Déployer une instance de proxy Web sécurisé

Remarque: Cette page décrit le déploiement du proxy Web sécurisé en tant que proxy explicite. Vous pouvez également déployer le proxy Web sécurisé en tant que rattachement de service Private Service Connect ou en tant que saut suivant.

Ce guide de démarrage rapide explique comment déployer et tester une instance de proxy Web sécurisé.

Avant de commencer

  1. Suivez les étapes de configuration initiale.

  2. Pour exécuter les commandes sur cette page, configurez Google Cloud CLI dans l'un des environnements de développement suivants:

    Cloud Shell

    Pour utiliser un terminal en ligne avec la gcloud CLI déjà configurée, activez Cloud Shell:

    À la fin de cette page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

    Interface système locale

    Pour utiliser un environnement de développement local, procédez comme suit :

    1. Installez la CLI gcloud.
    2. Initialisez gcloud CLI.

  3. Créez ou sélectionnez un projet Google Cloud.

    Console

    Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

    Cloud Shell

    • Créez un projet Google Cloud :

      gcloud projects create PROJECT_ID

      Remplacez PROJECT_ID par l'ID du projet souhaité.

    • Sélectionnez le projet Google Cloud que vous avez créé :

      gcloud config set project PROJECT_ID

  4. Créez une instance de machine virtuelle (VM) Linux:

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Compute Engine attribue le rôle Administrateur d'instance Compute (roles/compute.instanceAdmin) à l'utilisateur qui crée la VM. Compute Engine ajoute également cet utilisateur au groupe sudo.

  5. Créez une règle de pare-feu :

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Créer une règle de proxy Web sécurisé

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur l'onglet Règles.

  4. Cliquez sur Create a policy (Créer une règle).

  5. Saisissez un nom pour la stratégie que vous souhaitez créer, par exemple myswppolicy.

  6. Saisissez une description de la stratégie, par exemple My new swp policy.

  7. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web.

  8. Si vous souhaitez configurer l'inspection TLS pour le proxy Web, sélectionnez Configurer l'inspection TLS.

  9. Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous avez créée. La règle d'inspection TLS n'apparaît dans la liste que si vous l'avez créée.

  10. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.

  11. Cliquez sur Créer.

Cloud Shell

  1. Certaines règles de proxy Web exigent que le trafic soit chiffré TLS pour l'évaluation. Selon que vous souhaitez utiliser le chiffrement TLS ou non, utilisez l'une des méthodes suivantes pour créer une règle:

    • Créez une stratégie avec la configuration d'inspection TLS.

      Pour activer l'inspection TLS, suivez la procédure décrite dans la section Activer l'inspection TLS, puis créez le fichier policy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

    • Créez une stratégie sans configurer l'inspection TLS.

      Si vous ne souhaitez pas activer l'inspection TLS, créez le fichier policy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

  2. Créez la stratégie de proxy Web sécurisé:

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Créer des règles de proxy Web sécurisé

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur l'onglet Règles.

  4. Cliquez sur le nom de votre stratégie.

  5. Cliquez sur Ajouter une règle.

  6. Renseignez les champs de la règle :

    1. Nom
    2. Description
    3. Status
    4. Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée.
    5. Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
    6. Dans la section Correspondance de session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.
    7. Pour activer l'inspection TLS, sélectionnez Activer l'inspection TLS.
    8. Dans la section Application Match (Correspondance des applications), spécifiez les critères de correspondance de la requête. Si vous n'activez pas la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.
    9. Cliquez sur Créer.

  7. Cliquez sur Ajouter une règle pour ajouter une règle.

  8. Cliquez sur Créer pour créer la règle.

Cloud Shell

  1. Selon que vous souhaitez utiliser le chiffrement TLS ou non, utilisez n'importe quelle des méthodes suivantes pour créer une règle:

    • Créez une règle avec la configuration d'inspection TLS.

      Pour activer l'inspection TLS, créez le fichier rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

    • Créez une règle sans configurer l'inspection TLS.

      Si vous ne souhaitez pas activer l'inspection TLS, créez le fichier rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'

  2. Créez la règle de stratégie de sécurité:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurer un proxy Web

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur l'onglet Proxys Web.

  4. Cliquez sur Configurer un proxy Web.

  5. Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple myswp.

  6. Saisissez une description du proxy Web, par exemple My new swp.

  7. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  8. Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.

  9. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

  10. Saisissez l'adresse IP du proxy Web.

  11. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  12. Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  13. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["10.128.0.99"]
ports: [443]
certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/default
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
scope: samplescope

  2. Créez une instance de proxy Web sécurisé:

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Tester la connectivité

  1. Connectez-vous à la VM que vous avez provisionnée précédemment:

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

  2. Testez l'instance du proxy Web sécurisé:

    curl -x http://10.128.0.99:80 https://wikipedia.org

    Si vous avez configuré l'instance du proxy Web sécurisé pour l'inspection TLS, utilisez la commande suivante:

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Google Cloud, procédez comme suit :

Supprimer l'instance swp1 du proxy Web sécurisé

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux d'un réseau donné.

  3. Sélectionnez le proxy Web que vous souhaitez supprimer.

  4. Cliquez sur Supprimer.

  5. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Supprimer la règle allow-wikipedia-org

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux d'un réseau donné.

  3. Cliquez sur l'onglet Règles.

  4. Cliquez sur la stratégie.

  5. Sélectionnez la règle que vous souhaitez supprimer.

  6. Cliquez sur Supprimer.

  7. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Supprimer la stratégie de proxy Web sécurisé policy1

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux d'un réseau donné.

  3. Cliquez sur l'onglet Règles.

  4. Sélectionnez la stratégie que vous souhaitez supprimer.

  5. Cliquez sur Supprimer.

  6. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Supprimer l'instance de VM Linux swp-test-vm

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Sélectionnez les instances à supprimer.

  3. Cliquez sur Supprimer.

Cloud Shell

gcloud compute instances delete swp-test-vm

Étape suivante