selecione um projeto do Google Cloud .

    Se você não pretende manter os recursos criados neste procedimento, recomendamos que crie um projeto em vez de selecionar um que já existe. Depois de concluir as etapas deste guia de início rápido, exclua o projeto para remover todos os recursos associados a ele.

    Console

    No console do Google Cloud , na página do seletor de projetos, crie um projeto do Google Cloud ou selecione um projeto atual.

    Acessar o seletor de projetos

    Cloud Shell

    1. Crie um projeto do Google Cloud .

      gcloud projects create PROJECT_ID

      Substitua PROJECT_ID pelo ID do projeto de sua escolha.

    2. Selecione o projeto Google Cloud que você criou.

      gcloud config set project PROJECT_ID

  4. Crie uma instância de VM do Linux.

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Substitua ZONE pela zona da sua instância de VM de teste.

    O Compute Engine concede o papel de Administrador da instância do Compute (roles/compute.instanceAdmin) ao usuário que cria a instância de VM. O Compute Engine também adiciona esse usuário ao grupo sudo.

  5. Crie uma regra de firewall.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Funções exigidas

Verifique se você tem os seguintes papéis para concluir as tarefas deste tutorial:

Para ver mais informações, consulte os seguintes tópicos:

Criar uma política do Secure Web Proxy

Nesta seção, explicamos as etapas para criar uma política do Secure Web Proxy. A política pode servir como o contêiner de todas as regras de segurança que regem o fluxo de tráfego pelo Secure Web Proxy. Depois de criar a política, você pode criar regras e adicioná-las a ela.

Console

  1. No console do Google Cloud , acesse a página Políticas de SWP.

    Acessar as políticas do SWP

  2. Clique em Criar uma política.

  3. No campo Nome, insira um nome para a política, como myswppolicy.

  4. No campo Descrição, insira uma descrição para a política, como My new swp policy.

  5. Em Regiões, selecione a região em que você quer criar a política, como us-central1.

  6. Se você quiser criar regras para sua política, clique em Adicionar regra. Para mais informações, consulte a seção Criar regras do Secure Web Proxy.

  7. Clique em Criar.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar um arquivo policy.yaml.

  2. Adicione o seguinte ao arquivo policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/myswppolicy

    Substitua:

    • PROJECT_ID: ID do projeto
    • REGION: região em que a política é criada, como us-central1

  3. Crie a política do Secure Web Proxy.

    gcloud network-security gateway-security-policies import myswppolicy \
    --source=policy.yaml \
    --location=REGION

Criar regras do Secure Web Proxy

Nesta seção, detalhamos as etapas para criar regras do Secure Web Proxy. As regras ajudam a definir os controles de acesso reais para o tráfego da Web.

Na política criada anteriormente, é possível definir regras como allow-wikipedia-org. Essas regras especificam os critérios para corresponder a sessões da Web, por exemplo, corresponder a um host específico como www.wikipedia.org, e permitir ou negar o tráfego da Web.

Console

  1. No console do Google Cloud , acesse a página Políticas de SWP.

    Acessar as políticas do SWP

  2. Clique no nome da política, como myswppolicy.

  3. Clique em Adicionar regra.

  4. Para cada regra, faça o seguinte:

    1. Em Prioridade, digite uma ordem de avaliação numérica para a regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.

    2. No campo Nome, insira um nome para a regra, como allow-wikipedia-org.

    3. No campo Descrição, insira uma descrição para a regra, como Allow wikipedia.org.

    4. Em Ação, selecione uma das seguintes opções:

      • Permitir: para permitir solicitações de conexão que correspondem à regra.
      • Negar: para negar solicitações de conexão que correspondem à regra.

    5. No campo Status, selecione uma das seguintes opções para a aplicação da regra:

      • Ativada: para aplicar a regra na sua instância do Secure Web Proxy.
      • Desativado: para não aplicar a regra na sua instância do Secure Web Proxy.

    6. Na seção Correspondência de sessão, especifique os critérios para corresponder à sessão, como host() == 'www.wikipedia.org'.

      Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem de correspondência da CEL.

    7. Na seção Correspondência de aplicativo, especifique os critérios para corresponder à solicitação. Como não ativamos a regra para inspeção TLS, a solicitação só pode corresponder ao tráfego HTTP.

      Para mais informações sobre a correspondência de tráfego TCP, consulte Configurar regras de proxy TCP.

    8. Clique em Criar.

  5. Para adicionar outra regra, clique em Adicionar regra.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar o arquivo rule.yaml.

  2. Adicione o seguinte ao arquivo rule.yaml. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem de correspondência da CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/RULE_NAME
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

    Substitua:

    • PROJECT_ID: ID do projeto
    • REGION: região da política
    • RULE_NAME: nome da regra, como allow-wikipedia-org.

  3. Crie a regra da política de segurança.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurar um proxy da Web

Esta seção descreve como implantar o Secure Web Proxy no modo de roteamento explícito, funcionando como um proxy explícito. Ele também explica como associar a política e as regras criadas anteriormente à instância do Secure Web Proxy, garantindo que todo o tráfego que passa por ela esteja sujeito aos controles de acesso definidos.

