Richtlinien mit einer URL-Liste erstellen

In diesem Leitfaden wird beschrieben, wie Sie URL-Listen verwenden, um URLs zu definieren, auf die Ihre Nutzer zugreifen können.

Hinweise

  • Führen Sie die Schritte zur Ersteinrichtung aus.

  • Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1

    Wenn Sie eine ältere gcloud CLI-Version installiert haben, aktualisieren Sie die Version:

    gcloud components update --version=406.0.0

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Secure Web Proxy-Instanz erstellen möchten, müssen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy erstellen, der die Richtlinie verwendet.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein, z. B. myswppolicy.

  4. Geben Sie im Feld Beschreibung eine Beschreibung für die Richtlinie ein, z. B. My new swp policy.

  5. Wählen Sie unter Regionen die Region aus, in der Sie die Richtlinie erstellen möchten, z. B. us-central1.

  6. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine policy.yaml-Datei.

  2. Fügen Sie der von Ihnen erstellten Datei policy.yaml Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts

    • REGION: Region, in der Ihre Richtlinie erstellt wird, z. B. us-central1

    • POLICY_NAME: Name der Richtlinie

    • POLICY_DESCRIPTION: Beschreibung Ihrer Richtlinie

  3. Importieren Sie die Sicherheitsrichtlinie mit dem Befehl gcloud network-security gateway-security-policies import:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Web-Proxys auf.

    Zu Web-Proxys

  2. Klicken Sie auf Sicheren Web-Proxy erstellen.

  3. Geben Sie im Feld Name einen Namen für den Webproxy ein, z. B. myswp.

  4. Geben Sie im Feld Beschreibung eine Beschreibung für den Webproxy ein, z. B. My new swp.

  5. Wählen Sie für Routing-Modus die Option Explizit aus.

  6. Wählen Sie unter Regionen die Region aus, in der Sie den Webproxy erstellen möchten, z. B. us-central1.

  7. Wählen Sie unter Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie unter Subnetzwerk das VPC-Subnetz aus, das Sie zuvor im Rahmen der Ersteinrichtung erstellt haben.

  9. Optional: Geben Sie im Feld Web-Proxy-IP-Adresse die IP-Adresse des Secure Web Proxy ein.

    Sie können eine IP-Adresse aus dem Bereich der Secure Web Proxy-IP-Adressen eingeben, die sich im Subnetz befinden, das Sie im vorherigen Schritt erstellt haben. Wenn Sie die IP-Adresse nicht eingeben, wählt Ihre Secure Web Proxy-Instanz automatisch eine IP-Adresse aus dem ausgewählten Subnetzwerk aus.

  10. Wählen Sie unter Zertifikat das Zertifikat aus, das Sie zum Erstellen des Webproxys verwenden möchten.

  11. Wählen Sie unter Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Web-Proxy zu verknüpfen.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine gateway.yaml-Datei.

  2. Fügen Sie der Datei gateway.yaml folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: Name dieser Secure Web Proxy-Instanz

    • GATEWAY_PORT_NUMBERS: Liste der Portnummern für dieses Gateway, z. B. [80,443]

    • CERTIFICATE_URLS: Liste der SSL-Zertifikat-URLs

    • SUBNETWORK: VPC-Subnetz, das Sie zuvor im Rahmen der ersten Einrichtungsschritte erstellt haben.

    • GATEWAY_IP_ADDRESS: Optionale Liste von IP-Adressen für Ihre Secure Web Proxy-Instanzen in den Proxy-Subnetzen, die Sie zuvor in den Schritten zur Ersteinrichtung erstellt haben.

      Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.

  3. Erstellen Sie die Secure Web Proxy-Instanz mit dem Befehl gcloud network-services gateways import:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=gateway.yaml \
    --location=REGION

Verbindung testen

Verwenden Sie den Befehl curl, um die Verbindung von einer beliebigen VM-Instanz in Ihrem VPC-Netzwerk (Virtual Private Cloud) zu testen:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Wenn alles korrekt funktioniert, gibt Ihre Secure Web Proxy-Instanz den Statuscode 403 Forbidden zurück. Dieser Fehler bestätigt Folgendes:

  • Die Secure Web Proxy-Instanz wurde erfolgreich bereitgestellt und empfängt aktiv Traffic.

  • Die Richtlinie für sichere Web-Proxys erzwingt die Standardsicherheitskonfiguration, bei der der gesamte Traffic abgelehnt wird, bis Sie in den nächsten Abschnitten bestimmte allow-Regeln definieren.

