Implantar uma instância do Secure Web Proxy

Neste guia de início rápido, você vai aprender a implantar e testar uma instância do Secure Web Proxy.

Antes de começar

  1. Conclua as etapas iniciais de configuração.

  2. Para executar os comandos nesta página, configure a Google Cloud CLI em um dos seguintes ambientes de desenvolvimento:

    Cloud Shell

    Para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell:

    No final desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

    Shell local

    Para usar um ambiente de desenvolvimento local, siga estas etapas:

    1. Instale a CLI da gcloud.
    2. Inicialize a CLI gcloud.

  3. Criar ou selecionar um projeto do Google Cloud.

    Console

    No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

    Cloud Shell

    • Crie um projeto do Google Cloud:

      gcloud projects create PROJECT_ID

      Substitua PROJECT_ID pelo ID do projeto que você quer.

    • Selecione o projeto do Google Cloud que você criou:

      gcloud config set project PROJECT_ID

  4. Crie uma instância de máquina virtual (VM) do Linux:

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    O Compute Engine concede ao usuário que cria a VM o papel de Administrador de instâncias do Compute (roles/compute.instanceAdmin). O Compute Engine também adiciona esse usuário ao grupo sudo.

  5. Criar uma regra de firewall

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

Criar uma política do Secure Web Proxy

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy.

  3. Clique na guia Políticas.

  4. Clique em Criar uma política.

  5. Insira um nome para a política que você quer criar, como myswppolicy.

  6. Insira uma descrição da política, como My new swp policy.

  7. Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.

  8. Se você quiser configurar a inspeção TLS para o proxy da Web, selecione Configurar inspeção TLS.

  9. Na lista Política de inspeção de TLS, selecione a política de inspeção de TLS que você criou. A política de inspeção TLS só vai aparecer na lista se tiver sido criada por você.

  10. Se você quiser criar regras para a política, clique em Continuar e em Adicionar regra. Para mais detalhes, consulte Criar regras do Secure Web Proxy.

  11. Clique em Criar.

Cloud Shell

  1. Algumas políticas de proxy da Web exigem que o tráfego seja criptografado por TLS para avaliação. Dependendo de você querer ou não usar a criptografia TLS, use qualquer um dos seguintes métodos para criar uma política:

    • Crie uma política com a configuração de inspeção TLS.

      Para ativar a inspeção TLS, execute o procedimento descrito em Ativar inspeção TLS e crie o arquivo policy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

    • Crie uma política sem a configuração da inspeção TLS.

      Se você não quiser ativar a inspeção TLS, crie o arquivo policy.yaml:

      description: basic Secure Web Proxy policy
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

  2. Crie a política do Secure Web Proxy:

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

Criar regras do Secure Web Proxy

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy.

  3. Clique na guia Políticas.

  4. Clique no nome da sua política.

  5. Clique em Adicionar regra.

  6. Preencha os campos da regra:

    1. Nome
    2. Descrição
    3. Status
    4. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.
    5. Na seção Action, especifique se as conexões que correspondem à regra são permitidas (Allow) ou negadas (Deny).
    6. Na seção Correspondência de sessão, especifique os critérios para corresponder à sessão. Para mais informações sobre a sintaxe para SessionMatcher, consulte a referência de linguagem de correspondência CEL.
    7. Para ativar a inspeção TLS, selecione Ativar inspeção TLS.
    8. Na seção Correspondência de aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
    9. Clique em Criar.

  7. Clique em Adicionar regra para adicionar outra regra.

  8. Clique em Criar para criar a política.

Cloud Shell

  1. Dependendo da sua intenção de usar a criptografia TLS, use qualquer um dos seguintes métodos para criar uma regra:

    • Crie uma regra com a configuração de inspeção TLS.

      Para ativar a inspeção TLS, crie o arquivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

    • Crie uma regra sem a configuração de inspeção TLS.

      Se você não quiser ativar a inspeção TLS, crie o arquivo rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'

  2. Crie a regra da política de segurança:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

Configurar um proxy da Web

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy.

  3. Clique na guia Proxies da Web.

  4. Clique em Configurar um proxy da Web.

  5. Digite um nome para o proxy da Web que você quer criar, como myswp.

  6. Digite uma descrição do proxy da Web, como My new swp.

  7. Na lista Regiões, selecione a região em que você quer criar o proxy da Web.

  8. Na lista Rede, selecione a rede em que você quer criar o proxy da Web.

  9. Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.

  10. Digite o endereço IP do proxy da Web.

  11. Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.

  12. Na lista Política, selecione a política criada para associar o proxy da Web.

  13. Clique em Criar.

Cloud Shell

  1. Crie o arquivo gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["10.128.0.99"]
ports: [443]
certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/default
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
scope: samplescope

  2. Crie uma instância do Secure Web Proxy:

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    A implantação de uma instância do Secure Web Proxy pode levar vários minutos.

Testar a conectividade

  1. Conecte-se à VM que você provisionou anteriormente:

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

  2. Teste a instância do Secure Web Proxy:

    curl -x http://10.128.0.99:443 http://wikipedia.org --proxy-insecure

    Se você tiver configurado a instância do Secure Web Proxy para inspeção TLS, use o seguinte comando:

    curl -x http://10.128.0.99:443 http://wikipedia.org/index.html --proxy-insecure

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Exclua a instância swp1 do Secure Web Proxy

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy. É possível ver uma lista de todos os proxies da Web ou apenas daqueles em uma rede específica.

  3. Selecione o proxy da Web que você quer excluir.

  4. Clique em Excluir.

  5. Clique em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

Exclua a regra allow-wikipedia-org

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy. É possível ver uma lista de todos os proxies da Web ou apenas daqueles em uma rede específica.

  3. Clique na guia Políticas.

  4. Clique na sua política.

  5. Selecione a regra que você quer excluir.

  6. Clique em Excluir.

  7. Clique em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Exclua a política do Secure Web Proxy policy1

Console

  1. No Console do Google Cloud, acesse a página Segurança de rede.

    Acesse Segurança de rede

  2. Clique em Secure Web Proxy. É possível ver uma lista de todos os proxies da Web ou apenas daqueles em uma rede específica.

  3. Clique na guia Políticas.

  4. Selecione a política que você quer excluir.

  5. Clique em Excluir.

  6. Clique em Excluir novamente para confirmar.

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Exclua a instância de VM do Linux swp-test-vm

Console

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Selecione as instâncias que você quer excluir.

  3. Clique em Excluir.

Cloud Shell 

gcloud compute instances delete swp-test-vm

A seguir