Implementa una instancia del proxy web seguro

En esta guía de inicio rápido, se explica cómo implementar y probar una instancia de proxy web seguro.

En los pasos, se describe la implementación del Proxy web seguro en el modo de enrutamiento explícito, que funciona como un proxy explícito. Las instancias de Secure Web Proxy en modo de enrutamiento explícito se pueden publicar como un servicio de Private Service Connect.

Como alternativa, puedes implementar el proxy web seguro en el modo de enrutamiento del próximo salto. Para obtener más información, consulta Implementa Secure Web Proxy como próximo salto.

Antes de comenzar

  1. Completa los pasos de configuración inicial.

  2. Opcional: Instala Google Cloud CLI en cualquiera de los siguientes entornos de desarrollo si deseas ejecutar los ejemplos de la línea de comandos de gcloud que se especifican en esta guía:

    Cloud Shell

    Para usar una terminal en línea con gcloud CLI ya configurada, activa Cloud Shell:

    Al final de esta página, se inicia una sesión de Cloud Shell y se muestra una ventana de línea de comandos. La sesión puede tardar unos segundos en inicializarse.

    Si ya instalaste gcloud CLI, asegúrate de tener la versión más reciente disponible ejecutando gcloud components update.

    Shell local

    Para usar un entorno de desarrollo local, sigue estos pasos:

    1. Instala la CLI de gcloud.
    2. Inicializa la CLI de gcloud.

  3. Crea o selecciona un Google Cloud proyecto.

    Si no planeas conservar los recursos que creaste durante este procedimiento, crea un proyecto en lugar de seleccionar uno existente. Cuando termines, puedes borrar el proyecto y quitar todos los recursos asociados con él.

    Console

    En la consola de Google Cloud , en la página del selector de proyectos, selecciona o crea un proyecto de Google Cloud .

    Ir al selector de proyectos

    Cloud Shell

    • Crea un proyecto Google Cloud :

      gcloud projects create PROJECT_ID

      Reemplaza PROJECT_ID por el ID del proyecto que desees.

    • Selecciona el proyecto Google Cloud que creaste:

      gcloud config set project PROJECT_ID

  4. Crea una instancia de máquina virtual (VM) de Linux.

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Reemplaza ZONE por la zona de tu instancia de VM de prueba.

    Compute Engine otorga al usuario que crea la VM el rol de administrador de instancias de Compute (roles/compute.instanceAdmin) y también lo agrega al grupo sudo.

  5. Crea una regla de firewall.

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Crea una política del Proxy web seguro

Console

  1. En la consola de Google Cloud , ve a la página Políticas de SWP.

    Ir a Políticas de SWP

  2. Haz clic en Crear una política.

  3. Ingresa un nombre para la política que deseas crear, como policy1.

  4. Ingresa una descripción de la política, como My new swp policy.

  5. En la lista Regiones, selecciona la región en la que deseas crear la política de proxy web.

  6. Si deseas crear reglas para tu política, haz clic en Agregar regla. Para obtener más información, consulta la sección Crea reglas de Proxy web seguro.

  7. Haz clic en Crear.

Cloud Shell

  1. Crea el archivo policy.yaml.

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto
    • REGION: La región de tu política

  2. Crea la política del Proxy web seguro.

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Crea reglas del Proxy web seguro

Console

  1. En la consola de Google Cloud , ve a la página Políticas de SWP.

    Ir a Políticas de SWP

  2. Haz clic en el nombre de la política.

  3. Haz clic en Agregar regla.

  4. Propaga los siguientes campos de la regla:

    1. Nombre
    2. Descripción
    3. Estado
    4. Prioridad: Orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta.
    5. En la sección Acción, especifica si se permiten las conexiones que coinciden con la regla (Permitir) o si se rechazan (Rechazar).
    6. En la sección Session Match, especifica los criterios para correlacionar la sesión. Para obtener más información sobre la sintaxis de SessionMatcher, consulta la referencia del lenguaje del comparador de CEL.

    7. En la sección Application Match, especifica los criterios para correlacionar la solicitud. Como no habilitamos la regla para la inspección de TLS, la solicitud solo puede coincidir con el tráfico HTTP.

      Para obtener información sobre la correlación del tráfico de TPC, consulta Configura reglas de proxy TCP para tu aplicación.

    8. Haz clic en Crear.

  5. Haz clic en Agregar regla para agregar otra regla.

Cloud Shell

  1. Crea el archivo rule.yaml como se muestra aquí. Para obtener más información sobre la sintaxis de SessionMatcher, consulta la referencia del lenguaje del comparador de CEL.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'www.wikipedia.org'

  2. Crea la regla de la política de seguridad.

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configura un proxy web

En esta sección, se explica cómo implementar Secure Web Proxy en el modo de enrutamiento explícito, que funciona como un proxy explícito.

