Menggunakan daftar URL untuk membuat kebijakan

Panduan ini menunjukkan cara menggunakan daftar URL untuk menentukan URL yang dapat diakses pengguna.

Sebelum memulai

  • Selesaikan langkah-langkah penyiapan awal.

  • Pastikan Anda telah menginstal Google Cloud CLI versi 406.0.0 atau yang lebih baru:

    gcloud version | head -n1

    Jika Anda sudah menginstal versi gcloud CLI sebelumnya, update versi tersebut:

    gcloud components update --version=406.0.0

Membuat instance Proxy Web Aman dengan kebijakan kosong

Untuk membuat instance Proxy Web Aman, buat kebijakan keamanan kosong terlebih dahulu, lalu buat proxy web.

Membuat kebijakan keamanan kosong

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik Create a policy.

  5. Masukkan nama untuk kebijakan yang ingin dibuat, seperti myswppolicy.

  6. Masukkan deskripsi kebijakan, seperti My new swp policy.

  7. Dalam daftar Region, pilih region tempat Anda ingin membuat kebijakan.

  8. Klik Create.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file POLICY_FILE.yaml. Ganti POLICY_FILE dengan nama file yang Anda inginkan untuk file kebijakan.

  2. Tambahkan kode berikut ke file YAML yang Anda buat:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ganti kode berikut:

    • PROJECT_NAME: nama project Anda
    • REGION: wilayah tempat kebijakan ini diterapkan
    • POLICY_NAME: nama kebijakan yang Anda buat
    • POLICY_DESCRIPTION: deskripsi kebijakan yang Anda buat

  3. Impor kebijakan keamanan:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Membuat proxy web

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik Siapkan proxy web.

  4. Masukkan nama untuk proxy web yang ingin Anda buat, misalnya myswp.

  5. Masukkan deskripsi proxy web, seperti My new swp.

  6. Dalam daftar Region, pilih region tempat Anda ingin membuat proxy web.

  7. Dalam daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  8. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  9. Masukkan alamat IP proxy web.

  10. Dalam daftar Certificate, pilih sertifikat yang ingin digunakan untuk membuat proxy web.

  11. Dalam daftar Policy, pilih kebijakan yang Anda buat untuk dikaitkan dengan proxy web.

  12. Klik Create.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file GATEWAY_FILE.yaml. Ganti GATEWAY_FILE dengan nama file yang Anda inginkan untuk file proxy web.

  2. Tambahkan kode berikut ke file YAML yang Anda buat:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ganti kode berikut:

    • GATEWAY_NAME: nama untuk instance ini
    • GATEWAY_PORT_NUMBERS: daftar nomor port untuk gateway ini, seperti [80,443]
    • CERTIFICATE_URLS: daftar URL sertifikat SSL

    • SUBNET_NAME: nama subnet yang berisi GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: daftar alamat IP opsional untuk instance Proxy Web Aman dalam subnet proxy yang sebelumnya dibuat pada langkah-langkah penyiapan awal

      Jika Anda memilih untuk tidak mencantumkan alamat IP, hapus kolom agar proxy web memilih alamat IP untuk Anda.

  3. Buat instance Proxy Web yang Aman:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Menguji konektivitas

Untuk menguji konektivitas, gunakan perintah curl dari VM apa pun dalam jaringan Virtual Private Cloud (VPC) Anda:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Error 403 Forbidden adalah hal yang wajar.

Membuat daftar URL

Untuk membuat daftar URL dan menambahkan aturan, selesaikan tugas di bagian berikut.

Membuat dan mengonfigurasi daftar URL

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Daftar URL.

  4. Klik Buat daftar URL.

  5. Masukkan nama untuk daftar URL yang ingin Anda buat, seperti myurllist.

  6. Masukkan deskripsi daftar URL, seperti My new URL list.

  7. Dalam daftar Region, pilih region tempat Anda ingin membuat daftar URL.

  8. Klik Upload daftar untuk mengupload daftar host, URL, atau pola yang akan dicocokkan. Untuk informasi lebih lanjut, lihat referensi sintaksis UrlList.

  9. Klik Create.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file URL_LIST_FILE.yaml. ReplaceURL_LIST_FILE` dengan nama file yang diinginkan.

      name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

    Ganti kode berikut:

    • PROJECT_ID: nomor project Anda
    • REGION: wilayah tempat daftar URL ini diterapkan
    • URL_LIST_NAME: nama untuk daftar URL yang Anda buat
    • URL_LIST: daftar host, URL, atau pola yang akan dicocokkan

    Untuk informasi lebih lanjut, lihat Referensi sintaksis UrlList.

    Berikut adalah contoh file aturan daftar URL:

    name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

    Karakter tanda bintang (*) memiliki arti khusus dalam YAML. Oleh karena itu, Anda harus menambahkan tanda kutip pada URL yang menyertakan karakter *.

  2. Tambahkan daftar URL agar dapat direferensikan oleh aturan Proxy Web Aman:

    gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=URL_LIST_FILE.yaml

Tambahkan aturan

Konsol

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  4. Klik nama kebijakan Anda.

  5. Klik Tambahkan Aturan.

  6. Isi kolom aturan:

    1. Nama
    2. Deskripsi
    3. Status
    4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi.
    5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).

    6. Di bagian Pencocokan Sesi, tentukan nama daftar URL yang Anda buat sebelumnya. Contoh:

        sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

    7. Untuk mengaktifkan pemeriksaan TLS, pilih Aktifkan pemeriksaan TLS.

    8. Di bagian Pencocokan Aplikasi, tentukan kriteria untuk cocok dengan permintaan.

    9. Klik Create.

  7. Klik Add rule untuk menambahkan aturan lain.

  8. Klik Create untuk membuat kebijakan.

Cloud Shell

  1. Gunakan editor teks pilihan Anda untuk membuat file RULE_FILE.yaml. Ganti RULE_FILE dengan nama file yang Anda inginkan.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: PRIORITY_VALUE
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

    Ganti kode berikut:

    • PROJECT_ID: nomor project Anda
    • REGION: wilayah tempat aturan ini diterapkan
    • POLICY_NAME: nama GatewaySecurityPolicy yang ada yang digunakan oleh instance Proxy Web Aman Anda
    • RULE_NAME: nama untuk GatewaySecurityPolicyRule yang Anda buat
    • PRIORITY_VALUE: nilai prioritas untuk aturan ini; angka yang lebih rendah menunjukkan prioritas yang lebih tinggi
    • RULE_DESCRIPTION: deskripsi untuk kebijakan yang Anda buat
    • SESSION_CEL_EXPRESSION: ekspresi Common Expression Language (CEL) untuk sesi
    • APPLICATION_CEL_EXPRESSION: ekspresi CEL untuk aplikasi

    Berikut adalah contoh file aturan:

    name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

  2. Tambahkan aturan Proxy Web Aman menggunakan daftar URL yang sebelumnya Anda buat:

        gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=RULE_FILE.yaml \
      --gateway-security-policy=POLICY_NAME

Menguji konektivitas

Untuk menguji konektivitas, gunakan perintah curl berikut:

curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure

Ganti kode berikut:

  • SWP_IP_ADDRESS: alamat IP ke proxy web Anda

  • SWP_PORT_NUMBER: nomor port untuk proxy web Anda, seperti 443

  • HTTP_TEST_ADDRESS: alamat yang akan diuji, seperti https://www.example.com, yang cocok dengan host atau entri URL di URL_LIST

Permintaan akan menampilkan respons yang berhasil.

Langkah selanjutnya