Déployer une instance de proxy Web sécurisé

Remarque : Cette page décrit le déploiement du proxy Web sécurisé en tant que proxy explicite. Vous pouvez également déployer un proxy Web sécurisé Rattachement de service Private Service Connect ou comme saut suivant.

Ce guide de démarrage rapide explique comment déployer et tester une instance de proxy Web sécurisé.

Avant de commencer

  1. Effectuez la configuration initiale étapes.

  2. Pour exécuter les commandes de cette page, configurez la Google Cloud CLI dans l'une de dans les environnements de développement suivants:

    Cloud Shell

    Pour utiliser un terminal en ligne avec la gcloud CLI déjà configurée, procédez comme suit : activez Cloud Shell:

    À la fin de cette page, une session Cloud Shell démarre et affiche un invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

    Interface système locale

    Pour utiliser un environnement de développement local, procédez comme suit :

    1. Installez la CLI gcloud.
    2. Initialisez la gcloud CLI.
  3. Créez ou sélectionnez un projet Google Cloud.

    Console

    Dans la console Google Cloud, sur la page du sélecteur de projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

    Cloud Shell

    • Créez un projet Google Cloud :

      gcloud projects create PROJECT_ID
      

      Remplacez PROJECT_ID par l'ID du projet souhaité.

    • Sélectionnez le projet Google Cloud que vous avez créé :

      gcloud config set project PROJECT_ID
      
  4. Créez une instance de machine virtuelle (VM) Linux :

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    Compute Engine accorde à l'utilisateur qui crée la VM le rôle Rôle d'administrateur d'instance (roles/compute.instanceAdmin). Compute Engine ajoute cet utilisateur au groupe sudo.

  5. Créez une règle de pare-feu :

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Créer une règle de proxy Web sécurisé

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur l'onglet Règles.

  4. Cliquez sur Create a policy (Créer une règle).

  5. Saisissez un nom pour la stratégie que vous souhaitez créer, par exemple myswppolicy.

  6. Saisissez une description de la règle, par exemple My new swp policy.

  7. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web.

  8. Si vous souhaitez configurer l'inspection TLS pour le proxy Web, sélectionnez Configurez l'inspection TLS.

  9. Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous avez créée. La règle d'inspection TLS n'apparaît dans la liste que si vous l'avez créée.

  10. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.

  11. Cliquez sur Créer.

Cloud Shell

  1. Certaines règles de proxy Web exigent que le trafic soit chiffré via le protocole TLS pour l'évaluation. Selon que vous souhaitez le chiffrement TLS, utilisez l'une des méthodes suivantes pour créer une règle:

    • Créez une règle avec la configuration d'inspection TLS.

      Pour activer l'inspection TLS, suivez la procédure décrite dans la section Activer l'inspection TLS, puis créez le fichier policy.yaml :

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
      
    • Créez une règle sans configuration d'inspection TLS.

      Si vous ne souhaitez pas activer l'inspection TLS, créez le fichier policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      
  2. Créez la règle "Proxy Web sécurisé" :

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Créer des règles de proxy Web sécurisé

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur l'onglet Règles.

  4. Cliquez sur le nom de votre stratégie.

  5. Cliquez sur Ajouter une règle.

  6. Renseignez les champs de la règle :

    1. Nom
    2. Description
    3. Status
    4. Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée.
    5. Dans la section Action, spécifiez si les connexions correspondant à les règles sont autorisées (Allow) ou refusées (Deny).
    6. Dans la section Correspondance de session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL.
    7. Pour activer l'inspection TLS, sélectionnez Activer l'inspection TLS.
    8. Dans la section Application Match (Correspondance des applications), spécifiez les critères de correspondance de la requête. Si vous n'activez pas la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.
    9. Cliquez sur Créer.
  7. Cliquez sur Ajouter une règle pour ajouter une règle.

  8. Cliquez sur Créer pour créer la règle.

Cloud Shell

  1. Selon que vous souhaitez utiliser ou non le chiffrement TLS, utilisez n'importe laquelle des les méthodes suivantes pour créer une règle:

    • Créez une règle avec la configuration d'inspection TLS.

      Pour activer l'inspection TLS, créez le fichier rule.yaml :

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      
    • Créez une règle sans configurer l'inspection TLS.

      Si vous ne souhaitez pas activer l'inspection TLS, créez le fichier rule.yaml :

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia.org
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      
  2. Créez la règle de stratégie de sécurité :

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Configurer un proxy Web

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur l'onglet Proxys Web.

  4. Cliquez sur Configurer un proxy Web.

  5. Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple myswp.

  6. Saisissez une description du proxy Web, par exemple My new swp.

  7. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  8. Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le via un proxy Web.

  9. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

  10. Saisissez l'adresse IP du proxy Web.

  11. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser. pour créer le proxy Web.

  12. Dans la liste Stratégie, sélectionnez la stratégie que vous avez créée pour associer au proxy Web.

  13. Cliquez sur Créer.

Cloud Shell

  1. Créez le fichier gateway.yaml :

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["10.128.0.99"]
    ports: [443]
    certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/default
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
    scope: samplescope
    
  2. Créez une instance de proxy Web sécurisé:

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    Le déploiement d'une instance de proxy Web sécurisé peut prendre plusieurs minutes.

Tester la connectivité

  1. Connectez-vous à la VM que vous avez précédemment provisionnée:

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    
  2. Testez l'instance du proxy Web sécurisé:

    curl -x http://10.128.0.99:80 https://wikipedia.org
    

    Si vous avez configuré l'instance du proxy Web sécurisé pour l'inspection TLS, utilisez la commande suivante :

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
    

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Google Cloud, procédez comme suit :

Supprimer l'instance swp1 du proxy Web sécurisé

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux d'un réseau donné.

  3. Sélectionnez le proxy Web à supprimer.

  4. Cliquez sur Supprimer.

  5. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Supprimer la règle allow-wikipedia-org

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux d'un réseau donné.

  3. Cliquez sur l'onglet Règles.

  4. Cliquez sur la stratégie.

  5. Sélectionnez la règle que vous souhaitez supprimer.

  6. Cliquez sur Supprimer.

  7. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Supprimer la règle de proxy Web sécurisé policy1

Console

  1. Dans Google Cloud Console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé. Vous pouvez afficher la liste de tous les proxys Web ou uniquement ceux d'un réseau particulier.

  3. Cliquez sur l'onglet Règles.

  4. Sélectionnez la règle que vous souhaitez supprimer.

  5. Cliquez sur Supprimer.

  6. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Supprimer l'instance de VM Linux swp-test-vm

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Sélectionnez les instances que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

Cloud Shell

gcloud compute instances delete swp-test-vm

Étape suivante