Implementa una instancia del Proxy web seguro

Nota: En esta página, se describe la implementación del Proxy web seguro como un proxy explícito. Como alternativa, puedes implementar el proxy web seguro como un adjunto de servicio de Private Service Connect o como un próximo salto.

En esta guía de inicio rápido, se muestra cómo implementar y probar una instancia del Proxy web seguro.

Antes de comenzar

  1. Completa los pasos de configuración inicial.

  2. Para ejecutar los comandos de esta página, configura Google Cloud CLI en uno de los siguientes entornos de desarrollo:

    Cloud Shell

    Para usar una terminal en línea con gcloud CLI ya configurada, Activa Cloud Shell:

    Al final de esta página, se inicia una sesión de Cloud Shell y se muestra una instrucción de línea de comandos. La sesión puede tardar unos segundos en inicializarse.

    Shell local

    Para usar un entorno de desarrollo local, sigue estos pasos:

    1. Instala la CLI de gcloud.
    2. Inicializa la CLI de gcloud.
  3. Crea o selecciona un proyecto de Google Cloud.

    Console

    En la página del selector de proyectos de la consola de Google Cloud, seleccionar o crear un proyecto de Google Cloud

    Ir al selector de proyectos

    Cloud Shell

    • Crea un proyecto de Google Cloud:

      gcloud projects create PROJECT_ID
      

      Reemplaza PROJECT_ID por el ID del proyecto que desees.

    • Selecciona el proyecto de Google Cloud que creaste:

      gcloud config set project PROJECT_ID
      
  4. Crea una instancia de máquina virtual (VM) de Linux:

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    Compute Engine otorga al usuario que crea la VM el rol de Administrador de instancias de Compute (roles/compute.instanceAdmin). Compute Engine también agrega ese usuario al grupo sudo.

  5. Crea una regla de firewall:

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Crea una política del Proxy web seguro

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro.

  3. Haz clic en la pestaña Políticas.

  4. Haz clic en Crear una política.

  5. Ingresa un nombre para la política que deseas crear, como myswppolicy.

  6. Ingresa una descripción de la política, como My new swp policy.

  7. En la lista Regiones, selecciona la región a la que deseas ir. crea la política de proxy web.

  8. Si quieres configurar la inspección de TLS para el proxy web, selecciona Configura la inspección de TLS.

  9. En la lista Política de inspección de TLS, selecciona la política de inspección de TLS que creaste. La política de inspección de TLS aparece en la lista solo si tú la creaste.

  10. Si deseas crear reglas para tu política, haz clic en Continuar y, luego, en Agregar regla. Para obtener más información, consulta Cómo crear reglas del Proxy web seguro.

  11. Haz clic en Crear.

Cloud Shell

  1. Algunas políticas de proxy web requieren que el tráfico se encripte con TLS para su evaluación. Dependiendo de si deseas encriptación TLS, Usa cualquiera de los siguientes métodos para crear una política:

    • Crea una política con la configuración de inspección de TLS.

      Para habilitar la inspección de TLS, realiza el procedimiento que se describe en Habilita la inspección de TLS y, luego, crea el archivo policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
      
    • Crea una política sin la configuración de inspección de TLS.

      Si no quieres habilitar la inspección de TLS, crea el archivo policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      
  2. Crea la política del Proxy web seguro:

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Crea reglas del Proxy web seguro

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro.

  3. Haz clic en la pestaña Políticas.

  4. Haz clic en el nombre de la política.

  5. Haz clic en Agregar regla.

  6. Propaga los campos de la regla:

    1. Nombre
    2. Descripción
    3. Estado
    4. Prioridad: El orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta.
    5. En la sección Acción, especifica si se permiten las conexiones que coinciden con la regla (Permitir) o si se rechazan (Rechazar).
    6. En la sección Coincidencia de sesión, especifica los criterios correspondientes a que coincidan con la sesión. Para obtener más información sobre la sintaxis de SessionMatcher, consulta la Referencia del lenguaje del comparador de CEL.
    7. Para habilitar la inspección de TLS, selecciona Habilitar la inspección de TLS.
    8. En la sección Coincidencia de aplicaciones, especifica los criterios para que coincida con la solicitud. Si no habilitas la regla para la inspección de TLS, la solicitud solo puede coincidir con el tráfico HTTP.
    9. Haz clic en Crear.
  7. Haz clic en Agregar regla para agregar otra regla.

  8. Haz clic en Crear para crear la política.

Cloud Shell

  1. Según si deseas usar la encriptación TLS, usa cualquier de los siguientes métodos para crear una regla:

    • Crea una regla con la configuración de inspección de TLS.

      Para habilitar la inspección de TLS, crea el archivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      
    • Crea una regla sin la configuración de inspección de TLS.

      Si no quieres habilitar la inspección de TLS, crea el archivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia.org
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      
  2. Crea la regla de la política de seguridad:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Configura un proxy web

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro.

  3. Haz clic en la pestaña Proxy web.

  4. Haz clic en Configurar un proxy web.

  5. Ingresa un nombre para el proxy web que deseas crear, como myswp.

  6. Ingresa una descripción del proxy web, como My new swp.

  7. En la lista Regiones, selecciona la región en la que deseas crear el proxy web.

  8. En la lista Red, selecciona la red en la que deseas crear la proxy web.

  9. En la lista Subred, selecciona la subred en la que deseas crear el proxy web.

  10. Ingresa la dirección IP del proxy web.

  11. En la lista Certificado, selecciona el certificado que deseas usar para crear el proxy web.

  12. En la lista Política, selecciona la política que creaste para asociar el proxy web.

  13. Haz clic en Crear.

Cloud Shell

  1. Crea el archivo gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["10.128.0.99"]
    ports: [443]
    certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/default
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
    scope: samplescope
    
  2. Crea una instancia del Proxy web seguro:

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    Una instancia de Proxy web seguro puede tardar varios minutos en implementarse.

Prueba la conectividad

  1. Conéctate a la VM que aprovisionaste anteriormente:

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    
  2. Prueba la instancia del Proxy web seguro:

    curl -x http://10.128.0.99:80 https://wikipedia.org
    

    Si configuraste la instancia del Proxy web seguro para la inspección de TLS, usa el siguiente comando:

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
    

Limpia

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

Borra la instancia del Proxy web seguro swp1

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro. Puedes ver una lista de todos los proxies web o solo aquellos de una red en particular.

  3. Selecciona el proxy web que deseas borrar.

  4. Haz clic en Borrar.

  5. Haga clic en Borrar nuevamente para confirmar.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Borrar la regla allow-wikipedia-org

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro. Puedes ver una lista de todos los proxies web o solo los de una red en particular.

  3. Haz clic en la pestaña Políticas.

  4. Haz clic en tu política.

  5. Selecciona la regla que quieres borrar.

  6. Haz clic en Borrar.

  7. Haga clic en Borrar nuevamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Borrar la política del Proxy web seguro policy1

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro. Puedes ver una lista de todos los proxies web o solo los de una red en particular.

  3. Haz clic en la pestaña Políticas.

  4. Selecciona la política que quieres borrar.

  5. Haz clic en Borrar.

  6. Haga clic en Borrar nuevamente para confirmar.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Borra la instancia de VM de Linux swp-test-vm

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona las instancias que quieres borrar.

  3. Haz clic en Borrar.

Cloud Shell

gcloud compute instances delete swp-test-vm

¿Qué sigue?