このページでは、Resource Manager タグを Secure Web Proxy ポリシーに関連付ける方法について説明します。Resource Manager タグは、仮想マシン(VM)インスタンスなどのさまざまな Google Cloud リソースに適用できるラベルです。タグを使用すると、既存の組織ラベルを使用して、ネットワーク全体で条件付きアクセス制御を適用できます。
これらのタグを使用すると、次の操作を行うことができます。
ワークロードをセグメント化する:
productionやdevelopmentなどのさまざまな環境や、frontendやdatabaseなどのサービスタイプを一意に識別できます。アクセス制御を一元化する: これらのタグに基づいて Secure Web Proxy ポリシーを作成できます。たとえば、「
tag segment=productionタグを持つリソースから送信されたトラフィックのみが、特定の URL セットにアクセスできる」というポリシー ルールを作成できます。
このページでは、次の方法について説明します。
- 空のポリシーを使用して Secure Web Proxy インスタンスを作成する
- Resource Manager タグを作成して VM インスタンスに接続する
- Secure Web Proxy ルールを作成する
- Secure Web Proxy 構成全体の接続をテストする
始める前に
初期設定の手順を行います。
組織管理者に、タグの作成と更新に必要なロールを付与してもらいます。
Google Cloud CLI バージョン 406.0.0 以降がインストールされていることを確認します。
gcloud version | head -n1以前のバージョンの gcloud CLI がインストールされている場合は、バージョンを更新します。
gcloud components update --version=406.0.0
空のポリシーを使用して Secure Web Proxy インスタンスを作成する
Secure Web Proxy インスタンスを作成するには、まず空のセキュリティ ポリシーを作成してから、そのポリシーを使用するウェブプロキシを作成する必要があります。
空のセキュリティ ポリシーを作成する
コンソール
Google Cloud コンソールで、[SWP ポリシー] ページに移動します。
[ポリシーを作成] をクリックします。
[名前] フィールドに、ポリシーの名前(
myswppolicyなど)を入力します。[説明] フィールドに、ポリシーの説明(
My new swp policyなど)を入力します。[リージョン] で、ポリシーを作成するリージョン(
us-central1など)を選択します。[作成] をクリックします。
Cloud Shell
任意のテキスト エディタを使用して、
policy.yamlファイルを作成します。作成した
policy.yamlファイルに次の内容を追加します。name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION次のように置き換えます。
PROJECT_NAME: プロジェクトの名前REGION: ポリシーが作成されるリージョン(us-central1など)POLICY_NAME: ポリシーの名前POLICY_DESCRIPTION: ポリシーの説明
gcloud network-security gateway-security-policies importコマンドを使用して、セキュリティ ポリシーをインポートします。gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
ウェブプロキシを作成する
コンソール
Google Cloud コンソールで、[ウェブ プロキシ] ページに移動します。
[セキュア ウェブプロキシを作成] をクリックします。
[名前] フィールドに、ウェブ プロキシの名前(例:
myswp)を入力します。[説明] フィールドに、ウェブプロキシの説明(
My new swpなど)を入力します。[ルーティング モード] で、[明示的] オプションを選択します。
[リージョン] で、ウェブプロキシを作成するリージョン(
us-central1など)を選択します。[ネットワーク] で、ウェブプロキシを作成するネットワークを選択します。
省略可: [ウェブプロキシの IP アドレス] フィールドに、Secure Web Proxy の IP アドレスを入力します。
前の手順で作成したサブネットワークに存在する Secure Web Proxy IP アドレスの範囲から IP アドレスを入力できます。IP アドレスを入力しない場合、Secure Web Proxy インスタンスは選択したサブネットワークから IP アドレスを自動的に選択します。
[証明書] で、ウェブプロキシの作成に使用する証明書を選択します。
[ポリシー] で、ウェブプロキシに関連付けるために作成したポリシーを選択します。
[作成] をクリックします。
Cloud Shell
任意のテキスト エディタを使用して、
gateway.yamlファイルを作成します。gateway.yamlファイルに以下を追加します。name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK addresses: [GATEWAY_IP_ADDRESS] scope: samplescope次のように置き換えます。
GATEWAY_NAME: この Secure Web Proxy インスタンスの名前GATEWAY_PORT_NUMBERS: このゲートウェイのポート番号のリスト(例:[80,443])CERTIFICATE_URLS: SSL 証明書の URL のリストGATEWAY_IP_ADDRESS: 初期設定手順で以前に作成したプロキシ サブネット内の Secure Web Proxy インスタンスの IP アドレスのオプションのリストIP アドレスを一覧表示しない場合は、フィールドを省略して、ウェブプロキシによって IP アドレスが選択されるようにします。
gcloud network-services gateways importコマンドを使用して、Secure Web Proxy インスタンスを作成します。gcloud network-services gateways import GATEWAY_NAME \ --source=gateway.yaml \ --location=REGION
接続をテストする
接続をテストするには、Virtual Private Cloud(VPC)ネットワーク内の任意の仮想マシン(VM)インスタンスから curl コマンドを使用します。
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
すべてが正しく機能している場合、Secure Web Proxy インスタンスは 403 Forbidden ステータス コードを返します。このエラーは、次のことを確認します。
Secure Web Proxy インスタンスが正常にデプロイされ、トラフィックをアクティブに受信しています。
Secure Web Proxy ポリシーは、次のセクションで特定の
allowルールを定義するまで、すべてのトラフィックを拒否するというデフォルトのセキュリティ ポスチャーを正しく適用しています。
Resource Manager タグを作成して接続する
-
例: 制限付き環境のタグを作成する手順は次のとおりです。
