Ce guide explique comment utiliser des listes d'URL pour définir les URL auxquelles vos utilisateurs peuvent accéder.
Avant de commencer
Suivez les étapes de configuration initiale.
Vérifiez que vous avez installé la version 406.0.0 ou ultérieure de Google Cloud CLI:
gcloud version | head -n1
Si vous avez installé une version antérieure de gcloud CLI, mettez-la à jour:
gcloud components update --version=406.0.0
Créer une instance de proxy Web sécurisé avec une règle vide
Pour créer une instance de proxy Web sécurisé, créez d'abord une stratégie de sécurité vide, puis un proxy Web.
Créer une règle de sécurité vide
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Règles.
Cliquez sur Create a policy (Créer une règle).
Saisissez un nom pour la stratégie que vous souhaitez créer, par exemple
myswppolicy
.Saisissez une description de la stratégie, par exemple
My new swp policy
.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle.
Cliquez sur Créer.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier
POLICY_FILE
.yaml. RemplacezPOLICY_FILE
par le nom de fichier souhaité pour le fichier de stratégie.Ajoutez les éléments suivants au fichier YAML que vous avez créé:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Remplacez les éléments suivants :
PROJECT_NAME
: nom de votre projetREGION
: région à laquelle cette règle s'appliquePOLICY_NAME
: nom de la stratégie que vous créezPOLICY_DESCRIPTION
: description de la règle que vous créez
Importez la stratégie de sécurité:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Créer un proxy Web
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur Configurer un proxy Web.
Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple
myswp
.Saisissez une description du proxy Web, par exemple
My new swp
.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.
Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.
Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.
Saisissez l'adresse IP du proxy Web.
Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.
Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.
Cliquez sur Créer.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier
GATEWAY_FILE
.yaml. RemplacezGATEWAY_FILE
par le nom de fichier souhaité pour le fichier de proxy Web.Ajoutez les éléments suivants au fichier YAML que vous avez créé:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Remplacez les éléments suivants :
GATEWAY_NAME
: nom de cette instanceGATEWAY_PORT_NUMBERS
: liste des numéros de port de cette passerelle, par exemple[80,443]
CERTIFICATE_URLS
: liste des URL de certificats SSLSUBNET_NAME
: nom du sous-réseau contenantGATEWAY_IP_ADDRESS
GATEWAY_IP_ADDRESS
: liste facultative d'adresses IP pour vos instances de proxy Web sécurisé dans les sous-réseaux de proxy créés précédemment lors des étapes de configuration initialeSi vous choisissez de ne pas lister d'adresses IP, omettez le champ pour que le proxy Web choisisse une adresse IP à votre place.
Créez une instance de proxy Web sécurisé:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Tester la connectivité
Pour tester la connectivité, utilisez la commande curl
à partir de n'importe quelle VM de votre réseau cloud privé virtuel (VPC) :
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Une erreur 403 Forbidden
est attendue.
Créer une liste d'URL
Pour créer une liste d'URL et ajouter une règle, effectuez les tâches décrites dans les sections suivantes.
Créer et configurer une liste d'URL
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Listes d'URL.
Cliquez sur Créer une liste d'URL.
Attribuez un nom à la liste d'URL que vous souhaitez créer, par exemple
myurllist
.Saisissez une description de la liste d'URL, par exemple
My new URL list
.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la liste d'URL.
Cliquez sur Importer des listes pour importer la liste des hôtes, des URL ou des formats à faire correspondre. Pour en savoir plus, consultez la documentation de référence sur la syntaxe UrlList.
Cliquez sur Créer.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier URL_LIST_FILE
.yaml. Replace
URL_LIST_FILE avec le nom de fichier souhaité.name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME values: URL_LIST
Remplacez les éléments suivants :
PROJECT_ID
: votre numéro de projetREGION
: région à laquelle s'applique cette liste d'URLURL_LIST_NAME
: nom de la liste d'URL que vous créezURL_LIST
: liste des hôtes, URL ou formats à faire correspondre
Pour en savoir plus, consultez la documentation de référence sur la syntaxe UrlList.
Voici un exemple de fichier de règles de liste d'URL:
name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list values: - www.example.com - about.example.com - "*.google.com" - "github.com/example-org/*"
Le caractère astérisque (
*
) a une signification particulière en YAML. Par conséquent, vous devez ajouter des guillemets autour des URL qui incluent un caractère*
.Ajoutez la liste d'URL afin qu'elle puisse être référencée par une règle de proxy Web sécurisé:
gcloud network-security url-lists import URL_LIST_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=URL_LIST_FILE.yaml
Ajouter une règle
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Dans le menu de sélection du projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur le nom de votre stratégie.
Cliquez sur Ajouter une règle.
Renseignez les champs de la règle :
- Nom
- Description
- Status
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. - Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
Dans la section Correspondance de session, indiquez le nom de la liste d'URL que vous avez créée précédemment. Exemple :
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Pour activer l'inspection TLS, sélectionnez Activer l'inspection TLS.
Dans la section Application Match (Correspondance des applications), spécifiez les critères de correspondance de la requête.
Cliquez sur Créer.
Cliquez sur Ajouter une règle pour ajouter une règle.
Cliquez sur Créer pour créer la règle.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier
RULE_FILE
.yaml. RemplacezRULE_FILE
par le nom de fichier souhaité.name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME basicProfile: ALLOW enabled: true priority: PRIORITY_VALUE description: RULE_DESCRIPTION sessionMatcher: SESSION_CEL_EXPRESSION applicationMatcher: APPLICATION_CEL_EXPRESSION
Remplacez les éléments suivants :
PROJECT_ID
: votre numéro de projetREGION
: région à laquelle cette règle s'appliquePOLICY_NAME
: nom d'unGatewaySecurityPolicy
existant utilisé par votre instance de proxy Web sécurisé.RULE_NAME
: nom de l'GatewaySecurityPolicyRule
que vous créezPRIORITY_VALUE
: valeur de priorité pour cette règle. Les nombres inférieurs correspondent à des priorités plus élevées.RULE_DESCRIPTION
: description de la règle que vous créezSESSION_CEL_EXPRESSION
: expression CEL (Common Expression Language) pour la sessionAPPLICATION_CEL_EXPRESSION
: expression CEL pour l'application
Voici un exemple de fichier de règles:
name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos basicProfile: ALLOW enabled: true priority: 100 description: Allow access to our list of known code repos. sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Ajoutez une règle de proxy Web sécurisé à l'aide de la liste d'URL que vous avez créée précédemment:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=RULE_FILE.yaml \ --gateway-security-policy=POLICY_NAME
Tester la connectivité
Pour tester la connectivité, utilisez la commande curl
suivante:
curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure
Remplacez les éléments suivants :
SWP_IP_ADDRESS
: adresse IP de votre proxy WebSWP_PORT_NUMBER
: numéro de port de votre proxy Web, par exemple443
HTTP_TEST_ADDRESS
: adresse à tester, telle quehttps://www.example.com
, qui correspond à une entrée d'hôte ou d'URL dans votreURL_LIST
La requête doit renvoyer une réponse positive.