URL-Liste erstellen

Führen Sie die Aufgaben in den folgenden Abschnitten aus, um eine URL-Liste zu erstellen und eine Regel hinzuzufügen.

URL-Liste erstellen und konfigurieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite URL-Listen auf.

    Zu URL-Listen wechseln

  2. Klicken Sie auf URL-Liste erstellen.

  3. Geben Sie einen Namen für die URL-Liste ein, die Sie erstellen möchten, z. B. myurllist.

  4. Geben Sie eine Beschreibung der URL-Liste ein, z. B. My new URL list.

  5. Wählen Sie in der Liste Regionen die Region aus, in der Sie die URL-Liste erstellen möchten.

  6. Klicken Sie auf Listen hochladen, um die Liste der Hosts, URLs oder Muster hochzuladen, die abgeglichen werden sollen. Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.

  7. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei URL_LIST_FILE.yaml. ReplaceURL_LIST_FILE` mit dem gewünschten Dateinamen.

      name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projektnummer
    • REGION: die Region, für die diese URL-Liste gilt
    • URL_LIST_NAME: Ein Name für die URL-Liste, die Sie erstellen.
    • URL_LIST: Die Liste der Hosts, URLs oder Muster, die abgeglichen werden sollen.

    Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.

    Hier sehen Sie eine Beispielregeldatei für URL-Listen:

    name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

    Das Sternchen (*) hat in YAML eine besondere Bedeutung. Daher müssen Sie URLs, die ein *-Zeichen enthalten, in Anführungszeichen setzen.

  2. Fügen Sie die URL-Liste hinzu, damit in einer Secure Web Proxy-Regel darauf verwiesen werden kann:

    gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=URL_LIST_FILE.yaml

Regel hinzufügen

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Wählen Sie im Menü zur Projektauswahl Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer Richtlinie.

  4. Klicken Sie auf Regel hinzufügen.

  5. Füllen Sie die Regelfelder aus:

    1. Name
    2. Beschreibung
    3. Status
    4. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
    5. Geben Sie im Abschnitt Aktion an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen.

    6. Geben Sie im Abschnitt Sitzungsabgleich den Namen der URL-Liste an, die Sie zuvor erstellt haben. Beispiel:

        sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

    7. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung zu aktivieren.

    8. Geben Sie im Bereich Application Match (Anwendungsabgleich) die Kriterien für den Abgleich der Anfrage an.

    9. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.

  7. Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei RULE_FILE.yaml. Ersetzen Sie RULE_FILE durch den gewünschten Dateinamen.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: PRIORITY_VALUE
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projektnummer
    • REGION: die Region, für die diese Regel gilt
    • POLICY_NAME: der Name eines vorhandenen GatewaySecurityPolicy, das von Ihrer Secure Web Proxy-Instanz verwendet wird
    • RULE_NAME: Name für die GatewaySecurityPolicyRule, die Sie erstellen
    • PRIORITY_VALUE: ein Prioritätswert für diese Regel. Niedrigere Zahlen entsprechen höheren Prioritäten.
    • RULE_DESCRIPTION: eine Beschreibung der Richtlinie, die Sie erstellen
    • SESSION_CEL_EXPRESSION: Ein CEL-Ausdruck (Common Expression Language) für die Sitzung
    • APPLICATION_CEL_EXPRESSION: Ein CEL-Ausdruck für die Anwendung.

    Hier sehen Sie eine Beispielregeldatei:

    name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

  2. Fügen Sie eine Secure Web Proxy-Regel mit der zuvor erstellten URL-Liste hinzu:

        gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=RULE_FILE.yaml \
      --gateway-security-policy=POLICY_NAME

Verbindung testen

Verwenden Sie den folgenden curl-Befehl, um die Verbindung zu testen:

curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure

Ersetzen Sie Folgendes:

  • SWP_IP_ADDRESS: die IP-Adresse Ihres Webproxys

  • SWP_PORT_NUMBER: Die Portnummer für Ihren Webproxy, z. B. 443

  • HTTP_TEST_ADDRESS: Eine zu testende Adresse, z. B. https://www.example.com, die mit einem Host- oder URL-Eintrag in Ihrer URL_LIST übereinstimmt.

Die Anfrage sollte eine Erfolgsmeldung zurückgeben.

Nächste Schritte