Usa etiquetas para crear políticas

Las etiquetas de Resource Manager controlan el acceso a tus recursos de Google Cloud. Las etiquetas de Resource Manager te permiten organizar tus recursos de Google Cloud y permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar Resource Manager etiqueta cada instancia de máquina virtual (VM) por segmento y tipo de servicio. Las etiquetas de Resource Manager te permiten identificar hosts de forma inequívoca cuando creas políticas de proxy web seguro.

Esta guía te muestra cómo hacer lo siguiente:

  • Crear una instancia del Proxy web seguro con una política vacía.
  • Crear y aplicar etiquetas de Resource Manager a instancias de VM.
  • Usar etiquetas de Resource Manager para crear una política del Proxy web seguro
  • Crear una instancia del Proxy web seguro
  • Prueba la conectividad desde tus VMs.

Antes de comenzar

Crea una instancia del Proxy web seguro con una política vacía

Para crear una instancia del Proxy web seguro, primero crea una política de seguridad vacía y, luego, crearé un proxy web.

Crea una política de seguridad vacía

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro.

  3. Haz clic en la pestaña Políticas.

  4. Haz clic en Crear una política.

  5. Escribe un nombre para la política que quieres crear. como myswppolicy.

  6. Ingresa una descripción de la política, como My new swp policy.

  7. En la lista Regiones, selecciona la región a la que deseas ir. crea la política.

  8. Haz clic en Crear.

Cloud Shell

  1. Usa tu editor de texto preferido para crear el archivo. POLICY_FILE.yaml. Reemplazar POLICY_FILE por el nombre de archivo que que deseas para el archivo de políticas.

  2. Agrega lo siguiente al archivo YAML que creaste:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Reemplaza lo siguiente:

    • PROJECT_NAME: nombre del proyecto.
    • REGION: La región a la que se aplica esta política
    • POLICY_NAME: Es el nombre de la política que crearás.
    • POLICY_DESCRIPTION: Es la descripción de la política que crearás.

  3. Importa la política de seguridad:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Crea un proxy web

Console

  1. En la consola de Google Cloud, ve a la página Seguridad de red.

    Ir a Seguridad de red

  2. Haz clic en Proxy web seguro.

  3. Haz clic en Configurar un proxy web.

  4. Ingresa un nombre para el proxy web que deseas crear, como myswp.

  5. Ingresa una descripción del proxy web, como My new swp.

  6. En la lista Regiones, selecciona la región en la que deseas crear el proxy web.

  7. En la lista Red, selecciona la red a la que quieres crear el proxy web.

  8. En la lista Subred, selecciona la subred en la que deseas crear el proxy web.

  9. Ingresa la dirección IP del proxy web.

  10. En la lista Certificado, selecciona el certificado que deseas usar para crear el proxy web.

  11. En la lista Política, selecciona la política que creaste. asociar el proxy web.

  12. Haz clic en Crear.

Cloud Shell

  1. Usa tu editor de texto preferido para crear el archivo. GATEWAY_FILE.yaml. Reemplaza GATEWAY_FILE por el nombre de archivo que deseas para el archivo de proxy web.

  2. Agrega lo siguiente al archivo YAML que creaste:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Reemplaza lo siguiente:

    • GATEWAY_NAME: Es el nombre de esta instancia.
    • GATEWAY_PORT_NUMBERS: Es una lista de números de puerto para esta puerta de enlace, como [80,443].
    • CERTIFICATE_URLS: Una lista de certificados SSL URL

    • SUBNET_NAME: El nombre de la subred que contiene GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: Es una lista opcional de direcciones IP para las instancias de Secure Web Proxy dentro de las subredes de proxy creadas anteriormente en los pasos de configuración inicial.

      Si eliges no enumerar las direcciones IP, omitir el campo para que el proxy web elija una dirección IP por ti.

  3. Crea una instancia del Proxy web seguro:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Prueba la conectividad

Para probar la conectividad, usa el comando curl desde cualquier VM dentro de tu Red de nube privada virtual (VPC):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Se espera que surja un error 403 Forbidden.

Crea y adjunta etiquetas de Resource Manager

Para crear y adjuntar etiquetas de Resource Manager, haz lo siguiente:

  1. Crea las claves y los valores de la etiqueta.

    Cuando crees tu etiqueta, desígnala con un propósito GCE_FIREWALL. Las funciones de red de Google Cloud, incluido el Proxy web seguro, requieren la GCE_FIREWALL para aplicar la etiqueta. Sin embargo, puedes usar la etiqueta para otras acciones.

  2. Vincula las etiquetas a las instancias de VM.

Crea reglas del Proxy web seguro

Para crear reglas del Proxy web seguro, haz lo siguiente:

  1. Usa tu editor de texto preferido para crear una RULE_FILE.yaml. Reemplaza RULE_FILE por el nombre de archivo que elegiste.

  2. Para permitir el acceso a una URL desde la etiqueta elegida, agrega lo siguiente al archivo YAML:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
description: RULE_DESCRIPTION
enabled: true
priority: RULE_PRIORITY
sessionMatcher: CEL_EXPRESSION
basicProfile: ALLOW

    Reemplaza lo siguiente:

    • RULE_NAME: Es un nombre para esta regla.
    • RULE_DESCRIPTION: Es una descripción del regla que estás creando
    • RULE_PRIORITY: Es la prioridad para esta regla. un número menor corresponde a una prioridad más alta

    • CEL_EXPRESSION: una expresión común Expresión de lenguaje (CEL)

      Para obtener más información, consulta la referencia del lenguaje del comparador de CEL.

    Por ejemplo, para permitir el acceso a example.com desde la etiqueta deseada, agrega lo siguiente al archivo YAML que creaste para sessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"

    Reemplaza TAG_VALUE por la etiqueta que deseas permitir, con el formato tagValues/1234.

  3. Importa las reglas que creaste:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
   --source=RULE_FILE.yaml \
   --location=REGION \
   --gateway-security-policy=POLICY_NAME

Prueba la conectividad

Para probar la conectividad, usa el comando curl desde cualquier VM asociada con la etiqueta TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Reemplaza IPv4_ADDRESS por la dirección IPv4 de tu Instancia de Proxy web seguro.

¿Qué sigue?