Console

  1. No console Google Cloud , acesse a página Proxies da Web.

    Acesse proxies da Web

  2. Clique em Criar um proxy da Web seguro.

  3. No campo Nome, insira um nome para o proxy da Web, como myswp.

  4. No campo Descrição, insira uma descrição para o proxy da Web, como My new swp.

  5. Em Modo de roteamento, selecione a opção Explícito.

  6. Em Regiões, selecione a região em que você quer criar o proxy da Web, como us-central1.

  7. Em Rede, selecione a rede em que você quer criar o proxy da Web.

  8. Em Sub-rede, selecione a sub-rede da VPC que você criou como parte das etapas de configuração inicial.

  9. Opcional: no campo Endereço IP do proxy da Web, insira o endereço IP do Secure Web Proxy.

    Você pode inserir um endereço IP do intervalo de endereços IP do Secure Web Proxy que reside na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, sua instância do Secure Web Proxy escolherá automaticamente um endereço IP da sub-rede selecionada.

  10. Em Portas, insira os números das portas, como 80 ou 443, em que você quer que o proxy da Web fique ativo.

  1. Em Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  2. Em Política associada, selecione a política que você criou para associar o proxy da Web.

  3. Clique em Criar.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar um arquivo gateway.yaml.

  2. Adicione o seguinte ao arquivo gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/myswp
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Substitua:

    • PROJECT_ID: ID do projeto
    • REGION: região em que a instância do Secure Web Proxy é criada
    • IP_ADDRESS: endereço IP da sua instância do Secure Web Proxy
    • NETWORK: rede da instância do Secure Web Proxy
    • SUBNETWORK: sub-rede da sua instância do Secure Web Proxy. Use a sub-rede VPC criada anteriormente como parte das etapas de configuração inicial.

  3. Crie uma instância do Secure Web Proxy com base no arquivo gateway.yaml.

    gcloud network-services gateways import myswp \
    --source=gateway.yaml \
    --location=REGION

    A implantação de uma instância do Secure Web Proxy pode levar vários minutos.

Testar a conectividade

Esta seção se concentra em testar a conectividade de uma VM do Linux para confirmar se o Secure Web Proxy recém-implantado, as políticas e as regras associadas estão funcionando corretamente.

  1. Conecte-se à VM que você provisionou anteriormente.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Substitua ZONE pela zona da sua instância de VM de teste.

  2. Teste a instância do Secure Web Proxy.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    Substitua IP_ADDRESS pelo endereço IP da sua instância do Secure Web Proxy.

    Esse comando imprime o código de status HTTP retornado de www.wikipedia.org. Se o comando for executado com sucesso, o código de status será 200. No entanto, se houver um problema com o proxy, o comando vai retornar um código de status 000 para indicar um erro de conexão. Para ver as mensagens de erro detalhadas, adicione a opção -v ao comando.

Não configuramos a inspeção TLS no exemplo mencionado nesta página. Para mais informações sobre como configurar o Secure Web Proxy para inspeção TLS e testar sua instância do Secure Web Proxy, consulte Ativar a inspeção TLS.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.

Exclua a instância do Secure Web Proxy swp1

Console

  1. No console Google Cloud , acesse a página Proxies da Web. É possível conferir a lista de todos os proxies da Web ou apenas os que estão disponíveis em uma rede específica.

    Acesse proxies da Web

  2. Selecione o proxy da Web que você quer excluir. Aqui, o nome do proxy da Web é swp1.

  3. Clique em Excluir e depois em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Substitua REGION pela região da sua instância do Secure Web Proxy.

Excluir a regra allow-wikipedia-org

Console

  1. No console Google Cloud , acesse a página Proxies da Web. É possível conferir a lista de todos os proxies da Web ou apenas os que estão disponíveis em uma rede específica.

    Acesse proxies da Web

  2. Clique na sua política. Aqui, o nome da política é policy1.

  3. Selecione a regra que você quer excluir. Aqui, o nome da regra é allow-wikipedia-org.

  4. Clique em Excluir e depois em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Substitua REGION pela região da sua política.

Excluir a política do Secure Web Proxy policy1

Console

  1. No console Google Cloud , acesse a página Proxies da Web. É possível conferir a lista de todos os proxies da Web ou apenas os que estão disponíveis em uma rede específica.

    Acesse proxies da Web

  2. Selecione a política que você quer excluir. Aqui, o nome da política é policy1.

  3. Clique em Excluir e depois em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Substitua REGION pela região da sua política.

Exclua a instância de VM do Linux swp-test-vm

Console

  1. No console do Google Cloud , acesse a página Instâncias de VM.

    Acessar instâncias de VM

  2. Selecione as instâncias que você quer excluir. Aqui, swp-test-vm é o nome da instância de VM do Linux.

  3. Clique em Excluir.

Cloud Shell 

gcloud compute instances delete swp-test-vm

A seguir