Usar tags para criar políticas

Nesta página, descrevemos como anexar tags do Resource Manager a políticas do Secure Web Proxy. As tags do Resource Manager são rótulos que podem ser anexados a vários Google Cloud recursos, como instâncias de máquina virtual (VM). É possível usar tags para aplicar controles de acesso condicional na rede com rótulos organizacionais.

Ao usar essas tags, você pode realizar as seguintes ações:

  • Segmentar cargas de trabalho: é possível identificar de maneira exclusiva diferentes ambientes, como production ou development, e tipos de serviço, como frontend ou database.

  • Centralizar o controle de acesso: é possível basear as políticas do Secure Web Proxy nessas tags. Por exemplo, crie uma regra de política que diga: "Somente o tráfego originado de recursos que tenham a tag tag segment=production pode acessar um conjunto específico de URLs".

Nesta página, você aprende as seguintes ações com relação à verificação de tempo de atividade:

Antes de começar

Criar uma instância do Secure Web Proxy com uma política vazia

Para criar uma instância do Secure Web Proxy, primeiro crie uma política de segurança vazia e, em seguida, um proxy da Web que use a política.

Criar uma política de segurança vazia

Console

  1. No Google Cloud console do, acesse a página Políticas do SWP.

    Acessar políticas do SWP

  2. Clique em Criar uma política.

  3. No campo Nome, insira um nome para a política, como myswppolicy.

  4. No campo Descrição, insira uma descrição para a política, como My new swp policy.

  5. Em Regiões, selecione a região em que você quer criar a política, como us-central1.

  6. Clique em Criar.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar um arquivo policy.yaml.

  2. Adicione o seguinte ao arquivo policy.yaml que você criou:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Substitua:

    • PROJECT_NAME: nome do seu projeto

    • REGION: região em que a política é criada, como us-central1

    • POLICY_NAME: nome da política

    • POLICY_DESCRIPTION: descrição da política

  3. Importe a política de segurança usando o gcloud network-security gateway-security-policies import comando:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Criar um proxy da Web

Console

  1. No Google Cloud console do, acesse a página Proxies da Web.

    Acessar proxies da Web

  2. Clique em Criar um proxy da Web seguro.

  3. No campo Nome, insira um nome para o proxy da Web, como myswp.

  4. No campo Descrição, insira uma descrição para o proxy da Web, como My new swp.

  5. Em Modo de roteamento, selecione uma das seguintes opções:

    • Explícito: implanta a instância do Secure Web Proxy no modo de proxy explícito.
    • Próximo salto: implanta a instância do Secure Web Proxy no modo de próximo salto.

  6. Em Regiões, selecione a região em que você quer criar o proxy da Web, como us-central1.

  7. Em Rede, selecione a rede em que você quer criar o proxy da Web.

  8. Em Sub-rede, selecione a sub-rede VPC que você criou durante a configuração inicial.

  9. Opcional: no campo Endereço IP do proxy da Web, insira o endereço IP do Secure Web Proxy.

    É possível inserir um endereço IP do intervalo de endereços IP do Secure Web Proxy que reside na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, a instância do Secure Web Proxy vai escolher automaticamente um endereço IP da sub-rede selecionada.

  10. Em Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  11. Em Política, selecione a política que você criou para associar o proxy da Web.

  12. Clique em Criar.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar um arquivo gateway.yaml.

  2. Adicione o seguinte ao arquivo gateway.yaml:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
routingMode: ROUTING_MODE
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Substitua:

    • GATEWAY_NAME: nome dessa instância do Secure Web Proxy

    • GATEWAY_PORT_NUMBERS: lista de números de porta para esse gateway, como [80,443]

    • CERTIFICATE_URLS: lista de URLs de certificados SSL

    • SUBNETWORK: sub-rede VPC que você criou durante a configuração inicial

    • ROUTING_MODE: especifique o modo de roteamento do proxy da Web necessário:

      • EXPLICIT_ROUTING_MODE: implanta a instância do Secure Web Proxy no modo de proxy explícito
      • NEXT_HOP_ROUTING_MODE: implanta a instância do Secure Web Proxy no modo de próximo salto

    • GATEWAY_IP_ADDRESS: lista opcional de endereços IP para as instâncias do Secure Web Proxy nas sub-redes de proxy que você criou anteriormente nas etapas de configuração inicial

      Se você optar por não listar endereços IP, omita o campo para permitir que o proxy da Web escolha um endereço IP para você.

  3. Crie a instância do Secure Web Proxy usando o gcloud network-services gateways import comando:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=gateway.yaml \
    --location=REGION

Testar a conectividade

Para testar a conectividade, use o comando curl de qualquer instância de máquina virtual (VM) na rede de nuvem privada virtual (VPC):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Se tudo estiver funcionando corretamente, a instância do Secure Web Proxy vai retornar um código de status 403 Forbidden. Esse erro confirma o seguinte:

  • A instância do Secure Web Proxy foi implantada e está recebendo tráfego ativamente.

  • A política do Secure Web Proxy está aplicando corretamente a postura de segurança padrão de rejeitar todo o tráfego até que você defina regras allow específicas nas próximas seções.

