Esegui il deployment di un'istanza di Secure Web Proxy

Nota: questa pagina descrive il deployment di Secure Web Proxy come proxy esplicito. In alternativa, puoi implementare Secure Web Proxy come allegato del servizio Private Service Connect o come hop successivo.

Questa guida rapida mostra come eseguire il deployment e il test di un'istanza di Secure Web Proxy.

Prima di iniziare

  1. Completa i passaggi della configurazione iniziale.

  2. Per eseguire i comandi in questa pagina, configura lGoogle Cloud CLI in uno dei seguenti ambienti di sviluppo:

    Cloud Shell

    Per utilizzare un terminale online con gcloud CLI già configurato, attiva Cloud Shell:

    Alla fine di questa pagina, viene avviata una sessione Cloud Shell e visualizzato un prompt della riga di comando. L'inizializzazione della sessione può richiedere alcuni secondi.

    Shell locale

    Per utilizzare un ambiente di sviluppo locale:

    1. Installa la gcloud CLI.
    2. Inizializza la gcloud CLI.

  3. Crea o seleziona un progetto Google Cloud.

    Console

    Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud.

    Vai al selettore dei progetti

    Cloud Shell

    • Crea un progetto Google Cloud:

      gcloud projects create PROJECT_ID

      Sostituisci PROJECT_ID con l'ID progetto che preferisci.

    • Seleziona il progetto Google Cloud che hai creato:

      gcloud config set project PROJECT_ID

  4. Crea un'istanza di macchina virtuale (VM) Linux:

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Compute Engine concede all'utente che crea la VM il ruolo Amministratore di istanza Compute (roles/compute.instanceAdmin). Inoltre, aggiunge l'utente al gruppo sudo.

  5. Crea una regola firewall:

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Crea un criterio Secure Web Proxy

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro).

  3. Fai clic sulla scheda Norme.

  4. Fai clic su Crea un criterio.

  5. Inserisci un nome per il criterio che vuoi creare, ad esempio myswppolicy.

  6. Inserisci una descrizione della norma, ad esempio My new swp policy.

  7. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio del proxy web.

  8. Se vuoi configurare l'ispezione TLS per il proxy web, seleziona Configura l'ispezione TLS.

  9. Nell'elenco Criteri di ispezione TLS, seleziona la policy di ispezione TLS che hai creato. Il criterio di ispezione TLS viene visualizzato nell'elenco solo se lo hai creato.

  10. Se vuoi creare regole per le norme, fai clic su Continua e poi su Aggiungi regola. Per maggiori dettagli, consulta Creare regole di Secure Web Proxy.

  11. Fai clic su Crea.

Cloud Shell

  1. Alcuni criteri del proxy web richiedono che il traffico sia criptato con TLS per la valutazione. A seconda che tu voglia la crittografia TLS, utilizza uno dei seguenti metodi per creare un criterio:

    • Crea un criterio con la configurazione di ispezione TLS.

      Per attivare l'ispezione TLS, esegui la procedura descritta in Attivare l'ispezione TLS e poi crea il file policy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

    • Crea un criterio senza la configurazione dell'ispezione TLS.

      Se non vuoi attivare l'ispezione TLS, crea il filepolicy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

  2. Crea il criterio Secure Web Proxy:

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Creare regole di Secure Web Proxy

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro).

  3. Fai clic sulla scheda Norme.

  4. Fai clic sul nome del criterio.

  5. Fai clic su Aggiungi regola.

  6. Compila i campi della regola:

    1. Nome
    2. Descrizione
    3. Stato
    4. Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta.
    5. Nella sezione Azione, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti) o negate (Nega).
    6. Nella sezione Corrispondenza sessione, specifica i criteri per la corrispondenza della sessione. Per ulteriori informazioni sulla sintassi di SessionMatcher, consulta il riferimento al linguaggio dei corrispondenti CEL.
    7. Per attivare l'ispezione TLS, seleziona Attiva ispezione TLS.
    8. Nella sezione Corrispondenza delle applicazioni, specifica i criteri per la corrispondenza della richiesta. Se non attivi la regola per l'ispezione TLS, la richiesta può corrispondere solo al traffico HTTP.
    9. Fai clic su Crea.

  7. Fai clic su Aggiungi regola per aggiungere un'altra regola.

  8. Fai clic su Crea per creare il criterio.

Cloud Shell

  1. A seconda che tu voglia la crittografia TLS, utilizza uno dei seguenti metodi per creare una regola:

    • Crea una regola con la configurazione dell'ispezione TLS.

      Per attivare l'ispezione TLS, crea il file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

    • Crea una regola senza la configurazione dell'ispezione TLS.

      Se non vuoi attivare l'ispezione TLS, crea il file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'

  2. Crea la regola del criterio di sicurezza:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurare un proxy web

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro).

  3. Fai clic sulla scheda Proxy web.

  4. Fai clic su Configura un proxy web.

  5. Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.

  6. Inserisci una descrizione del proxy web, ad esempio My new swp.

  7. Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.

  8. Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.

  9. Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.

  10. Inserisci l'indirizzo IP del proxy web.

  11. Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.

  12. Nell'elenco Norma, seleziona la norma creata per associare il proxy web.

  13. Fai clic su Crea.

Cloud Shell

  1. Crea il file gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["10.128.0.99"]
ports: [443]
certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/default
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
scope: samplescope

  2. Crea un'istanza di Secure Web Proxy:

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    Il deployment di un'istanza di Secure Web Proxy può richiedere diversi minuti.

Testa la connettività

  1. Connettiti alla VM di cui hai eseguito il provisioning in precedenza:

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

  2. Testa l'istanza di Secure Web Proxy:

    curl -x http://10.128.0.99:80 https://wikipedia.org

    Se hai configurato l'istanza di Secure Web Proxy per l'ispezione TLS, utilizza il seguente comando:

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

Elimina l'istanza di Secure Web Proxy swp1

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro). Puoi visualizzare un elenco di tutti i proxy web o solo quelli di una determinata rete.

  3. Seleziona il proxy web che vuoi eliminare.

  4. Fai clic su Elimina.

  5. Fai di nuovo clic su Elimina per confermare.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Elimina la regola allow-wikipedia-org

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro). Puoi visualizzare un elenco di tutti i proxy web o solo quelli di una determinata rete.

  3. Fai clic sulla scheda Norme.

  4. Fai clic sul criterio.

  5. Seleziona la regola che vuoi eliminare.

  6. Fai clic su Elimina.

  7. Fai di nuovo clic su Elimina per confermare.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Elimina il criterio Secure Web Proxy policy1

Console

  1. Nella console Google Cloud, vai alla pagina Sicurezza di rete.

    Vai a Sicurezza della rete

  2. Fai clic su Secure Web Proxy (Proxy web sicuro). Puoi visualizzare un elenco di tutti i proxy web o solo quelli di una determinata rete.

  3. Fai clic sulla scheda Norme.

  4. Seleziona il criterio che vuoi eliminare.

  5. Fai clic su Elimina.

  6. Fai di nuovo clic su Elimina per confermare.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Elimina l'istanza VM Linux swp-test-vm

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Seleziona le istanze da eliminare.

  3. Fai clic su Elimina.

Cloud Shell 

gcloud compute instances delete swp-test-vm

Passaggi successivi