Menggunakan tag untuk membuat kebijakan

Tag Resource Manager membantu mengontrol akses ke resource Google Cloud Anda. Dengan tag Resource Manager, Anda dapat mengatur resource Google Cloud dan kebijakan mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu atau tidak. Anda dapat menggunakan tag Resource Manager untuk memberi tag pada setiap instance virtual machine (VM) berdasarkan segmen dan jenis layanan. Tag Resource Manager memungkinkan Anda mengidentifikasi host secara unik saat membuat kebijakan Proxy Web Aman.

Panduan ini menunjukkan cara melakukan hal berikut:

  • Buat instance Proxy Web Aman dengan kebijakan kosong.
  • Membuat dan menerapkan tag Resource Manager ke instance VM.
  • Gunakan tag Resource Manager untuk membuat kebijakan Proxy Web Aman.
  • Membuat instance Proxy Web yang Aman.
  • Menguji konektivitas dari VM Anda.

Sebelum memulai

Membuat instance Proxy Web Aman dengan kebijakan kosong

Untuk membuat instance Proxy Web Aman, buat kebijakan keamanan kosong terlebih dahulu, lalu buat proxy web.

Membuat kebijakan keamanan kosong

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik Create a policy.

  5. Masukkan nama untuk kebijakan yang ingin dibuat, seperti myswppolicy.

  6. Masukkan deskripsi kebijakan, seperti My new swp policy.

  7. Dalam daftar Region, pilih region tempat Anda ingin membuat kebijakan.

  8. Klik Create.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file POLICY_FILE.yaml. Ganti POLICY_FILE dengan nama file yang Anda inginkan untuk file kebijakan.

  2. Tambahkan kode berikut ke file YAML yang Anda buat:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ganti kode berikut:

    • PROJECT_NAME: nama project Anda
    • REGION: wilayah tempat kebijakan ini diterapkan
    • POLICY_NAME: nama kebijakan yang Anda buat
    • POLICY_DESCRIPTION: deskripsi kebijakan yang Anda buat

  3. Impor kebijakan keamanan:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Membuat proxy web

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik Siapkan proxy web.

  4. Masukkan nama untuk proxy web yang ingin Anda buat, misalnya myswp.

  5. Masukkan deskripsi proxy web, seperti My new swp.

  6. Dalam daftar Region, pilih region tempat Anda ingin membuat proxy web.

  7. Dalam daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  8. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  9. Masukkan alamat IP proxy web.

  10. Dalam daftar Certificate, pilih sertifikat yang ingin digunakan untuk membuat proxy web.

  11. Dalam daftar Policy, pilih kebijakan yang Anda buat untuk dikaitkan dengan proxy web.

  12. Klik Create.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file GATEWAY_FILE.yaml. Ganti GATEWAY_FILE dengan nama file yang Anda inginkan untuk file proxy web.

  2. Tambahkan kode berikut ke file YAML yang Anda buat:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ganti kode berikut:

    • GATEWAY_NAME: nama untuk instance ini
    • GATEWAY_PORT_NUMBERS: daftar nomor port untuk gateway ini, seperti [80,443]
    • CERTIFICATE_URLS: daftar URL sertifikat SSL

    • SUBNET_NAME: nama subnet yang berisi GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: daftar alamat IP opsional untuk instance Proxy Web Aman dalam subnet proxy yang sebelumnya dibuat pada langkah-langkah penyiapan awal

      Jika Anda memilih untuk tidak mencantumkan alamat IP, hapus kolom agar proxy web memilih alamat IP untuk Anda.

  3. Buat instance Proxy Web yang Aman:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Menguji konektivitas

Untuk menguji konektivitas, gunakan perintah curl dari VM apa pun dalam jaringan Virtual Private Cloud (VPC) Anda:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Error 403 Forbidden adalah hal yang wajar.

Membuat dan melampirkan tag Resource Manager

Lakukan hal berikut untuk membuat dan melampirkan tag Resource Manager:

  1. Buat kunci dan nilai tag.

    Saat Anda membuat tag, tetapkan dengan tujuan GCE_FIREWALL. Fitur jaringan Google Cloud, termasuk Proxy Web Aman, memerlukan tujuan GCE_FIREWALL untuk menerapkan tag. Namun, Anda dapat menggunakan tag tersebut untuk tindakan lainnya.

  2. Mengikat tag ke instance VM.

Membuat aturan Proxy Web yang Aman

Untuk membuat aturan Proxy Web Aman, lakukan hal berikut:

  1. Gunakan editor teks pilihan Anda untuk membuat file RULE_FILE.yaml. Ganti RULE_FILE dengan nama file yang Anda inginkan.

  2. Untuk mengizinkan akses ke URL dari tag yang diinginkan, tambahkan kode berikut ke file YAML:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Ganti kode berikut:

    • RULE_NAME: nama untuk aturan ini
    • RULE_DESCRIPTION: deskripsi aturan yang Anda buat
    • RULE_PRIORITY: prioritas untuk aturan ini; angka yang lebih rendah sesuai dengan prioritas yang lebih tinggi

    • CEL_EXPRESSION: ekspresi Common Expression Language (CEL)

      Untuk informasi selengkapnya, lihat referensi bahasa pencocok CEL.

    Misalnya, untuk mengizinkan akses ke example.com dari tag yang diinginkan, tambahkan kode berikut ke file YAML yang Anda buat untuk sessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Ganti TAG_VALUE dengan tag yang ingin Anda izinkan, dalam bentuk tagValues/1234.

  3. Impor aturan yang Anda buat:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Menguji konektivitas

Untuk menguji konektivitas, gunakan perintah curl dari VM apa pun yang terkait dengan tag TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure

Ganti IPv4_ADDRESS dengan alamat IPv4 instance Proxy Web Aman Anda.

Langkah selanjutnya