Richtlinien mit URL-Listen erstellen

Auf dieser Seite wird beschrieben, wie Sie URL-Listen verwenden, um detaillierte Zugriffsrichtlinien für Ihren ausgehenden Webtraffic in Ihrer Secure Web Proxy-Instanz zu erstellen und zu verwalten. Anstatt für jede Website einzelne Regeln zu erstellen, können Sie mit URL-Listen eine wiederverwendbare, zentrale Sammlung von Domains, Hostnamen und bestimmten URL-Mustern definieren.

Hier sind einige der wichtigsten Vorteile von URL-Listen:

  • Richtlinienverwaltung vereinfachen: Sie können eine große Anzahl von allow- oder deny-Regeln mit einem einzigen Verweis in Ihrer Sicherheitsrichtlinie anwenden.

  • Genaue Steuerung erzwingen: Mit einer bestimmten Syntax können Sie ganze Domains, Subdomains oder genaue URL-Pfade abgleichen. So wird sichergestellt, dass Ihre Arbeitslasten nur auf autorisierte Ziele zugreifen können.

  • Sicherer Webzugriff: Sie können den Webzugriff in Ihrer Google Cloud Umgebung effizient sichern und prüfen.

Hinweise

  • Führen Sie die Schritte zur Ersteinrichtung aus.

  • Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1

    Wenn Sie eine ältere gcloud CLI-Version installiert haben, aktualisieren Sie die Version:

    gcloud components update --version=406.0.0

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Secure Web Proxy-Instanz erstellen möchten, müssen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy erstellen, der die Richtlinie verwendet.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein, z. B. myswppolicy.

  4. Geben Sie im Feld Beschreibung eine Beschreibung für die Richtlinie ein, z. B. My new swp policy.

  5. Wählen Sie unter Regionen die Region aus, in der Sie die Richtlinie erstellen möchten, z. B. us-central1.

  6. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine policy.yaml-Datei.

  2. Fügen Sie der von Ihnen erstellten Datei policy.yaml Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts

    • REGION: Region, in der Ihre Richtlinie erstellt wird, z. B. us-central1

    • POLICY_NAME: Name der Richtlinie

    • POLICY_DESCRIPTION: Beschreibung Ihrer Richtlinie

  3. Importieren Sie die Sicherheitsrichtlinie mit dem Befehl gcloud network-security gateway-security-policies import:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Web-Proxys auf.

    Zu Web-Proxys

  2. Klicken Sie auf Sicheren Web-Proxy erstellen.

  3. Geben Sie im Feld Name einen Namen für den Webproxy ein, z. B. myswp.

  4. Geben Sie im Feld Beschreibung eine Beschreibung für den Webproxy ein, z. B. My new swp.

  5. Wählen Sie für Routing-Modus die Option Explizit aus.

  6. Wählen Sie unter Regionen die Region aus, in der Sie den Webproxy erstellen möchten, z. B. us-central1.

  7. Wählen Sie unter Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie unter Subnetzwerk das VPC-Subnetz aus, das Sie zuvor im Rahmen der Ersteinrichtung erstellt haben.

  9. Optional: Geben Sie im Feld Web-Proxy-IP-Adresse die IP-Adresse des Secure Web Proxy ein.

    Sie können eine IP-Adresse aus dem Bereich der Secure Web Proxy-IP-Adressen eingeben, die sich im Subnetz befinden, das Sie im vorherigen Schritt erstellt haben. Wenn Sie die IP-Adresse nicht eingeben, wählt Ihre Secure Web Proxy-Instanz automatisch eine IP-Adresse aus dem ausgewählten Subnetzwerk aus.

  10. Wählen Sie unter Zertifikat das Zertifikat aus, das Sie zum Erstellen des Webproxys verwenden möchten.

  11. Wählen Sie unter Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Web-Proxy zu verknüpfen.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine gateway.yaml-Datei.

