Usar uma lista de URLs para criar políticas

No console do Google Cloud , acesse a página Políticas de SWP.

Acessar as políticas do SWP

Clique em add_boxCriar uma política.

No campo Nome, insira um nome para a política, como myswppolicy.

No campo Descrição, insira uma descrição para a política, como My new swp policy.

Em Regiões, selecione a região em que você quer criar a política, como us-central1.

Clique em Criar.

Use o editor de texto de sua preferência para criar um arquivo policy.yaml.

Adicione o seguinte ao arquivo policy.yaml que você criou:

name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

Substitua:

• PROJECT_NAME: nome do projeto

• REGION: região em que a política é criada, como us-central1

• POLICY_NAME: nome da política

• POLICY_DESCRIPTION: descrição da política

Importe a política de segurança usando o comando gcloud network-security gateway-security-policies import:

gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

No console Google Cloud , acesse a página Proxies da Web.

Acesse proxies da Web

Clique em add_boxCriar um proxy da Web seguro.

No campo Nome, insira um nome para o proxy da Web, como myswp.

No campo Descrição, insira uma descrição para o proxy da Web, como My new swp.

Em Modo de roteamento, selecione a opção Explícito.

Em Regiões, selecione a região em que você quer criar o proxy da Web, como us-central1.

Em Rede, selecione a rede em que você quer criar o proxy da Web.

Em Sub-rede, selecione a sub-rede da VPC que você criou anteriormente como parte das etapas de configuração inicial.

Opcional: no campo Endereço IP do proxy da Web, insira o endereço IP do proxy da Web seguro.

Você pode inserir um endereço IP do intervalo de endereços IP do proxy da Web seguro que reside na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, sua instância do Secure Web Proxy escolherá automaticamente um endereço IP da sub-rede selecionada.

Em Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

Em Política, selecione a política que você criou para associar o proxy da Web.

Clique em Criar.

Use o editor de texto de sua preferência para criar um arquivo gateway.yaml.

Adicione o seguinte ao arquivo gateway.yaml.

name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

Substitua:

• GATEWAY_NAME: nome desta instância do Secure Web Proxy

• GATEWAY_PORT_NUMBERS: lista de números de porta para este gateway, como [80,443].

• CERTIFICATE_URLS: lista de URLs de certificados SSL

• SUBNETWORK: a sub-rede VPC que você criou anteriormente como parte das etapas de configuração inicial.

• GATEWAY_IP_ADDRESS: lista opcional de endereços IP das instâncias do proxy seguro da Web nas sub-redes de proxy criadas anteriormente nas etapas de configuração inicial.

  Se você não quiser listar endereços IP, omita o campo para que o proxy da Web escolha um endereço IP para você.

Crie a instância do Secure Web Proxy usando o comando gcloud network-services gateways import:

gcloud network-services gateways import GATEWAY_NAME \
    --source=gateway.yaml \
    --location=REGION

No console Google Cloud , acesse a página Listas de URLs.

Acessar "Listas de URLs"

Clique em add_boxCriar uma lista de URLs.

Insira um nome para a lista de URLs que você quer criar, como myurllist.

Insira uma descrição da lista de URLs, como My new URL list.

Na lista Regiões, selecione a região em que você quer criar a lista de URLs.

Clique em Fazer upload de listas para enviar a lista de hosts, URLs ou padrões a serem correspondidos. Para mais informações, consulte a referência de sintaxe UrlList.

Clique em Criar.

Use o editor de texto de sua preferência para criar o arquivo URL_LIST_FILE.yaml. ReplaceURL_LIST_FILE` com o nome de arquivo desejado.

  name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

Substitua:

• PROJECT_ID: o ID do seu projeto
• REGION: a região a que esta lista de URLs se aplica.
• URL_LIST_NAME: um nome para a lista de URLs que você está criando
• URL_LIST: a lista de hosts, URLs ou padrões a serem correspondidos

Para mais informações, consulte a referência de sintaxe UrlList.

Confira abaixo um exemplo de arquivo de regra de lista de URLs:

name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

O caractere asterisco (*) tem um significado especial em YAML. Portanto, adicione aspas aos URLs que incluem um caractere *.

Adicione a lista de URLs para que ela possa ser referenciada por uma regra do Secure Web Proxy:

gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=URL_LIST_FILE.yaml

No console do Google Cloud , acesse a página Políticas de SWP.

Acessar as políticas do SWP

No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.

Clique no nome da sua política.

Clique em add_boxAdicionar regra.

Preencha os campos da regra:

1. Nome
2. Descrição
3. Status
4. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.
5. Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).

6. Na seção Correspondência de sessão, especifique o nome da lista de URLs que você criou anteriormente. Exemplo:

     sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
   

7. Para ativar a inspeção de TLS, selecione Ativar inspeção de TLS.

8. Na seção Correspondência de aplicativo, especifique os critérios para corresponder à solicitação.

9. Clique em Criar.

Clique em Adicionar regra para adicionar outra regra.

Clique em Criar para criar a política.

Use o editor de texto de sua preferência para criar o arquivo RULE_FILE.yaml. Substitua RULE_FILE pelo nome de arquivo desejado.

name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: PRIORITY_VALUE
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

Substitua:

• PROJECT_ID: o ID do seu projeto
• REGION: a região a que essa regra se aplica
• POLICY_NAME: o nome de um GatewaySecurityPolicy usado pela sua instância do Secure Web Proxy.
• RULE_NAME: um nome para o GatewaySecurityPolicyRule que você está criando
• PRIORITY_VALUE: um valor de prioridade para essa regra. Números menores correspondem a prioridades mais altas.
• RULE_DESCRIPTION: uma descrição da política que você está criando
• SESSION_CEL_EXPRESSION: uma expressão da Common Expression Language (CEL) para a sessão.
• APPLICATION_CEL_EXPRESSION: uma expressão CEL para o aplicativo

Confira abaixo um exemplo de arquivo de regra:

name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

Adicione uma regra do Secure Web Proxy usando a lista de URLs que você criou anteriormente:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=RULE_FILE.yaml \
      --gateway-security-policy=POLICY_NAME