En esta guía, se muestra cómo usar las listas de URLs para definir las URLs a las que pueden acceder tus usuarios.
Antes de comenzar
Completa la configuración inicial pasos.
Verifica que tengas instalada la versión 406.0.0 de Google Cloud CLI o una posterior:
gcloud version | head -n1
Si tienes instalada una versión anterior de gcloud CLI, actualízala:
gcloud components update --version=406.0.0
Crea una instancia del Proxy web seguro con una política vacía
Para crear una instancia del Proxy web seguro, primero crea una política de seguridad vacía y, luego, crea un proxy web.
Crea una política de seguridad vacía
Console
En la consola de Google Cloud, ve a la página Seguridad de red.
Haz clic en Proxy web seguro.
Haz clic en la pestaña Políticas.
Haz clic en Crear una política.
Ingresa un nombre para la política que deseas crear, como
myswppolicy
.Ingresa una descripción de la política, como
My new swp policy
En la lista Regiones, selecciona la región a la que deseas ir. crea la política.
Haz clic en Crear.
Cloud Shell
Utiliza tu editor de texto preferido para crear el archivo
POLICY_FILE
.yaml. ReemplazarPOLICY_FILE
por el nombre de archivo que que deseas para el archivo de políticas.Agrega lo siguiente al archivo YAML que creaste:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Reemplaza lo siguiente:
PROJECT_NAME
: nombre del proyecto.REGION
: Es la región a la que se aplica esta política.POLICY_NAME
: Es el nombre de la política. creandoPOLICY_DESCRIPTION
: Es la descripción de la política que crearás.
Importa la política de seguridad:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Crea un proxy web
Console
En la consola de Google Cloud, ve a la página Seguridad de red.
Haz clic en Proxy web seguro.
Haz clic en Configurar un proxy web.
Ingresa un nombre para el proxy web que deseas crear, como
myswp
.Ingresa una descripción del proxy web, como
My new swp
.En la lista Regiones, selecciona la región a la que deseas ir. crear el proxy web.
En la lista Red, selecciona la red en la que deseas crear el proxy web.
En la lista Subred, selecciona la subred en la que desees crear el proxy web.
Ingresa la dirección IP del proxy web.
En la lista Certificado, selecciona el certificado que deseas. que se usará para crear el proxy web.
En la lista Política, selecciona la política que creaste. asociar el proxy web.
Haz clic en Crear.
Cloud Shell
Utiliza tu editor de texto preferido para crear el archivo
GATEWAY_FILE
.yaml. ReemplazarGATEWAY_FILE
por el nombre de archivo que deseas el archivo del proxy web.Agrega lo siguiente al archivo YAML que creaste:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Reemplaza lo siguiente:
GATEWAY_NAME
: Es el nombre de esta instancia.GATEWAY_PORT_NUMBERS
: Es una lista de números de puerto para esta puerta de enlace, como[80,443]
.CERTIFICATE_URLS
: Es una lista de URLs de certificados SSL.SUBNET_NAME
: Es el nombre de la subred que contieneGATEWAY_IP_ADDRESS
GATEWAY_IP_ADDRESS
: Es una lista opcional de direcciones IP para las instancias de Secure Web Proxy dentro de las subredes de proxy creadas anteriormente en los pasos de configuración inicial.Si decides no enumerar las direcciones IP, omíte el campo para que el proxy web elija una dirección IP por ti.
Crea una instancia del Proxy web seguro:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Prueba la conectividad
Para probar la conectividad, usa el comando curl
desde cualquier VM dentro de tu
red de nube privada virtual (VPC):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Se espera que surja un error 403 Forbidden
.
Crear una lista de URLs
Para crear una lista de URLs y agregar una regla, completa las tareas de las siguientes secciones.
Crea y configura una lista de URLs
Console
En la consola de Google Cloud, ve a la página Seguridad de red.
Haz clic en Proxy web seguro.
Haz clic en la pestaña Listas de URLs.
Haz clic en Crear una lista de URLs.
Ingresa un nombre para la lista de URL que deseas crear. como
myurllist
.Ingresa una descripción de la lista de URLs, como
My new URL list
.En la lista Regiones, selecciona la región a la que deseas ir. crear la lista de URLs.