Criar e anexar tags do Resource Manager

  1. Criar chaves e valores de tags seguras

    Exemplo: para criar uma tag para ambientes restritos, siga estas etapas:

    1. Crie a chave de tag (access-level) usando o gcloud resource-manager tags keys create comando com a finalidade definida como GCE_FIREWALL.

    2. Recupere o ID da chave de tag na saída do comando de criação ou usando o gcloud resource-manager tags keys list comando. Você precisa desse ID para vincular valores de tag a essa chave de tag específica.

    3. Crie o valor da tag (restricted) usando o gcloud resource-manager tags values create comando, especificando o ID da chave de tag como pai.

    # Create the tag key
# The output provides a unique ID, such as "tagKeys/1234567890"

gcloud resource-manager tags keys create "access-level" \
    --parent="organizations/1234567890" \
    --purpose="GCE_FIREWALL" \
    --purpose-values="execution_env=ANS"

# Create the tag value and connect it to the key
# The "--parent" flag identifies to which key this value belongs

gcloud resource-manager tags values create "restricted" \
    --parent="tagKeys/1234567890"

  2. Anexar tags a instâncias de VM

    A anexação dessas tags associa o tráfego de saída das instâncias de VM a uma identidade de tag específica, o que permite que o proxy reconheça a carga de trabalho e aplique as regras da política de segurança.

    Exemplo: considere que você tem uma instância de VM chamada internal-tool. É possível anexar o valor da tag restricted a internal-tool usando o comando gcloud resource-manager tags bindings create. Essa atribuição de tag permite que o proxy identifique o tráfego originado da instância de VM internal-tool.

    # Attach the "restricted" tag to a specific VM instance


gcloud resource-manager tags bindings create \
    --parent="//[compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/internal-tool](https://compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/internal-tool)" \
    --tag-value="tagValues/987654321"

Criar uma regra do Secure Web Proxy

Console

  1. No Google Cloud console do, acesse a página Políticas do SWP.

    Acessar políticas do SWP

  2. Clique no nome da política, como myswppolicy.

  3. Clique em Adicionar regra.

  4. Para cada regra, faça o seguinte:

    1. Em Prioridade, insira uma ordem de avaliação numérica para a regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.

    2. No campo Nome, insira um nome para a regra.

    3. No campo Descrição, insira uma descrição para a regra.

    4. Em Ação, selecione uma das seguintes opções:

      • Permitir: para permitir solicitações de conexão que correspondam à regra.
      • Negar: para negar solicitações de conexão que correspondam à regra.

    5. No campo Status, selecione uma das seguintes opções para a aplicação da regra:

      • Ativado: para aplicar a regra na instância do Secure Web Proxy.
      • Desativado: para não aplicar a regra na instância do Secure Web Proxy.

    6. Na seção Correspondência de sessão, especifique o ID exclusivo da tag que você criou na seção anterior. Por exemplo:

      sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

      Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem do matcher CEL.

    7. Na seção Correspondência de aplicativo, especifique os critérios para correspondência da solicitação.

    8. Clique em Adicionar regra.

Cloud Shell

  1. Use o editor de texto de sua preferência para criar o arquivo rule.yaml.

  2. Para permitir o acesso a um URL da tag necessária, adicione o seguinte ao arquivo rule.yaml:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Substitua:

    • RULE_NAME: nome dessa regra
    • RULE_DESCRIPTION: descrição da regra
    • RULE_PRIORITY: prioridade dessa regra; um número menor corresponde a uma prioridade maior
    • CEL_EXPRESSION: uma expressão da Linguagem de expressão comum (CEL). Para mais informações, consulte a referência da linguagem do matcher CEL.

    Por exemplo, para permitir o acesso a example.com da tag necessária, adicione a seguinte linha sessionMatcher ao arquivo YAML:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Substitua TAG_VALUE pela tag que você quer permitir. Verifique se a tag segue o formato de identificador de recurso numérico, por exemplo, tagValues/567890123456.

  3. Importe as regras que você criou usando o gcloud network-security gateway-security-policies rules import comando:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
    --source=RULE_FILE.yaml \
    --location=REGION \
    --gateway-security-policy=POLICY_NAME

Testar a configuração da política

É possível testar a conectividade novamente para validar se a política do Secure Web Proxy, que depende das tags do Resource Manager para identidade, está funcionando conforme o esperado.

Para testar a conectividade, use o comando curl de qualquer VM associada à tag TAG_VALUE apropriada.

curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure

Substitua IPv4_ADDRESS pelo endereço IPv4 da instância do Secure Web Proxy.

Se tudo funcionar corretamente, você vai receber um código de status 200 OK ou 403 Forbidden. Essas respostas confirmam os seguintes resultados principais:

  • Sucesso baseado em tags: um código de status 200 OK valida que o tráfego de uma VM com a tag do Resource Manager correta anexada a ela corresponde à regra de política e é permitido pelo proxy. Essa correspondência verificada resulta em uma conexão bem-sucedida.

  • Negação baseada em tags: um código de status 403 Forbidden verifica se o tráfego de uma VM sem a tag especificada ou com uma tag incorreta tem o acesso negado corretamente pela política. Essa aplicação prova que a segmentação e a aplicação baseadas em tags estão funcionando conforme o esperado.

A seguir