Men-deploy instance Proxy Web yang Aman

Panduan memulai ini menunjukkan cara men-deploy dan menguji instance Proxy Web Aman.

Sebelum memulai

  1. Selesaikan langkah-langkah penyiapan awal.

  2. Untuk menjalankan perintah di halaman ini, siapkan Google Cloud CLI di salah satu lingkungan pengembangan berikut:

    Cloud Shell

    Untuk menggunakan terminal online dengan gcloud CLI yang sudah disiapkan, aktifkan Cloud Shell:

    Di akhir halaman ini, sesi Cloud Shell dimulai dan menampilkan perintah command line. Perlu waktu beberapa detik hingga sesi diinisialisasi.

    Shell lokal

    Untuk menggunakan lingkungan pengembangan lokal, ikuti langkah-langkah berikut:

    1. Instal gcloud CLI.
    2. Lakukan inisialisasi gcloud CLI.
  3. Membuat atau memilih project Google Cloud.

    Konsol

    Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

    Cloud Shell

    • Membuat project Google Cloud:

      gcloud projects create PROJECT_ID
      

      Ganti PROJECT_ID dengan project ID yang Anda inginkan.

    • Pilih project Google Cloud yang Anda buat:

      gcloud config set project PROJECT_ID
      
  4. Buat instance virtual machine (VM) Linux:

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    Compute Engine memberikan peran Compute Engine Admin kepada pengguna yang membuat VM (roles/compute.instanceAdmin). Compute Engine juga menambahkan pengguna tersebut ke grup sudo.

  5. Buat aturan firewall:

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Membuat kebijakan Proxy Web yang Aman

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik Create a policy.

  5. Masukkan nama untuk kebijakan yang ingin Anda buat, seperti myswppolicy.

  6. Masukkan deskripsi kebijakan, seperti My new swp policy.

  7. Dalam daftar Regions, pilih region tempat Anda ingin membuat kebijakan proxy web.

  8. Jika Anda ingin mengonfigurasi pemeriksaan TLS untuk proxy web, pilih Konfigurasi pemeriksaan TLS.

  9. Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang Anda buat. Kebijakan pemeriksaan TLS akan muncul dalam daftar hanya jika Anda yang membuatnya.

  10. Jika Anda ingin membuat aturan untuk kebijakan Anda, klik Continue, lalu klik Add rule. Untuk mengetahui detailnya, lihat Membuat aturan Proxy Web yang Aman.

  11. Klik Create.

Cloud Shell

  1. Beberapa kebijakan proxy web mengharuskan traffic dienkripsi TLS untuk evaluasi. Bergantung pada apakah Anda ingin enkripsi TLS, gunakan salah satu metode berikut untuk membuat kebijakan:

    • Buat kebijakan dengan konfigurasi pemeriksaan TLS.

      Untuk mengaktifkan pemeriksaan TLS, lakukan prosedur yang dijelaskan dalam Mengaktifkan pemeriksaan TLS, lalu buat file policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
      
    • Buat kebijakan tanpa konfigurasi pemeriksaan TLS.

      Jika Anda tidak ingin mengaktifkan pemeriksaan TLS, buat file policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      
  2. Buat kebijakan Secure Web Proxy:

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Membuat aturan Proxy Web yang Aman

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik nama kebijakan Anda.

  5. Klik Tambahkan Aturan.

  6. Isi kolom aturan:

    1. Nama
    2. Deskripsi
    3. Status
    4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 sebagai prioritas tertinggi.
    5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
    6. Di bagian Pencocokan Sesi, tentukan kriteria untuk cocok dengan sesi. Guna mengetahui informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.
    7. Untuk mengaktifkan pemeriksaan TLS, pilih Aktifkan pemeriksaan TLS.
    8. Di bagian Pencocokan Aplikasi, tentukan kriteria untuk cocok dengan permintaan. Jika Anda tidak mengaktifkan aturan untuk pemeriksaan TLS, permintaan hanya dapat cocok dengan traffic HTTP.
    9. Klik Create.
  7. Klik Add rule untuk menambahkan aturan lain.

  8. Klik Create untuk membuat kebijakan.

Cloud Shell

  1. Bergantung pada apakah Anda ingin enkripsi TLS, gunakan salah satu metode berikut untuk membuat aturan:

    • Membuat aturan dengan konfigurasi pemeriksaan TLS.

      Untuk mengaktifkan pemeriksaan TLS, buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      
    • Membuat aturan tanpa konfigurasi pemeriksaan TLS.

      Jika Anda tidak ingin mengaktifkan pemeriksaan TLS, buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia.org
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      
  2. Buat aturan kebijakan keamanan:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Menyiapkan proxy web

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Web proxy.

  4. Klik Siapkan proxy web.

  5. Masukkan nama untuk proxy web yang ingin Anda buat, misalnya myswp.

  6. Masukkan deskripsi proxy web, seperti My new swp.

  7. Dalam daftar Regions, pilih region tempat Anda ingin membuat proxy web.

  8. Dalam daftar Jaringan, pilih jaringan tempat Anda ingin membuat proxy web.

  9. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  10. Masukkan alamat IP proxy web.

  11. Dalam daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  12. Dalam daftar Policy, pilih kebijakan yang Anda buat untuk mengaitkan proxy web dengan.

  13. Klik Create.

Cloud Shell

  1. Buat file gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["10.128.0.99"]
    ports: [443]
    certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/default
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
    scope: samplescope
    
  2. Buat instance Proxy Web yang Aman:

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    Instance Proxy Web Aman dapat memerlukan waktu beberapa menit untuk di-deploy.

Menguji konektivitas

  1. Hubungkan ke VM yang sebelumnya Anda sediakan:

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    
  2. Menguji instance Proxy Web Aman:

    curl -x https://10.128.0.99:443 https://wikipedia.org --proxy-insecure
    

    Jika Anda mengonfigurasi instance Proxy Web Aman untuk pemeriksaan TLS, gunakan perintah berikut:

    curl -x https://10.128.0.99:443 https://wikipedia.org/index.html --proxy-insecure
    

Pembersihan

Agar akun Google Cloud Anda tidak dikenakan biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

Hapus instance Proxy Web Aman swp1

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua {i>proxy<i} web atau hanya {i>proxy<i} yang ada di jaringan tertentu.

  3. Pilih proxy web yang ingin dihapus.

  4. Klik Delete.

  5. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Hapus aturan allow-wikipedia-org

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua {i>proxy<i} web atau hanya {i>proxy<i} yang ada di jaringan tertentu.

  3. Klik tab Kebijakan.

  4. Klik kebijakan Anda.

  5. Pilih aturan yang ingin dihapus.

  6. Klik Delete.

  7. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Hapus kebijakan Proxy Web Aman policy1

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua {i>proxy<i} web atau hanya {i>proxy<i} yang ada di jaringan tertentu.

  3. Klik tab Kebijakan.

  4. Pilih kebijakan yang ingin Anda hapus.

  5. Klik Delete.

  6. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Hapus instance VM Linux swp-test-vm

Konsol

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Pilih instance yang ingin dihapus.

  3. Klik Delete.

Cloud Shell

gcloud compute instances delete swp-test-vm

Langkah selanjutnya