Pasos iniciales para la configuración

En este documento, se describen los pasos de configuración iniciales necesarios para usar el Proxy web seguro.

Antes de usar el Proxy web seguro, completa la siguiente configuración:

  • Obtén los roles necesarios de Identity and Access Management.
  • Crea o selecciona un Google Cloud proyecto.
  • Habilita la facturación y las APIs Google Cloud pertinentes.
  • Crea subredes de proxy.
  • Sube un certificado SSL al Administrador de certificados.

Esta configuración solo es necesaria la primera vez que usas el Proxy web seguro.

Cómo obtener roles de IAM

Para obtener permisos, sigue estos pasos:

  1. Para obtener los permisos que necesitas para aprovisionar una instancia de Secure Web Proxy, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Opcional: Si tienes un conjunto de usuarios responsables de la administración continua de políticas, otórgales el rol de administrador de políticas de seguridad (roles/compute.orgSecurityPolicyAdmin) para que puedan administrar las políticas de seguridad.

Crea un Google Cloud proyecto

Para crear o seleccionar un proyecto Google Cloud , sigue estos pasos:

Console

En la Google Cloud consola, en la página del selector de proyectos, selecciona o crea un Google Cloud proyecto.

Ir al selector de proyectos

Cloud Shell

  • Crea un proyecto Google Cloud :

      gcloud projects create PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto que desees.

  • Selecciona el proyecto Google Cloud que creaste:

      gcloud config set project PROJECT_ID

Habilitar facturación

Asegúrate de tener habilitada la facturación para tu Google Cloud proyecto. Para obtener más información, consulta Habilita, inhabilita o cambia la facturación de un proyecto y Verifica el estado de la facturación de tus proyectos.

Habilite las API necesarias

Debes habilitar las siguientes Google Cloud APIs:

  • compute.googleapis.com
  • certificatemanager.googleapis.com
  • networkservices.googleapis.com
  • networksecurity.googleapis.com
  • privateca.googleapis.com (opcional)

Para habilitar las APIs Google Cloud requeridas, sigue estos pasos:

Console

  1. Habilita la API de Compute Engine.

    Habilitar la API

  2. Habilita el certificado de la API de Management.

    Habilitar la API

  3. Habilita la API de Network Services.

    Habilitar la API

  4. Habilita la API de Network Security.

    Habilitar la API

  5. Opcional: Si planeas configurar la inspección de TLS para tu proxy, debes habilitar la API de Certificate Authority Service.

    Habilitar la API

gcloud

Ejecuta el siguiente comando:

    gcloud services enable \
    --compute.googleapis.com \
    --certificatemanager.googleapis.com \
    --networkservices.googleapis.com \
    --networksecurity.googleapis.com \
    --privateca.googleapis.com

Crea una subred de proxy

Crea una subred de proxy para cada región en la que implementes el Proxy web seguro. Crea un tamaño de subred de al menos /26 o 64 direcciones de solo proxy. Recomendamos un tamaño de subred de /23, o 512 direcciones de solo proxy, ya que un grupo de direcciones IP reservadas para el Proxy web seguro proporciona la conectividad del Proxy web seguro. Este grupo se usa para asignar direcciones IP únicas en el lado de salida de cada proxy para la interacción con Cloud NAT y los destinos en la red de VPC.

gcloud 

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Reemplaza lo siguiente:

  • PROXY_SUBNET_NAME: El nombre que deseas para tu subred de proxy
  • REGION: Es la región en la que se implementará la subred del proxy.
  • NETWORK_NAME: El nombre de tu red
  • IP_RANGE: Es el rango de la subred, como 192.168.0.0/23.

Implementa un certificado SSL

Los certificados SSL son opcionales para el proxy web seguro. Para implementar certificados con el Administrador de certificados, usa cualquiera de los siguientes métodos:

  1. Si deseas crear un certificado SSL, haz lo siguiente:

    openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"

    Reemplaza lo siguiente:

    • KEY_PATH: Es la ruta de acceso para guardar la clave, como ~/key.pem.
    • CERTIFICATE_PATH: Es la ruta de acceso para guardar el certificado, como ~/cert.pem.
    • SWP_HOST_NAME: Es el nombre de host de tu instancia de Proxy web seguro, como myswp.example.com.

  2. Para subir el certificado SSL al Administrador de certificados, sigue estos pasos:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION

    Reemplaza lo siguiente:

    • CERTIFICATE_NAME: El nombre de tu certificado
    • CERTIFICATE_PATH: Es la ruta de acceso al archivo del certificado.
    • KEY_PATH: Es la ruta de acceso al archivo de claves.

    Para obtener más información sobre los certificados SSL, consulta Descripción general de los certificados SSL.

¿Qué sigue?