En este documento se describen los pasos de configuración iniciales necesarios para usar el proxy web seguro.
Para poder usar el proxy web seguro, debes completar la siguiente configuración:
- Obtén los roles de Gestión de Identidades y Accesos necesarios.
- Crea o selecciona un Google Cloud proyecto.
- Habilita la facturación y las Google Cloud APIs correspondientes.
- Crea subredes de proxy.
- Sube un certificado SSL a Gestor de certificados.
Esta configuración solo es necesaria la primera vez que uses el proxy web seguro.
Obtener roles de gestión de identidades y accesos
Para obtener permisos, sigue estos pasos:
-
Para obtener los permisos que necesitas para aprovisionar una instancia de Secure Web Proxy, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:
-
Para configurar políticas y aprovisionar una instancia de Secure Web Proxy, sigue estos pasos:
Rol Administrador de red de Compute (
roles/compute.networkAdmin) -
Para subir certificados TLS de proxy web seguro explícitos, siga estos pasos:
Rol Editor de Gestor de certificados (
roles/certificatemanager.editor)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
-
Para configurar políticas y aprovisionar una instancia de Secure Web Proxy, sigue estos pasos:
Rol Administrador de red de Compute (
Opcional: Si tienes un conjunto de usuarios responsables de la gestión continua de las políticas, concédeles el rol Administrador de políticas de seguridad (
roles/compute.orgSecurityPolicyAdmin) para que puedan gestionar las políticas de seguridad.
Crea un Google Cloud proyecto
Para crear o seleccionar un Google Cloud proyecto, sigue estos pasos:
Consola
En la Google Cloud consola, en la página del selector de proyectos, selecciona o crea un Google Cloud proyecto.
Cloud Shell
Crea un Google Cloud proyecto:
gcloud projects create PROJECT_IDSustituye PROJECT_ID por el ID del proyecto que quieras.
Selecciona el Google Cloud proyecto que has creado:
gcloud config set project PROJECT_ID
Habilita la facturación
Comprueba que la facturación esté habilitada en tu Google Cloud proyecto. Para obtener más información, consulta los artículos Habilitar, inhabilitar o cambiar la facturación de un proyecto y Verificar el estado de facturación de tus proyectos.
Habilitar las APIs necesarias
Debes habilitar las siguientes APIs: Google Cloud
compute.googleapis.comcertificatemanager.googleapis.comnetworkservices.googleapis.comnetworksecurity.googleapis.comprivateca.googleapis.com(opcional)
Para habilitar las APIs necesarias, Google Cloud haz lo siguiente:
Consola
Habilita la API Compute Engine.
Habilita la API Certificate Manager.
Habilita la API Network Services.
Habilita la API Network Security.
Opcional: Si tienes previsto configurar la inspección TLS en tu proxy, debes habilitar la API Certificate Authority Service.
gcloud
Ejecuta el siguiente comando:
gcloud services enable \
--compute.googleapis.com \
--certificatemanager.googleapis.com \
--networkservices.googleapis.com \
--networksecurity.googleapis.com \
--privateca.googleapis.com
Crear una subred de proxy
Crea una subred de proxy para cada región en la que implementes el proxy web seguro. Crea una subred de al menos /26, o 64 direcciones de solo proxy. Te recomendamos que uses una subred de tamaño /23, es decir, 512 direcciones de solo proxy, ya que la conectividad de Secure Web Proxy se proporciona mediante un conjunto de direcciones IP reservadas para Secure Web Proxy. Este grupo se usa para asignar direcciones IP únicas en el lado de salida de cada proxy para interactuar con Cloud NAT y los destinos de la red de VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Haz los cambios siguientes:
PROXY_SUBNET_NAME: el nombre que quieras asignar a tu subred de proxyREGION: la región en la que se va a implementar la subred de proxyNETWORK_NAME: el nombre de tu redIP_RANGE: el intervalo de subred, como192.168.0.0/23
Implementar un certificado SSL
Los certificados SSL son opcionales para el proxy web seguro. Para implementar certificados con Certificate Manager, utiliza uno de los siguientes métodos:
Despliega un certificado regional gestionado por Google con autorización de DNS por proyecto. Para obtener más información, consulta Implementar un certificado regional gestionado por Google.
Despliega un certificado gestionado por Google regional con el Servicio de Autoridades de Certificación. Para obtener más información, consulta Implementar un certificado regional gestionado por Google con el servicio de CA.
Despliega un certificado autogestionado regional.
En el siguiente ejemplo se muestra cómo implementar un certificado autogestionado regional mediante Certificate Manager.
Para crear un certificado SSL, sigue estos pasos:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Haz los cambios siguientes:
KEY_PATH: la ruta para guardar la clave, como~/key.pemCERTIFICATE_PATH: la ruta para guardar el certificado, como~/cert.pemSWP_HOST_NAME: el nombre de host de tu instancia de Secure Web Proxy, comomyswp.example.com
Para subir el certificado SSL al Gestor de certificados, sigue estos pasos:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGIONHaz los cambios siguientes:
CERTIFICATE_NAME: el nombre de tu certificadoCERTIFICATE_PATH: la ruta al archivo de certificadoKEY_PATH: la ruta al archivo de clave
Para obtener más información sobre los certificados SSL, consulta el artículo Información general sobre los certificados SSL.
Siguientes pasos
- Implementar y probar una instancia de proxy web seguro
- Usar etiquetas para crear políticas
- Usar una lista de URLs para crear políticas
- Asignar direcciones IP estáticas al tráfico de salida