gcloud resource-manager tags keys createコマンドを使用して、目的をGCE_FIREWALLに設定してタグキー(access-level)を作成します。作成コマンドの出力から、または
gcloud resource-manager tags keys listコマンドを使用して、タグキー ID を取得します。この ID は、タグ値をこの特定のタグキーにリンクするために必要です。gcloud resource-manager tags values createコマンドを使用してタグ値(restricted)を作成し、タグキー ID を親として指定します。
# Create the tag key # The output provides a unique ID, such as "tagKeys/1234567890" gcloud resource-manager tags keys create "access-level" \ --parent="organizations/1234567890" \ --purpose="GCE_FIREWALL" \ --purpose-values="execution_env=ANS" # Create the tag value and connect it to the key # The "--parent" flag identifies to which key this value belongs gcloud resource-manager tags values create "restricted" \ --parent="tagKeys/1234567890" -
これらのタグを関連付けると、VM インスタンスからのアウトバウンド トラフィックが特定のタグ ID に関連付けられ、プロキシがワークロードを認識してセキュリティ ポリシー ルールを適用できるようになります。
例:
internal-toolという名前の VM インスタンスがあるとします。gcloud resource-manager tags bindings createコマンドを使用して、restrictedタグの値をinternal-toolに適用できます。このタグの割り当てにより、プロキシはinternal-toolVM インスタンスから発信されたトラフィックを識別できます。# Attach the "restricted" tag to a specific VM instance gcloud resource-manager tags bindings create \ --parent="//[compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/internal-tool](https://compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/internal-tool)" \ --tag-value="tagValues/987654321"
Secure Web Proxy ルールを作成する
コンソール
Google Cloud コンソールで、[SWP ポリシー] ページに移動します。
ポリシーの名前(
myswppolicyなど)をクリックします。[ルールを追加] をクリックします。
ルールごとに、次の操作を行います。
[優先度] に、ルールの数値評価順序を入力します。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。[名前] フィールドに、ルールの名前を入力します。
[説明] フィールドに、ルールの説明を入力します。
[アクション] で、次のいずれかのオプションを選択します。
- 許可: ルールに一致する接続リクエストを許可します。
- 拒否: ルールに一致する接続リクエストを拒否します。
[ステータス] フィールドで、ルールの適用について次のいずれかのオプションを選択します。
- 有効: Secure Web Proxy インスタンスにルールを適用します。
- 無効: Secure Web Proxy インスタンスにルールを適用しない場合。
[セッションの一致] セクションで、前のセクションで作成したタグの一意の ID を指定します。次に例を示します。
sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"SessionMatcherの構文の詳細については、CEL マッチャーの言語リファレンスをご覧ください。[アプリケーションの一致] セクションで、リクエストの一致条件を指定します。
[ルールを追加] をクリックします。
Cloud Shell
任意のテキスト エディタを使用して
rule.yamlファイルを作成します。必要なタグから URL へのアクセスを許可するには、
rule.yamlファイルに次の行を追加します。name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOW次のように置き換えます。
RULE_NAME: このルールの名前RULE_DESCRIPTION: ルールの説明RULE_PRIORITY: このルールの優先度。数値が小さいほど優先度が高くなりますCEL_EXPRESSION: Common Expression Language(CEL)式。詳細については、CEL マッチャーの言語リファレンスをご覧ください。
たとえば、必要なタグから
example.comへのアクセスを許可するには、YAML ファイルに次のsessionMatcher行を追加します。sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"TAG_VALUEは、許可するタグに置き換えます。タグが数値リソース識別子の形式(例:tagValues/567890123456)に従っていることを確認します。gcloud network-security gateway-security-policies rules importコマンドを使用して作成したルールをインポートします。gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
ポリシー設定をテストする
接続を再度テストして、ID に Resource Manager タグを使用する Secure Web Proxy ポリシーが意図したとおりに機能していることを確認できます。
接続をテストするには、適切な TAG_VALUE タグに関連付けられている任意の VM から curl コマンドを使用します。
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
IPv4_ADDRESS は、Secure Web Proxy インスタンスの IPv4 アドレスに置き換えます。
すべてが正常に機能している場合、200 OK または 403 Forbidden のステータス コードが返されます。これらのレスポンスは、次の主な結果を確認します。
タグベースの成功:
200 OKステータス コードは、正しい Resource Manager タグがアタッチされた VM からのトラフィックがポリシー ルールと一致し、プロキシ経由で許可されていることを検証します。この確認済みの一致により、接続が成功します。タグベースの拒否:
403 Forbiddenステータス コードは、指定されたタグのない VM または間違ったタグのある VM からのトラフィックが、ポリシーによって正しくアクセス拒否されたことを確認します。この適用により、タグベースのセグメンテーションと適用が意図したとおりに機能していることが証明されます。