  2. Fügen Sie der Datei gateway.yaml folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: Name dieser Secure Web Proxy-Instanz

    • GATEWAY_PORT_NUMBERS: Liste der Portnummern für dieses Gateway, z. B. [80,443]

    • CERTIFICATE_URLS: Liste der SSL-Zertifikat-URLs

    • SUBNETWORK: VPC-Subnetz, das Sie zuvor im Rahmen der ersten Einrichtungsschritte erstellt haben.

    • GATEWAY_IP_ADDRESS: Optionale Liste von IP-Adressen für Ihre Secure Web Proxy-Instanzen in den Proxy-Subnetzen, die Sie zuvor in den Schritten zur Ersteinrichtung erstellt haben.

      Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.

  3. Erstellen Sie die Secure Web Proxy-Instanz mit dem Befehl gcloud network-services gateways import:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=gateway.yaml \
    --location=REGION

Verbindung testen

Verwenden Sie den Befehl curl, um die Verbindung von einer beliebigen VM-Instanz in Ihrem VPC-Netzwerk (Virtual Private Cloud) zu testen:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Wenn alles korrekt funktioniert, gibt Ihre Secure Web Proxy-Instanz den Statuscode 403 Forbidden zurück. Dieser Fehler bestätigt Folgendes:

  • Die Secure Web Proxy-Instanz wurde erfolgreich bereitgestellt und empfängt aktiv Traffic.

  • Die Richtlinie für sichere Web-Proxys erzwingt die Standardsicherheitskonfiguration, bei der der gesamte Traffic abgelehnt wird, bis Sie in den nächsten Abschnitten bestimmte allow-Regeln definieren.

URL-Liste erstellen und konfigurieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite URL-Listen auf.

    Zu URL-Listen wechseln

  2. Klicken Sie auf URL-Liste erstellen. Die Seite URL-Liste erstellen wird geöffnet.

  3. Geben Sie im Feld Name einen Namen für die URL-Liste ein, z. B. example-org-allowed-list.

  4. Geben Sie im Feld Beschreibung eine Beschreibung für die URL-Liste ein, z. B. My new URL list.

  5. Wählen Sie unter Regionen die Region aus, in der Sie die URL-Liste erstellen möchten, z. B. us-central1.

  6. Wenn Sie die Liste der Hosts, URLs oder Muster hinzufügen möchten, die abgeglichen werden sollen, geben Sie die Details im Feld URL-Liste ein oder klicken Sie auf Liste hochladen, um eine benutzerdefinierte Liste von URLs hochzuladen. Weitere Informationen finden Sie unter Syntaxreferenz für URL-Liste.

  7. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie die Datei url_list.yaml mit Ihrem bevorzugten Texteditor.

  2. Fügen Sie der Datei url_list.yaml folgendes hinzu:

      name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Eindeutige ID Ihres Google Cloud-Projekts

    • REGION: Region, in der Ihre URL-Liste erstellt wird, z. B. us-central1

    • URL_LIST_NAME: Name der URL-Liste

    • URL_LIST: Liste der Hosts, URLs oder Muster, die abgeglichen werden sollen

    Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.

    Hier sehen Sie ein Beispiel für eine Regeldatei für URL-Listen:

    name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

    Das Sternchen (*) hat in YAML eine besondere Bedeutung. URLs, die ein *-Zeichen enthalten, müssen in Anführungszeichen gesetzt werden.

  3. Importieren Sie die von Ihnen erstellte URL-Liste mit dem gcloud network-security url-lists import-Befehl, damit Ihre Secure Web Proxy-Regel darauf verweisen kann.

    gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=url_list.yaml

Secure Web Proxy-Regel hinzufügen

Console

  1. Rufen Sie in der Google Cloud Console die Seite SWP-Richtlinien auf.

    Zu den Richtlinien zum Löschen von Dienstdaten

  2. Klicken Sie auf den Namen Ihrer Richtlinie, z. B. myswppolicy.

  3. Klicken Sie auf Regel hinzufügen.

  4. Führen Sie für jede Regel die folgenden Schritte aus:

    1. Geben Sie unter Priorität eine numerische Auswertungsreihenfolge für die Regel ein. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.