Console

  1. En la consola de Google Cloud , ve a la página Proxies web.

    Ir a Proxies web

  2. Haz clic en Crear un proxy web seguro.

  3. Ingresa un nombre para el proxy web que deseas crear, como myswp.

  4. Ingresa una descripción del proxy web, como My new swp.

  5. En Modo de enrutamiento, selecciona la opción Explícito.

  6. En la lista Regiones, selecciona la región en la que deseas crear el proxy web.

  7. En la lista Red, selecciona la red en la que deseas crear el proxy web.

  8. En la lista Subred, selecciona la subred en la que deseas crear el proxy web.

    Importante: Debes usar la subred de VPC que creaste anteriormente como parte de los pasos de configuración inicial.

  9. Opcional: Ingresa la dirección IP del proxy web seguro. Puedes ingresar una dirección IP del rango de direcciones IP del proxy web seguro que se encuentra en la subred que creaste en el paso anterior. Si no ingresas la dirección IP, tu instancia de Secure Web Proxy elegirá automáticamente una dirección IP de la subred seleccionada.

  10. En la lista Certificado, selecciona el certificado que deseas usar para crear el proxy web.

  11. En la lista Política, selecciona la política que creaste para asociar el proxy web.

  12. Haz clic en Crear.

Cloud Shell

  1. Crea el archivo gateway.yaml.

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID del proyecto
    • REGION: Es la región de tu instancia de Secure Web Proxy.
    • IP_ADDRESS: La dirección IP de tu instancia de Secure Web Proxy
    • NETWORK: Es la red de tu instancia de Secure Web Proxy.
    • SUBNETWORK: Es la subred de tu instancia de Secure Web Proxy. Debes usar la subred de VPC que creaste anteriormente como parte de los pasos de configuración inicial.

  2. Crea una instancia de Proxy web seguro basada en gateway.yaml.

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    La implementación de una instancia de proxy web seguro puede tardar varios minutos.

Prueba la conectividad

  1. Conéctate a la VM que aprovisionaste anteriormente.

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

    Reemplaza ZONE por la zona de tu instancia de VM de prueba.

  2. Prueba la instancia del Proxy web seguro.

    curl -s -o /dev/null -w "%{http_code}\\n" -x IP_ADDRESS:443 https://www.wikipedia.org

    Reemplaza IP_ADDRESS por la dirección IP de tu instancia de Proxy web seguro. Este comando imprime el código de estado HTTP que devuelve www.wikipedia.org. Si el comando se ejecuta correctamente, el código de estado es 200. Sin embargo, si hay un problema con el proxy, el comando devolverá un código de estado 000 para indicar un error de conexión. Para ver los mensajes de error detallados, agrega la opción -v al comando.

No configuramos la inspección de TLS en el ejemplo que se menciona en esta página. Para obtener más información sobre cómo configurar el Proxy web seguro para la inspección de TLS y, luego, probar tu instancia del Proxy web seguro, consulta Habilita la inspección de TLS.

Limpia

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

Borra la instancia de swp1 Proxy web seguro

Console

  1. En la consola de Google Cloud , ve a la página Proxies web. Puedes ver la lista de todos los proxies web o solo los que están disponibles en una red en particular.

    Ir a Proxies web

  2. Selecciona el proxy web que deseas borrar.

  3. Haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Reemplaza REGION por la región de tu instancia de Proxy web seguro.

Borra la regla allow-wikipedia-org.

Console

  1. En la consola de Google Cloud , ve a la página Proxies web. Puedes ver la lista de todos los proxies web o solo los que están disponibles en una red en particular.

    Ir a Proxies web

  2. Haz clic en tu política.

  3. Selecciona la regla que quieres borrar.

  4. Haz clic en Borrar.

  5. Haga clic en Borrar nuevamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Reemplaza REGION por la región de tu política.

Borra la política de Proxy web seguro policy1

Console

  1. En la consola de Google Cloud , ve a la página Proxies web. Puedes ver la lista de todos los proxies web o solo los que están disponibles en una red en particular.

    Ir a Proxies web

  2. Selecciona la política que deseas borrar.

  3. Haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Reemplaza REGION por la región de tu política.

Borra la instancia de VM de Linux swp-test-vm

Console

  1. En la Google Cloud consola, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona las instancias que deseas borrar.

  3. Haz clic en Borrar.

Cloud Shell 

gcloud compute instances delete swp-test-vm

¿Qué sigue?