Pasos de configuración inicial

En este documento se describen los pasos de configuración iniciales necesarios para usar el proxy web seguro.

Para poder usar el proxy web seguro, debes completar la siguiente configuración:

  • Obtén los roles de Gestión de Identidades y Accesos necesarios.
  • Crea o selecciona un Google Cloud proyecto.
  • Habilita la facturación y las Google Cloud APIs correspondientes.
  • Crea subredes de proxy.
  • Sube un certificado SSL a Gestor de certificados.

Esta configuración solo es necesaria la primera vez que uses el proxy web seguro.

Obtener roles de gestión de identidades y accesos

Para obtener permisos, sigue estos pasos:

  1. Para obtener los permisos que necesitas para aprovisionar una instancia de Secure Web Proxy, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

    Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

    También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

  2. Opcional: Si tienes un conjunto de usuarios responsables de la gestión continua de las políticas, concédeles el rol Administrador de políticas de seguridad (roles/compute.orgSecurityPolicyAdmin) para que puedan gestionar las políticas de seguridad.

Crea un Google Cloud proyecto

Para crear o seleccionar un Google Cloud proyecto, sigue estos pasos:

Consola

En la Google Cloud consola, en la página del selector de proyectos, selecciona o crea un Google Cloud proyecto.

Ir al selector de proyectos

Cloud Shell

  • Crea un Google Cloud proyecto:

      gcloud projects create PROJECT_ID

    Sustituye PROJECT_ID por el ID del proyecto que quieras.

  • Selecciona el Google Cloud proyecto que has creado:

      gcloud config set project PROJECT_ID

Habilita la facturación

Comprueba que la facturación esté habilitada en tu Google Cloud proyecto. Para obtener más información, consulta los artículos Habilitar, inhabilitar o cambiar la facturación de un proyecto y Verificar el estado de facturación de tus proyectos.

Habilitar las APIs necesarias

Debes habilitar las siguientes APIs: Google Cloud

  • compute.googleapis.com
  • certificatemanager.googleapis.com
  • networkservices.googleapis.com
  • networksecurity.googleapis.com
  • privateca.googleapis.com (opcional)

Para habilitar las APIs necesarias, Google Cloud haz lo siguiente:

Consola

  1. Habilita la API Compute Engine.

    Activar la API

  2. Habilita la API Certificate Manager.

    Activar la API

  3. Habilita la API Network Services.

    Activar la API

  4. Habilita la API Network Security.

    Activar la API

  5. Opcional: Si tienes previsto configurar la inspección TLS en tu proxy, debes habilitar la API Certificate Authority Service.

    Activar la API

gcloud

Ejecuta el siguiente comando:

    gcloud services enable \
    --compute.googleapis.com \
    --certificatemanager.googleapis.com \
    --networkservices.googleapis.com \
    --networksecurity.googleapis.com \
    --privateca.googleapis.com

Crear una subred de proxy

Crea una subred de proxy para cada región en la que implementes el proxy web seguro. Crea una subred de al menos /26, o 64 direcciones de solo proxy. Te recomendamos que uses una subred de tamaño /23, es decir, 512 direcciones de solo proxy, ya que la conectividad de Secure Web Proxy se proporciona mediante un conjunto de direcciones IP reservadas para Secure Web Proxy. Este grupo se usa para asignar direcciones IP únicas en el lado de salida de cada proxy para interactuar con Cloud NAT y los destinos de la red de VPC.

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

Haz los cambios siguientes:

  • PROXY_SUBNET_NAME: el nombre que quieras asignar a tu subred de proxy
  • REGION: la región en la que se va a implementar la subred de proxy
  • NETWORK_NAME: el nombre de tu red
  • IP_RANGE: el intervalo de subred, como 192.168.0.0/23

Implementar un certificado SSL

Los certificados SSL son opcionales para el proxy web seguro. Para implementar certificados con Certificate Manager, utiliza uno de los siguientes métodos:

  1. Para crear un certificado SSL, sigue estos pasos:

    openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"

    Haz los cambios siguientes:

    • KEY_PATH: la ruta para guardar la clave, como ~/key.pem
    • CERTIFICATE_PATH: la ruta para guardar el certificado, como ~/cert.pem
    • SWP_HOST_NAME: el nombre de host de tu instancia de Secure Web Proxy, como myswp.example.com

  2. Para subir el certificado SSL al Gestor de certificados, sigue estos pasos:

    gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION

    Haz los cambios siguientes:

    • CERTIFICATE_NAME: el nombre de tu certificado
    • CERTIFICATE_PATH: la ruta al archivo de certificado
    • KEY_PATH: la ruta al archivo de clave

    Para obtener más información sobre los certificados SSL, consulta el artículo Información general sobre los certificados SSL.

Siguientes pasos