Implementa una instancia del Proxy web seguro
En esta guía de inicio rápido, se explica cómo implementar y probar una instancia de proxy web seguro.
Antes de comenzar
Completa los pasos iniciales de configuración.
Opcional: Instala Google Cloud CLI en cualquiera de los siguientes entornos de desarrollo si deseas ejecutar los ejemplos de la línea de comandos de
gcloudque se especifican en esta guía:Cloud Shell
Para usar una terminal en línea con la CLI de gcloud ya configurada, activa Cloud Shell:
Al final de esta página, se inicia una sesión de Cloud Shell y se muestra una instrucción de línea de comandos. La sesión puede tardar unos segundos en inicializarse.
Shell local
Para usar un entorno de desarrollo local, sigue estos pasos:
Crea o selecciona un proyecto Google Cloud .
Console
En la Google Cloud consola, en la página del selector de proyectos, selecciona o crea un Google Cloud proyecto.
Cloud Shell
Crea un Google Cloud proyecto:
gcloud projects create PROJECT_IDReemplaza
PROJECT_IDpor el ID del proyecto que desees.Selecciona el Google Cloud proyecto que creaste:
gcloud config set project PROJECT_ID
Crear una instancia de máquina virtual (VM) de Linux
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11Compute Engine otorga al usuario que crea la VM el rol de Administrador de instancias de Compute (
roles/compute.instanceAdmin). Compute Engine también agrega ese usuario al grupo sudo.Crea una regla de firewall.
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Crea una política del Proxy web seguro
Console
En la consola de Google Cloud , ve a la página Políticas de SWP.
Haz clic en Crear una política.
Ingresa un nombre para la política que deseas crear, como
myswppolicy.Ingresa una descripción de la política, como
My new swp policy.En la lista Regiones, selecciona la región en la que deseas crear la política de proxy web.
Si deseas crear reglas para tu política, haz clic en Agregar regla. Para obtener más información, consulta la sección Crea reglas de Proxy web seguro.
Haz clic en Crear.
Cloud Shell
Crea el archivo
policy.yaml.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Crea la política del Proxy web seguro.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Crea reglas del Proxy web seguro
Console
En la consola de Google Cloud , ve a la página Políticas de SWP.
Haz clic en el nombre de la política.
Haz clic en Agregar regla.
Propaga los siguientes campos de la regla:
- Nombre
- Descripción
- Estado
- Prioridad: Es el orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que
0es la prioridad más alta. - En la sección Acción, especifica si se permiten las conexiones que coinciden con la regla (Permitir) o si se rechazan (Rechazar).
- En la sección Coincidencia de sesión, especifica los criterios para que coincida con la sesión. Para obtener más información sobre la sintaxis de
SessionMatcher, consulta la referencia del lenguaje del comparador de CEL. - Opcional: Si deseas habilitar la inspección de TLS, selecciona Habilitar la inspección de TLS.
- En la sección Coincidencia de aplicaciones, especifica los criterios para que coincida con la solicitud. Si no habilitas la regla para la inspección de TLS, la solicitud solo puede coincidir con el tráfico HTTP.
- Haz clic en Crear.
Haz clic en Agregar regla para agregar otra regla.
Cloud Shell
Crea el archivo
rule.yamlcomo se muestra aquí.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' ```Opcional: Como alternativa, si quieres crear una regla con la configuración de inspección de TLS, crea el archivo
rule.yamlcomo se muestra aquí.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Crea la regla de la política de seguridad.
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configura un proxy web
En esta sección, se explica cómo implementar el Proxy web seguro como un proxy explícito.
Como alternativa, puedes implementar el proxy web seguro como un adjunto de servicio de Private Service Connect o como un próximo salto.
Console
En la consola de Google Cloud , ve a la página Proxies web.
Haz clic en Crear un proxy web seguro.
Ingresa un nombre para el proxy web que deseas crear, como
myswp.Ingresa una descripción del proxy web, como
My new swp.En Modo de enrutamiento, selecciona la opción Explícito.
En la lista Regiones, selecciona la región en la que deseas crear el proxy web.
En la lista Red, selecciona la red en la que deseas crear el proxy web.
En la lista Subred, selecciona la subred en la que deseas crear el proxy web.
Ingresa la dirección IP del proxy web.
En la lista Certificado, selecciona el certificado que deseas usar para crear el proxy web.
En la lista Política, selecciona la política que creaste para asociar el proxy web.
Haz clic en Crear.
Cloud Shell
Crea el archivo
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODECrea una instancia del Proxy web seguro.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONUna instancia de Secure Web Proxy puede tardar varios minutos en implementarse.
Prueba la conectividad
Conéctate a la VM que aprovisionaste anteriormente.
gcloud compute ssh swp-test-vm \ --zone=ZONEPrueba la instancia del Proxy web seguro.
curl -x IP_ADDRESS
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página, sigue estos pasos.
Borra la instancia del Proxy web seguro de swp1
Console
En la consola de Google Cloud , ve a la página Proxies web. Puedes ver la lista de todos los proxies web o solo los proxies web que están disponibles en una red en particular.
Selecciona el proxy web que quieres borrar.
Haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Borra la regla allow-wikipedia-org.
Console
En la consola de Google Cloud , ve a la página Proxies web. Puedes ver la lista de todos los proxies web o solo los proxies web que están disponibles en una red en particular.
Haz clic en tu política.
Selecciona la regla que quieres borrar.
Haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Borra la política de Proxy web seguro policy1
Console
En la consola de Google Cloud , ve a la página Proxies web. Puedes ver la lista de todos los proxies web o solo los proxies web que están disponibles en una red en particular.
Selecciona la política que quieres borrar.
Haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Borra la instancia de VM de Linux swp-test-vm
Console
En la Google Cloud consola, ve a la página Instancias de VM.
Selecciona las instancias que quieres borrar.
Haz clic en Borrar.
Cloud Shell
gcloud compute instances delete swp-test-vm