Usa una lista de URLs para crear políticas

En la consola de Google Cloud, ve a la página Seguridad de red.

Ir a Seguridad de red

Haz clic en Proxy web seguro.

Haz clic en la pestaña Políticas.

Haz clic en Crear una política.

Escribe un nombre para la política que quieres crear. como myswppolicy.

Ingresa una descripción de la política, como My new swp policy

En la lista Regiones, selecciona la región a la que deseas ir. crea la política.

Haz clic en Crear.

Utiliza tu editor de texto preferido para crear el archivo POLICY_FILE.yaml. Reemplazar POLICY_FILE por el nombre de archivo que que deseas para el archivo de políticas.

Agrega lo siguiente al archivo YAML que creaste:

name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

Reemplaza lo siguiente:

• PROJECT_NAME: nombre del proyecto.
• REGION: La región a la que se aplica esta política
• POLICY_NAME: El nombre de la política creando
• POLICY_DESCRIPTION: Es la descripción de la política que estás creando

Importa la política de seguridad:

gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

En la consola de Google Cloud, ve a la página Seguridad de red.

Ir a Seguridad de red

Haz clic en Proxy web seguro.

Haz clic en Configurar un proxy web.

Ingresa un nombre para el proxy web que deseas crear, como myswp.

Ingresa una descripción del proxy web, como My new swp.

En la lista Regiones, selecciona la región en la que deseas crear el proxy web.

En la lista Red, selecciona la red a la que quieres crear el proxy web.

En la lista Subred, selecciona la subred en la que desees crear el proxy web.

Ingresa la dirección IP del proxy web.

En la lista Certificado, selecciona el certificado que deseas. que se usará para crear el proxy web.

En la lista Política, selecciona la política que creaste. asociar el proxy web.

Haz clic en Crear.

Utiliza tu editor de texto preferido para crear el archivo GATEWAY_FILE.yaml. Reemplazar GATEWAY_FILE por el nombre de archivo que deseas el archivo del proxy web.

Agrega lo siguiente al archivo YAML que creaste:

name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

Reemplaza lo siguiente:

• GATEWAY_NAME: Es el nombre de esta instancia.
• GATEWAY_PORT_NUMBERS: Es una lista de números de puerto para esta puerta de enlace, como [80,443].
• CERTIFICATE_URLS: Una lista de certificados SSL URL

• SUBNET_NAME: El nombre de la subred que contiene GATEWAY_IP_ADDRESS

• GATEWAY_IP_ADDRESS: Una lista opcional de IP para tus instancias del Proxy web seguro dentro del proxy subredes creadas anteriormente en el pasos iniciales de configuración

  Si decides no enumerar las direcciones IP, omíte el campo para que el proxy web elija una dirección IP por ti.

Crea una instancia del Proxy web seguro:

gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

En la consola de Google Cloud, ve a la página Seguridad de red.

Ir a Seguridad de red

Haz clic en Proxy web seguro.

Haz clic en la pestaña Listas de URLs.

Haz clic en Crear una lista de URLs.

Ingresa un nombre para la lista de URLs que deseas crear, como myurllist.

Ingresa una descripción de la lista de URLs, como My new URL list.

En la lista Regiones, selecciona la región a la que deseas ir. crear la lista de URLs.

Haz clic en Subir listas para subir la lista de hosts, URL o patrones que coincidan. Para obtener más información, consulta la referencia de sintaxis de UrlList.

Haz clic en Crear.

Usa tu editor de texto preferido para crear el archivo. URL_LIST_FILE.yaml. ReplaceURL_LIST_FILE` por el nombre de archivo deseado.

  name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

Reemplaza lo siguiente:

• PROJECT_ID: Es el número de tu proyecto.
• REGION: Es la región a la que se aplica esta lista de URLs.
• URL_LIST_NAME: Es un nombre para la lista de URLs que estás creando.
• URL_LIST: Es la lista de hosts, URLs o patrones que deben coincidir.

Para obtener más información, consulta Referencia de la sintaxis de UrlList.

El siguiente es un ejemplo de archivo de reglas de lista de URLs:

name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

El carácter de asterisco (*) tiene un significado especial en YAML. Por lo tanto, debes encerrar las URLs entre comillas que incluyan un carácter *.

Agrega la lista de URLs para que un Proxy web seguro pueda hacer referencia a ella. regla:

gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=URL_LIST_FILE.yaml

En la consola de Google Cloud, ve a la página Seguridad de red.

Ir a Seguridad de red

Haz clic en Proxy web seguro.

En el menú del selector de proyectos, selecciona el ID de tu organización o la carpeta. que contiene tu política.

Haz clic en el nombre de la política.

Haz clic en Agregar regla.

Propaga los campos de la regla:

1. Nombre
2. Descripción
3. Estado
4. Prioridad: El orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, en la que 0 es la prioridad más alta.
5. En la sección Acción, especifica si las conexiones que coinciden si se permite (Permitir) o se rechaza (Rechazar) la regla.

6. En la sección Coincidencia de sesión, especifica el nombre de la lista de URLs. que creaste anteriormente. Por ejemplo:

     sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
   

7. Para habilitar la inspección de TLS, selecciona Habilitar la inspección de TLS.

8. En la sección Coincidencia de aplicaciones, especifica los criterios para que coincida con la solicitud.

9. Haz clic en Crear.

Haz clic en Agregar regla para agregar otra regla.

Haz clic en Crear para crear la política.

Usa tu editor de texto preferido para crear el archivo RULE_FILE.yaml. Reemplaza RULE_FILE por el nombre de archivo que desees.

name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: PRIORITY_VALUE
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

Reemplaza lo siguiente:

• PROJECT_ID: Es el número de tu proyecto.
• REGION: La región a la que se aplica esta regla
• POLICY_NAME: Es el nombre de un GatewaySecurityPolicy existente que se usó. por tu instancia del Proxy web seguro
• RULE_NAME: Es un nombre para el GatewaySecurityPolicyRule que deseas. creando
• PRIORITY_VALUE: Un valor de prioridad para esta regla. Los números más bajos corresponden a prioridades más altas.
• RULE_DESCRIPTION: una descripción de la política que estás creando
• SESSION_CEL_EXPRESSION: Es una expresión de Common Expression Language (CEL) para la sesión.
• APPLICATION_CEL_EXPRESSION: Es una expresión CEL para la aplicación.

El siguiente es un ejemplo de archivo de reglas:

name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

Para agregar una regla del Proxy web seguro, usa la lista de URLs que creaste anteriormente:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=RULE_FILE.yaml \
      --gateway-security-policy=POLICY_NAME