    2. Geben Sie im Feld Name einen Namen für die Regel ein, z. B. allow-org-url-list.

    3. Geben Sie im Feld Beschreibung eine Beschreibung für die Regel ein.

    4. Wählen Sie für Aktion eine der folgenden Optionen aus:

      • Zulassen: Damit werden Verbindungsanfragen zugelassen, die der Regel entsprechen.
      • Ablehnen: Verbindungsanfragen, die der Regel entsprechen, werden abgelehnt.

    5. Wählen Sie für das Feld Status eine der folgenden Optionen für die Durchsetzung der Regel aus:

      • Aktiviert: Die Regel wird für Ihre Secure Web Proxy-Instanz erzwungen.
      • Deaktiviert: Die Regel wird nicht für Ihre Secure Web Proxy-Instanz erzwungen.

    6. Geben Sie im Abschnitt Sitzungsabgleich den eindeutigen Namen der URL-Liste an, die Sie im vorherigen Abschnitt erstellt haben. Beispiel:

        sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME)"

      Weitere Informationen zur Syntax für SessionMatcher finden Sie in der CEL-Matcher-Sprachreferenz.

    7. Geben Sie im Bereich Application Match (Anwendungsabgleich) die Kriterien für den Abgleich der Anfrage an.

    8. Klicken Sie auf Regel hinzufügen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor eine rule.yaml-Datei.

  2. Fügen Sie der Datei rule.yaml folgendes hinzu:

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: RULE_PRIORITY
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Eindeutige ID Ihres Google Cloud-Projekts

    • REGION: Region, für die diese Regel gilt

    • POLICY_NAME: Name einer vorhandenen Sicherheitsrichtlinie, die von Ihrer Secure Web Proxy-Instanz verwendet wird

    • RULE_NAME: Name der Regel

    • PRIORITY_VALUE: Priorität der Regel; eine niedrigere Zahl entspricht einer höheren Priorität

    • RULE_DESCRIPTION: Beschreibung der Regel

    • SESSION_CEL_EXPRESSION: Ein CEL-Ausdruck (Common Expression Language). Weitere Informationen finden Sie in der CEL-Matcher-Sprachreferenz.

    • APPLICATION_CEL_EXPRESSION: Ein CEL-Ausdruck für Ihre Anwendung

    Hier ein Beispiel für eine Regeldatei:

    name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

  3. Importieren Sie die Regel, die Sie mit dem Befehl gcloud network-security gateway-security-policies rules import erstellt haben.

        gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=rule.yaml \
      --gateway-security-policy=POLICY_NAME

Richtlinienkonfiguration testen

Sie können die Verbindung noch einmal testen, um zu prüfen, ob die auf URL-Listen basierenden Zugriffsregeln richtig konfiguriert sind und von Ihrer Secure Web Proxy-Instanz aktiv erzwungen werden.

Verwenden Sie den folgenden curl-Befehl, um die Verbindung zu testen:

curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure

Ersetzen Sie Folgendes:

  • SWP_IP_ADDRESS: IP-Adresse Ihrer Secure Web Proxy-Instanz

  • SWP_PORT_NUMBER: Portnummer Ihres Webproxys, z. B. 443

  • HTTP_TEST_ADDRESS: Eine zu testende Adresse, z. B. https://www.example.com. Er entspricht einem Host- oder URL-Eintrag in Ihrer url_list.

Wenn alles korrekt funktioniert, erhalten Sie eine 200 OK-Antwort. Diese Antwort bestätigt, dass der ausgehende Traffic zu einer URL, die in Ihrer URL-Liste aufgeführt und von der Regel für die Sicherheitsrichtlinie referenziert wird, erfolgreich über Ihre Secure Web Proxy-Instanz zugelassen wird.

Nächste Schritte