Este documento descreve os passos de configuração iniciais necessários para usar o proxy Web seguro.
Antes de poder usar o proxy Web seguro, conclua a seguinte configuração:
- Obtenha as funções de gestão de identidade e de acesso necessárias.
- Crie ou selecione um Google Cloud projeto.
- Ative a faturação e as Google Cloud APIs relevantes.
- Crie sub-redes de proxy.
- Carregue um certificado SSL no Gestor de certificados.
Esta configuração só é necessária na primeira vez que usar o proxy Web seguro.
Obtenha funções de IAM
Para obter autorizações, siga estes passos:
-
Para receber as autorizações de que precisa para aprovisionar uma instância do proxy Web seguro, peça ao seu administrador para lhe conceder as seguintes funções do IAM no seu projeto:
-
Para configurar políticas e aprovisionar uma instância do Secure Web Proxy:
Função de administrador da rede de computação (
roles/compute.networkAdmin) -
Para carregar certificados TLS de proxy Web seguro explícitos:
Função de editor do gestor de certificados (
roles/certificatemanager.editor)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
-
Para configurar políticas e aprovisionar uma instância do Secure Web Proxy:
Função de administrador da rede de computação (
Opcional: se tiver um conjunto de utilizadores responsáveis pela gestão contínua de políticas, conceda-lhes a função de administrador de políticas de segurança (
roles/compute.orgSecurityPolicyAdmin) para lhes permitir gerir políticas de segurança.
Crie um Google Cloud projeto
Para criar ou selecionar um Google Cloud projeto, siga estes passos:
Consola
Na Google Cloud consola, na página do seletor de projetos, selecione ou crie um Google Cloud projeto.
Cloud Shell
Crie um Google Cloud projeto:
gcloud projects create PROJECT_IDSubstitua PROJECT_ID pelo ID do projeto que quer.
Selecione o Google Cloud projeto que criou:
gcloud config set project PROJECT_ID
Ativar faturação
Certifique-se de que a faturação está ativada para o seu Google Cloud projeto. Para mais informações, consulte os artigos Ative, desative ou altere a faturação de um projeto e Verifique o estado de faturação dos seus projetos.
Ative as APIs necessárias
Tem de ativar as seguintes Google Cloud APIs:
compute.googleapis.comcertificatemanager.googleapis.comnetworkservices.googleapis.comnetworksecurity.googleapis.comprivateca.googleapis.com(opcional)
Para ativar as APIs Google Cloud necessárias, faça o seguinte:
Consola
Ative a API Compute Engine.
Ative a API Certificate Manager.
Ative a API Network Services.
Ative a API Network Security.
Opcional: se planear configurar a inspeção TLS para o seu proxy, tem de ativar a API Certificate Authority Service.
gcloud
Execute o seguinte comando:
gcloud services enable \
--compute.googleapis.com \
--certificatemanager.googleapis.com \
--networkservices.googleapis.com \
--networksecurity.googleapis.com \
--privateca.googleapis.com
Crie uma sub-rede de proxy
Crie uma sub-rede de proxy para cada região na qual implementa o Secure Web Proxy. Crie um tamanho de sub-rede de, pelo menos, /26 ou 64 endereços apenas de proxy. Recomendamos um tamanho de sub-rede de /23 ou 512 endereços só de proxy, porque a conetividade do proxy Web seguro é fornecida por um conjunto de endereços IP reservados para o proxy Web seguro. Este conjunto é usado para atribuir endereços IP únicos no lado de saída de cada proxy para interação com o Cloud NAT e os destinos na rede VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Substitua o seguinte:
PROXY_SUBNET_NAME: o nome que quer para a sua sub-rede de proxyREGION: a região na qual implementar a sub-rede de proxyNETWORK_NAME: o nome da sua redeIP_RANGE: o intervalo de sub-rede, como192.168.0.0/23
Implemente um certificado SSL
Os certificados SSL são opcionais para o proxy Web seguro. Para implementar certificados com o Gestor de certificados, use qualquer um dos seguintes métodos:
Implemente um certificado gerido pela Google regional com autorização de DNS por projeto. Para mais informações, consulte o artigo Implemente um certificado gerido pela Google regional.
Implemente um certificado gerido pela Google regional com o serviço de autoridade de certificação. Para mais informações, consulte o artigo Implemente um certificado gerido pela Google regional com o serviço de AC.
Implemente um certificado autogerido regional.
O exemplo seguinte mostra como implementar um certificado autogerido regional através do Gestor de certificados.
Para criar um certificado SSL:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"Substitua o seguinte:
KEY_PATH: o caminho para guardar a chave, como~/key.pemCERTIFICATE_PATH: o caminho para guardar o certificado, como~/cert.pemSWP_HOST_NAME: o nome do anfitrião da sua instância do proxy Web seguro, comomyswp.example.com
Para carregar o certificado SSL no Gestor de certificados:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGIONSubstitua o seguinte:
CERTIFICATE_NAME: o nome do seu certificadoCERTIFICATE_PATH: o caminho para o ficheiro de certificadoKEY_PATH: o caminho para o ficheiro de chave
Para mais informações acerca dos certificados SSL, consulte o artigo Vista geral dos certificados SSL.
O que se segue?
- Implemente e teste uma instância do Secure Web Proxy
- Use etiquetas para criar políticas
- Use uma lista de URLs para criar políticas
- Atribua endereços IP estáticos para o tráfego de saída