Menyiapkan pemeriksaan TLS

Halaman ini menjelaskan cara menyiapkan pemeriksaan Transport Layer Security (TLS) untuk Cloud Next Generation Firewall.

Sebelum memulai

Sebelum mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut ini.

Aktifkan Certificate Authority Service

Cloud NGFW menggunakan Certificate Authority Service untuk membuat certificate authority (CA) perantara. Cloud NGFW menggunakan CA perantara ini untuk membuat sertifikat yang digunakan untuk inspeksi TLS.

Untuk mengaktifkan CA Service, gunakan perintah berikut:

   gcloud services enable privateca.googleapis.com

Aktifkan Pengelola Sertifikat

Cloud NGFW menggunakan Certificate Manager untuk membuat konfigurasi kepercayaan. Jika Anda tidak ingin menggunakan konfigurasi kepercayaan, lewati langkah ini.

Untuk mengaktifkan Pengelola Sertifikat, gunakan perintah berikut:

   gcloud services enable certificatemanager.googleapis.com

Membuat konfigurasi kepercayaan

Ini langkah opsional. Untuk membuat konfigurasi kepercayaan, ikuti langkah-langkah di bagian ini.

  1. Buat kumpulan CA.

    Kumpulan CA yang Anda buat dalam langkah ini berbeda dengan kumpulan yang Anda buat untuk mengonfigurasi kebijakan pemeriksaan TLS.

  2. Buat CA root menggunakan kumpulan CA yang Anda buat sebelumnya.

  3. Buat sertifikat menggunakan kunci yang dibuat secara otomatis. Gunakan nama kumpulan CA yang sama dengan yang Anda buat sebelumnya.

  4. Dapatkan sertifikat publik CA dari sertifikat yang dibuat.

    $PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \
   --location LOCATION \
   --project PROJECT_ID \
   --pool CA_POOL \
   --format "value(pemCaCertificates)")

    Ganti kode berikut:

    • ROOT_CA_NAME: nama CA root
    • LOCATION: lokasi CA root
    • PROJECT_ID: project ID dari root CA
    • CA_POOL: nama kumpulan CA untuk membuat sertifikat

  5. Buat dan impor konfigurasi kepercayaan menggunakan PEM-CERT yang diperoleh pada langkah sebelumnya. Jika Anda menggunakan CA Anda sendiri, gunakan sertifikat publik yang diperoleh dari CA Anda.

Anda menggunakan konfigurasi kepercayaan ini untuk membuat kebijakan pemeriksaan TLS.

Membuat kumpulan CA

Anda harus membuat kumpulan CA sebelum dapat menggunakan CA Service untuk membuat CA. Untuk membuat kumpulan CA, ikuti petunjuk dalam Membuat kumpulan CA.

Anda menggunakan kumpulan CA ini untuk membuat kebijakan inspeksi TLS.

Membuat root CA

Jika belum memiliki root CA, Anda dapat membuatnya dalam Service CA. Untuk membuat CA root, ikuti petunjuk dalam Membuat CA root, dan gunakan kumpulan CA yang sama dengan yang Anda buat sebelumnya (lihat bagian Membuat kumpulan CA).

Membuat akun layanan

Jika tidak memiliki akun layanan, Anda harus membuatnya dan memberikan izin yang diperlukan.

  1. Buat akun layanan:

     gcloud services identity create \
     --service networksecurity.googleapis.com \
     --project PROJECT_ID

    Ganti PROJECT_ID dengan project ID akun layanan.

    Google Cloud CLI membuat akun layanan yang disebut service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com. Di sini, PROJECT_NUMBER adalah ID unik dari PROJECT_ID yang Anda berikan dalam perintah sebelumnya.

  2. Berikan izin ke akun layanan untuk membuat sertifikat yang menggunakan kumpulan CA Anda:

     gcloud privateca pools add-iam-policy-binding CA_POOL \
     --member 'serviceAccount:SERVICE_ACCOUNT' \
     --role 'roles/privateca.certificateRequester' \
     --location REGION

    Ganti kode berikut:

    • CA_POOL: nama kumpulan CA untuk membuat sertifikat
    • SERVICE_ACCOUNT: nama akun layanan yang Anda buat di langkah sebelumnya
    • LOCATION: region dari kumpulan CA

Mengonfigurasi pemeriksaan TLS

Sebelum melanjutkan tugas di bagian ini, pastikan Anda telah mengonfigurasi sertifikat, atau Anda telah menyelesaikan tugas prasyarat yang tercantum di bagian Sebelum memulai.

Untuk mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut ini.

Membuat kebijakan pemeriksaan TLS

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.

