Implantar uma instância do Secure Web Proxy

Observação: esta página descreve a implantação do Secure Web Proxy como um proxy explícito. Também é possível implantar o proxy seguro da Web como um anexo de serviço do Private Service Connect ou como um salto seguinte.

Neste guia de início rápido, você vai aprender a implantar e testar uma instância do Secure Web Proxy.

Antes de começar

  1. Conclua as etapas de configuração inicial.

  2. Para executar os comandos nesta página, configure a Google Cloud CLI em um dos seguintes ambientes de desenvolvimento:

    Cloud Shell

    Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell:

    No final desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

    Shell local

    Para usar um ambiente de desenvolvimento local, siga estas etapas:

    1. Instale a CLI da gcloud.
    2. Inicialize a CLI gcloud.
  3. Criar ou selecionar um projeto do Google Cloud.

    Console

    No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

    Cloud Shell

    • Crie um projeto do Google Cloud:

      gcloud projects create PROJECT_ID
      

      Substitua PROJECT_ID pelo ID do projeto que você quer.

    • Selecione o projeto do Google Cloud que você criou:

      gcloud config set project PROJECT_ID
      
  4. Crie uma instância de máquina virtual (VM) do Linux:

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    O Compute Engine concede ao usuário que cria a VM o papel de administrador de instâncias do Compute (roles/compute.instanceAdmin). O Compute Engine também adiciona esse usuário ao grupo sudo.

  5. Criar uma regra de firewall

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Criar uma política do Secure Web Proxy

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Proxy seguro da Web.

  3. Clique na guia Políticas.

  4. Clique em Criar uma política.

  5. Digite um nome para a política que você quer criar, como myswppolicy.

  6. Insira uma descrição da política, como My new swp policy.

  7. Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.

  8. Se você quiser configurar a inspeção TLS para o proxy da Web, selecione Configurar inspeção TLS.

  9. Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você criou. A política de inspeção de TLS só aparece na lista se você a criou.

  10. Se você quiser criar regras para a política, clique em Continuar e em Adicionar regra. Para mais detalhes, consulte Criar regras do Secure Web Proxy.

  11. Clique em Criar.

Cloud Shell

  1. Algumas políticas de proxy da Web exigem que o tráfego seja criptografado por TLS para avaliação. Dependendo se você quer a criptografia TLS, use qualquer um dos métodos a seguir para criar uma política:

    • Crie uma política com a configuração de inspeção de TLS.

      Para ativar a inspeção de TLS, execute o procedimento descrito em Ativar a inspeção de TLS e crie o arquivo policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
      
    • Crie uma política sem a configuração de inspeção de TLS.

      Se você não quiser ativar a inspeção TLS, crie o arquivo policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      
  2. Crie a política do Secure Web Proxy:

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Criar regras do Secure Web Proxy

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Proxy seguro da Web.

  3. Clique na guia Políticas.

  4. Clique no nome da sua política.

  5. Clique em Adicionar regra.

  6. Preencha os campos da regra:

    1. Nome
    2. Descrição
    3. Status
    4. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.
    5. Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).
    6. Na seção Correspondência de sessão, especifique os critérios para corresponder à sessão. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem do comparador CEL.
    7. Para ativar a inspeção de TLS, selecione Ativar inspeção de TLS.
    8. Na seção Correspondência de aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para a inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
    9. Clique em Criar.
  7. Clique em Adicionar regra para adicionar outra regra.

  8. Clique em Criar para criar a política.

Cloud Shell

  1. Dependendo se você quer a criptografia TLS, use qualquer um dos seguintes métodos para criar uma regra:

    • Crie uma regra com a configuração de inspeção de TLS.

      Para ativar a inspeção TLS, crie o arquivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      
    • Crie uma regra sem a configuração de inspeção de TLS.

      Se você não quiser ativar a inspeção TLS, crie o arquivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia.org
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      
  2. Crie a regra da política de segurança:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Configurar um proxy da Web

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Proxy seguro da Web.

  3. Clique na guia Proxies da Web.

  4. Clique em Configurar um proxy da Web.

  5. Insira um nome para o proxy da Web que você quer criar, como myswp.

  6. Insira uma descrição do proxy da Web, como My new swp.

  7. Na lista Regiões, selecione a região em que você quer criar o proxy da Web.

  8. Na lista Rede, selecione a rede em que você quer criar o proxy da Web.

  9. Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.

  10. Digite o endereço IP do proxy da Web.

  11. Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  12. Na lista Política, selecione a política que você criou para associar o proxy da Web.

  13. Clique em Criar.

Cloud Shell

  1. Crie o arquivo gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["10.128.0.99"]
    ports: [443]
    certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/default
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
    scope: samplescope
    
  2. Crie uma instância do Secure Web Proxy:

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    A implantação de uma instância do proxy seguro da Web pode levar vários minutos.

testar a conectividade

  1. Conecte-se à VM que você provisionou anteriormente:

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    
  2. Teste a instância do Secure Web Proxy:

    curl -x http://10.128.0.99:80 https://wikipedia.org
    

    Se você configurou a instância do Secure Web Proxy para inspeção TLS, use o seguinte comando:

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
    

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Exclua a instância do Secure Web Proxy swp1

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Proxy seguro da Web. É possível conferir uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.

  3. Selecione o proxy da Web que você quer excluir.

  4. Clique em Excluir.

  5. Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Excluir a regra allow-wikipedia-org

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Proxy seguro da Web. É possível conferir uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.

  3. Clique na guia Políticas.

  4. Clique na sua política.

  5. Selecione a regra que você quer excluir.

  6. Clique em Excluir.

  7. Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Exclua a política do Secure Web Proxy policy1

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Proxy seguro da Web. É possível conferir uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.

  3. Clique na guia Políticas.

  4. Selecione a política que você quer excluir.

  5. Clique em Excluir.

  6. Clique em Excluir novamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Exclua a instância de VM do Linux swp-test-vm

Console

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Selecione as instâncias que você quer excluir.

  3. Clique em Excluir.

Cloud Shell

gcloud compute instances delete swp-test-vm

A seguir