Men-deploy instance Proxy Web yang Aman

Panduan memulai ini menunjukkan cara men-deploy dan menguji instance Proxy Web yang Aman.

Sebelum memulai

  1. Selesaikan langkah-langkah penyiapan awal.

  2. Untuk menjalankan perintah di halaman ini, siapkan Google Cloud CLI di salah satu lingkungan pengembangan berikut:

    Cloud Shell

    Untuk menggunakan terminal online dengan gcloud CLI yang sudah disiapkan, aktifkan Cloud Shell:

    Di akhir halaman ini, sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Diperlukan waktu beberapa detik hingga sesi diinisialisasi.

    Shell lokal

    Untuk menggunakan lingkungan pengembangan lokal, ikuti langkah-langkah berikut:

    1. Instal gcloud CLI.
    2. Lakukan inisialisasi gcloud CLI.
  3. Membuat atau memilih project Google Cloud.

    Konsol

    Di Konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

    Cloud Shell

    • Membuat project Google Cloud:

      gcloud projects create PROJECT_ID
      

      Ganti PROJECT_ID dengan project ID yang Anda inginkan.

    • Pilih project Google Cloud yang Anda buat:

      gcloud config set project PROJECT_ID
      
  4. Buat instance mesin virtual (VM) Linux:

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    Compute Engine memberikan pengguna yang membuat VM dengan peran Compute Instance Admin (roles/compute.instanceAdmin). Compute Engine juga menambahkan pengguna tersebut ke grup sudo.

  5. Buat aturan firewall:

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Membuat kebijakan Secure Web Proxy

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik Create a policy.

  5. Masukkan nama untuk kebijakan yang ingin dibuat, seperti myswppolicy.

  6. Masukkan deskripsi kebijakan, seperti My new swp policy.

  7. Dalam daftar Region, pilih wilayah tempat Anda ingin membuat kebijakan proxy web.

  8. Jika Anda ingin mengonfigurasi pemeriksaan TLS untuk proxy web, pilih Configure TLS inspection.

  9. Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang Anda buat. Kebijakan pemeriksaan TLS hanya akan muncul dalam daftar jika Anda yang membuatnya.

  10. Jika ingin membuat aturan untuk kebijakan Anda, klik Continue, lalu klik Add rule. Untuk mengetahui detailnya, lihat Membuat aturan Proxy Web yang Aman.

  11. Klik Create.

Cloud Shell

  1. Beberapa kebijakan proxy web mengharuskan traffic dienkripsi TLS untuk evaluasi. Bergantung pada apakah Anda menginginkan enkripsi TLS, gunakan salah satu metode berikut untuk membuat kebijakan:

    • Buat kebijakan dengan konfigurasi pemeriksaan TLS.

      Untuk mengaktifkan pemeriksaan TLS, lakukan prosedur yang dijelaskan dalam Mengaktifkan pemeriksaan TLS, lalu buat file policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
      
    • Membuat kebijakan tanpa konfigurasi pemeriksaan TLS.

      Jika Anda tidak ingin mengaktifkan pemeriksaan TLS, buat file policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      
  2. Buat kebijakan Secure Web Proxy:

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Membuat aturan Proxy Web yang Aman

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik nama kebijakan Anda.

  5. Klik Tambahkan Aturan.

  6. Isi kolom aturan:

    1. Nama
    2. Deskripsi
    3. Status
    4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi.
    5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
    6. Di bagian Pencocokan Sesi, tentukan kriteria untuk cocok dengan sesi. Untuk mengetahui informasi selengkapnya tentang sintaksis SessionMatcher, lihat referensi bahasa pencocok CEL.
    7. Untuk mengaktifkan pemeriksaan TLS, pilih Aktifkan pemeriksaan TLS.
    8. Di bagian Pencocokan Aplikasi, tentukan kriteria untuk cocok dengan permintaan. Jika Anda tidak mengaktifkan aturan untuk pemeriksaan TLS, permintaan hanya dapat cocok dengan traffic HTTP.
    9. Klik Create.
  7. Klik Add rule untuk menambahkan aturan lain.

  8. Klik Create untuk membuat kebijakan.

Cloud Shell

  1. Bergantung pada apakah Anda menginginkan enkripsi TLS, gunakan salah satu dari metode berikut untuk membuat aturan:

    • Buat aturan dengan konfigurasi pemeriksaan TLS.

      Untuk mengaktifkan pemeriksaan TLS, buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
      description: Allow example.com
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'example.com'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      
    • Membuat aturan tanpa konfigurasi pemeriksaan TLS.

      Jika Anda tidak ingin mengaktifkan pemeriksaan TLS, buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
      description: Allow example.com
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'example.com'
      
  2. Buat aturan kebijakan keamanan:

    gcloud network-security gateway-security-policies rules import allow-example-com \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Menyiapkan proxy web

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Web proxy.

  4. Klik Siapkan proxy web.

  5. Masukkan nama untuk proxy web yang ingin Anda buat, misalnya myswp.

  6. Masukkan deskripsi proxy web, seperti My new swp.

  7. Dalam daftar Region, pilih region tempat Anda ingin membuat proxy web.

  8. Dalam daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  9. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  10. Masukkan alamat IP proxy web.

  11. Dalam daftar Certificate, pilih sertifikat yang ingin digunakan untuk membuat proxy web.

  12. Dalam daftar Policy, pilih kebijakan yang Anda buat untuk dikaitkan dengan proxy web.

  13. Klik Create.

Cloud Shell

  1. Buat file gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["10.128.0.99"]
    ports: [443]
    certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/default
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
    scope: samplescope
    
  2. Buat instance Proxy Web yang Aman:

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    Instance Proxy Web Aman memerlukan waktu beberapa menit untuk di-deploy.

Menguji konektivitas

  1. Hubungkan ke VM yang Anda sediakan sebelumnya:

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    
  2. Uji instance Proxy Web Aman:

    curl -x https://10.128.0.99:443 https://example.com --proxy-insecure
    

    Jika Anda mengonfigurasi instance Proxy Web Aman untuk pemeriksaan TLS, gunakan perintah berikut:

    curl -x https://10.128.0.99:443 https://example.com/index.html --proxy-insecure
    

Pembersihan

Agar akun Google Cloud Anda tidak dikenakan biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

Hapus instance Proxy Web Aman swp1

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua {i>proxy<i} web atau hanya {i>proxy<i} yang ada di jaringan tertentu.

  3. Pilih proxy web yang ingin Anda hapus.

  4. Klik Delete.

  5. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Hapus aturan allow-example-com

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua {i>proxy<i} web atau hanya {i>proxy<i} yang ada di jaringan tertentu.

  3. Klik tab Kebijakan.

  4. Klik kebijakan Anda.

  5. Pilih aturan yang ingin dihapus.

  6. Klik Delete.

  7. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-example-com \
    --location=REGION \
    --gateway-security-policy=policy1

Hapus kebijakan Proxy Web Aman policy1

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy. Anda dapat melihat daftar semua {i>proxy<i} web atau hanya {i>proxy<i} yang ada di jaringan tertentu.

  3. Klik tab Kebijakan.

  4. Pilih kebijakan yang ingin dihapus.

  5. Klik Delete.

  6. Klik Delete lagi untuk mengonfirmasi.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Hapus instance VM Linux swp-test-vm

Konsol

  1. Di Konsol Google Cloud, buka halaman VM instances.

    Buka halaman VM instances

  2. Pilih instance yang ingin Anda hapus.

  3. Klik Delete.

Cloud Shell

gcloud compute instances delete swp-test-vm

Langkah selanjutnya