    Buka kebijakan pemeriksaan TLS

  2. Di menu drop-down pemilih project, pilih project Anda.

  3. Klik Buat kebijakan pemeriksaan TLS.

  4. Untuk Name, masukkan nama.

  5. Opsional: Di kolom Deskripsi, masukkan deskripsi.

  6. Dalam daftar Region, pilih region tempat Anda ingin membuat kebijakan pemeriksaan TLS.

  7. Dalam daftar CA pool, pilih kumpulan CA tempat Anda ingin membuat sertifikat.

    Jika Anda belum mengonfigurasi kumpulan CA, klik Kumpulan Baru, lalu ikuti petunjuk di Membuat kumpulan CA.

  8. Opsional: Pada daftar Versi TLS minimum, pilih versi TLS minimum yang didukung oleh kebijakan.

  9. Untuk Trust Configuration, pilih salah satu opsi berikut:

    • Khusus CA publik: Pilih opsi ini jika Anda ingin memercayai server dengan sertifikat yang ditandatangani secara publik.

    • Khusus CA pribadi: Pilih opsi ini jika Anda ingin memercayai server dengan sertifikat yang ditandatangani secara pribadi.

      Dalam daftar Private trust configuration, pilih konfigurasi kepercayaan dengan trust store yang dikonfigurasi dan akan digunakan untuk memercayai sertifikat server upstream. Untuk mengetahui informasi selengkapnya tentang cara membuat konfigurasi kepercayaan, lihat Membuat konfigurasi kepercayaan.

    • CA publik dan pribadi: Pilih opsi ini jika Anda ingin menggunakan CA publik dan pribadi.

  10. Opsional: Pada daftar Cipher suite profile, pilih jenis profil TLS. Anda dapat memilih salah satu nilai berikut:

    • Kompatibel: memungkinkan kumpulan klien terluas, termasuk klien yang hanya mendukung fitur TLS yang sudah usang, untuk menegosiasikan TLS.
    • Modern: mendukung berbagai fitur TLS, yang memungkinkan klien modern menegosiasikan TLS.
    • Dibatasi: mendukung pengurangan fitur TLS yang ditujukan untuk memenuhi persyaratan kepatuhan yang lebih ketat.

    • Kustom: memungkinkan Anda memilih fitur TLS satu per satu.

      Dalam daftar Cipher suite, pilih nama cipher suite yang didukung oleh profil kustom.

  11. Klik Create.

gcloud

  1. Buat file YAML TLS_INSPECTION_FILE.yaml. Ganti TLS_INSPECTION_FILE dengan nama file pilihan Anda.

  2. Tambahkan kode berikut ke file YAML untuk mengonfigurasi kebijakan pemeriksaan TLS.

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
minTlsVersion: TLS_VERSION
tlsFeatureProfile: PROFILE_TYPECIPHER_NAME
excludePublicCaSet: `TRUE`|`FALSE`
trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME

    Ganti kode berikut:

    • PROJECT_ID: project ID kebijakan pemeriksaan TLS
    • REGION: wilayah tempat kebijakan inspeksi TLS dibuat
    • TLS_INSPECTION_NAME: nama kebijakan pemeriksaan TLS

    • CA_POOL: nama kumpulan CA untuk membuat sertifikat

      Kumpulan CA harus ada dalam region yang sama.

    • TLS_VERSION: argumen opsional yang menentukan versi TLS minimum yang didukung oleh Cloud NGFW

      Anda dapat memilih dari salah satu nilai berikut:

      • TLS_1_0
      • TLS_1_1
      • TLS_1_2

    • PROFILE_TYPE: argumen opsional yang menentukan jenis profil TLS

      Anda dapat memilih dari salah satu nilai berikut:

      • PROFILE_COMPATIBLE: memungkinkan kumpulan klien terluas, termasuk klien yang hanya mendukung fitur TLS yang sudah usang, untuk menegosiasikan TLS.
      • PROFILE_MODERN: mendukung berbagai fitur TLS, yang memungkinkan klien modern menegosiasikan TLS.
      • PROFILE_RESTRICTED: mendukung pengurangan kumpulan fitur TLS yang dimaksudkan untuk memenuhi persyaratan kepatuhan yang lebih ketat.
      • PROFILE_CUSTOM: memungkinkan Anda memilih fitur TLS satu per satu.

    • CIPHER_NAME: argumen opsional untuk menentukan nama cipher suite yang didukung oleh profil kustom

      Anda menentukan argumen ini hanya jika jenis profil ditetapkan ke PROFILE_CUSTOM.

    • excludePublicCaSet: tanda opsional untuk menyertakan atau mengecualikan kumpulan CA publik. Secara default, tanda ini disetel ke salah (false). Jika tanda ini disetel ke benar (true), koneksi TLS tidak akan memercayai server CA publik. Dalam hal ini, Cloud NGFW hanya dapat membuat koneksi TLS ke server dengan sertifikat yang ditandatangani oleh CA dalam konfigurasi kepercayaan.