Haz clic en Subir listas para subir la lista de hosts, URL o patrones que coincidan. Para obtener más información, consulta la Referencia de la sintaxis de UrlList.
Haz clic en Crear.
Cloud Shell
Usa tu editor de texto preferido para crear el archivo URL_LIST_FILE
.yaml. Replace
URL_LIST_FILE con el nombre de archivo que desees.name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME values: URL_LIST
Reemplaza lo siguiente:
PROJECT_ID
: Es el número de tu proyecto.REGION
: La región a la que se aplica esta lista de URLs.URL_LIST_NAME
: Es un nombre para la lista de URLs que crearás.URL_LIST
: Es la lista de hosts, URLs o patrones que deben coincidir.
Para obtener más información, consulta Referencia de la sintaxis de UrlList.
El siguiente es un ejemplo de archivo de reglas de lista de URLs:
name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list values: - www.example.com - about.example.com - "*.google.com" - "github.com/example-org/*"
El carácter asterisco (
*
) tiene un significado especial en YAML. Por lo tanto, debes agregar comillas a las URLs que incluyen un carácter*
.Agrega la lista de URLs para que un Proxy web seguro pueda hacer referencia a ella. regla:
gcloud network-security url-lists import URL_LIST_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=URL_LIST_FILE.yaml
Agregar una regla
Console
En la consola de Google Cloud, ve a la página Seguridad de red.
Haz clic en Proxy web seguro.
En el menú del selector de proyectos, selecciona el ID de tu organización o la carpeta que contenga tu política.
Haz clic en el nombre de la política.
Haz clic en Agregar regla.
Propaga los campos de la regla:
- Nombre
- Descripción
- Estado
- Prioridad: El orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que
0
es la prioridad más alta. - En la sección Acción, especifica si las conexiones que coinciden si se permite (Permitir) o se rechaza (Rechazar) la regla.
En la sección Coincidencia de sesión, especifica el nombre de la lista de URLs que creaste anteriormente. Por ejemplo:
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Para habilitar la inspección de TLS, selecciona Habilitar inspección de TLS.
En la sección Coincidencia de aplicación, especifica los criterios correspondientes para que coinciden con la solicitud.
Haz clic en Crear.
Haz clic en Agregar regla para agregar otra regla.
Haz clic en Crear para crear la política.
Cloud Shell
Utiliza tu editor de texto preferido para crear el archivo
RULE_FILE
.yaml. ReemplazaRULE_FILE
por el nombre de archivo que desees.name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME basicProfile: ALLOW enabled: true priority: PRIORITY_VALUE description: RULE_DESCRIPTION sessionMatcher: SESSION_CEL_EXPRESSION applicationMatcher: APPLICATION_CEL_EXPRESSION
Reemplaza lo siguiente:
PROJECT_ID
: Es el número de tu proyecto.REGION
: Es la región a la que se aplica esta regla.POLICY_NAME
: Es el nombre de unGatewaySecurityPolicy
existente que usa tu instancia de Proxy web seguro.RULE_NAME
: Es un nombre para elGatewaySecurityPolicyRule
que deseas. creandoPRIORITY_VALUE
: Un valor de prioridad para esta regla. Los números más bajos corresponden a prioridades más altas.RULE_DESCRIPTION
: Es una descripción de la política que crearás.SESSION_CEL_EXPRESSION
: Es una expresión de Common Expression Language (CEL) para la sesión.APPLICATION_CEL_EXPRESSION
: Es una expresión en CEL para la aplicación.
El siguiente es un ejemplo de archivo de reglas:
name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos basicProfile: ALLOW enabled: true priority: 100 description: Allow access to our list of known code repos. sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Para agregar una regla del Proxy web seguro, usa la lista de URLs que creaste anteriormente:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=RULE_FILE.yaml \ --gateway-security-policy=POLICY_NAME
Prueba la conectividad
Para probar la conectividad, usa el siguiente comando curl
:
curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure
Reemplaza lo siguiente:
SWP_IP_ADDRESS
: Es la dirección IP de tu proxy web.SWP_PORT_NUMBER
: Es el número de puerto de tu proxy web, como443
.HTTP_TEST_ADDRESS
: Es una dirección para probar, comohttps://www.example.com
, que coincide con una entrada de host o URL en tuURL_LIST
.
La solicitud debería mostrar una respuesta correcta.