    • TRUST_CONFIG_NAME: argumen opsional untuk menentukan nama resource konfigurasi kepercayaan

  3. Impor kebijakan pemeriksaan TLS yang Anda buat di bagian Membuat kebijakan pemeriksaan TLS

    gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
    --source TLS_INSPECTION_FILE.yaml \
    --location REGION

    Ganti kode berikut:

    • TLS_INSPECTION_NAME: nama kebijakan pemeriksaan TLS
    • TLS_INSPECTION_FILE: nama file YAML kebijakan pemeriksaan TLS

Lihat detail untuk kebijakan pemeriksaan TLS

Anda dapat melihat informasi tentang kebijakan pemeriksaan TLS yang Anda buat dalam project.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.

    Buka kebijakan pemeriksaan TLS

  2. Di menu drop-down pemilih project, pilih project Anda.

  3. Kebijakan pemeriksaan TLS tercantum di bagian pemeriksaan TLS.

  4. Untuk melihat detailnya, klik nama kebijakan pemeriksaan TLS Anda.

Menambahkan kebijakan pemeriksaan TLS ke pengaitan endpoint firewall

Untuk menambahkan kebijakan pemeriksaan TLS ke asosiasi endpoint firewall, ikuti langkah-langkah yang disebutkan dalam Membuat asosiasi endpoint firewall.

Mengonfigurasi aturan kebijakan firewall dengan pemeriksaan TLS

Guna mengaktifkan pemeriksaan TLS untuk jaringan Virtual Private Cloud (VPC), tetapkan flag --tls-inspect dalam aturan kebijakan firewall Anda. Tanda ini menunjukkan bahwa pemeriksaan TLS dapat dilakukan saat grup profil keamanan diterapkan.

Untuk mempelajari lebih lanjut cara mengaktifkan flag --tls-inspect dalam aturan kebijakan firewall hierarkis, lihat Membuat aturan firewall.

Untuk mempelajari lebih lanjut cara mengaktifkan flag --tls-inspect di aturan kebijakan firewall jaringan global, lihat Membuat aturan firewall jaringan global.

Mengelola kebijakan pemeriksaan TLS

Anda bisa membuat daftar, memperbarui, dan menghapus kebijakan pemeriksaan TLS dalam project.

Mencantumkan semua kebijakan pemeriksaan TLS

Anda bisa melihat daftar semua kebijakan pemeriksaan TLS dalam sebuah project.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.

    Buka kebijakan pemeriksaan TLS

  2. Di menu drop-down pemilih project, pilih project Anda.

  3. Kebijakan pemeriksaan TLS tercantum di bagian pemeriksaan TLS.

gcloud

Untuk menampilkan daftar semua kebijakan pemeriksaan TLS, gunakan perintah gcloud network-security tls-inspection-policies list:

gcloud network-security tls-inspection-policies list \
    --project PROJECT_ID \
    --location REGION

Ganti kode berikut:

  • PROJECT_ID: project ID untuk kebijakan pemeriksaan TLS
  • REGION: nama wilayah tempat Anda ingin mencantumkan kebijakan pemeriksaan TLS

Mengedit kebijakan pemeriksaan TLS

Anda dapat mengubah kebijakan pemeriksaan TLS yang ada dalam project.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.

    Buka kebijakan pemeriksaan TLS

  2. Di menu drop-down pemilih project, pilih project Anda.

  3. Kebijakan pemeriksaan TLS tercantum di bagian pemeriksaan TLS.

  4. Untuk mengedit kebijakan, klik nama kebijakan pemeriksaan TLS Anda.

  5. Klik Edit.

  6. Ubah kolom yang wajib diisi. Untuk mengetahui informasi selengkapnya tentang setiap kolom, lihat Membuat kebijakan pemeriksaan TLS.

  7. Klik Save.

Menghapus kebijakan pemeriksaan TLS

Anda dapat menghapus kebijakan pemeriksaan TLS dari project. Namun, jika kebijakan pemeriksaan TLS dirujuk oleh asosiasi endpoint firewall, kebijakan pemeriksaan TLS tersebut tidak dapat dihapus.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.

    Buka kebijakan pemeriksaan TLS

  2. Di menu drop-down pemilih project, pilih project Anda.

  3. Kebijakan pemeriksaan TLS tercantum di bagian pemeriksaan TLS.

  4. Untuk menghapus kebijakan pemeriksaan TLS, pilih kotak centang di samping namanya.

  5. Klik Delete.

  6. Klik Hapus sekali lagi.

gcloud

Untuk menghapus kebijakan pemeriksaan TLS, gunakan perintah gcloud network-security tls-inspection-policies delete:

gcloud network-security tls-inspection-policies delete \
    projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \
    --location REGION

Ganti kode berikut:

  • PROJECT_ID: project ID kebijakan pemeriksaan TLS
  • TLS_INSPECTION_NAME: nama pemeriksaan TLS
  • REGION: wilayah tempat kebijakan inspeksi TLS dibuat

Apa langkah selanjutnya?