Halaman ini menjelaskan cara menyiapkan pemeriksaan Transport Layer Security (TLS) untuk Cloud Next Generation Firewall.
Sebelum memulai
Sebelum mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut.
Mengaktifkan Certificate Authority Service
Cloud NGFW menggunakan Certificate Authority Service untuk membuat certificate authority (CA) perantara. Cloud NGFW menggunakan CA perantara ini untuk membuat sertifikat yang digunakan untuk pemeriksaan TLS.
Anda dapat mengaktifkan CA Service API menggunakan konsol Google Cloud:
Untuk mengaktifkan Layanan CA menggunakan Google Cloud CLI, gunakan perintah berikut:
gcloud services enable privateca.googleapis.com
Mengaktifkan Pengelola Sertifikat
Cloud NGFW menggunakan Pengelola Sertifikat untuk membuat konfigurasi kepercayaan. Jika Anda tidak ingin menggunakan konfigurasi kepercayaan, lewati langkah ini.
Anda dapat mengaktifkan Certificate Manager API menggunakan konsol Google Cloud:
Untuk mengaktifkan Pengelola Sertifikat menggunakan Google Cloud CLI, gunakan perintah berikut:
gcloud services enable certificatemanager.googleapis.com
Membuat konfigurasi kepercayaan
Ini langkah opsional. Untuk membuat konfigurasi kepercayaan, ikuti langkah-langkah di bagian ini.
-
Kumpulan CA yang Anda buat pada langkah ini berbeda dengan kumpulan yang Anda buat untuk mengonfigurasi kebijakan pemeriksaan TLS.
Buat CA root menggunakan kumpulan CA yang Anda buat sebelumnya.
Membuat sertifikat menggunakan kunci yang dibuat secara otomatis. Gunakan nama kumpulan CA yang sama dengan yang Anda buat sebelumnya.
Dapatkan sertifikat publik CA dari sertifikat yang dibuat.
$PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \ --location LOCATION \ --project PROJECT_ID \ --pool CA_POOL \ --format "value(pemCaCertificates)")
Ganti kode berikut:
ROOT_CA_NAME: nama CA rootLOCATION: lokasi root CAPROJECT_ID: project ID root CACA_POOL: nama kumpulan CA tempat membuat sertifikat
Buat dan impor konfigurasi kepercayaan menggunakan
PEM-CERTyang diperoleh di langkah sebelumnya. Jika Anda menggunakan CA sendiri, gunakan sertifikat publik yang diperoleh dari CA Anda.
Anda menggunakan konfigurasi kepercayaan ini untuk membuat kebijakan pemeriksaan TLS.
Membuat kumpulan CA
Anda harus membuat kumpulan CA sebelum dapat menggunakan Layanan CA untuk membuat CA. Untuk membuat kumpulan CA, ikuti petunjuk dalam Membuat kumpulan CA.
Anda menggunakan kumpulan CA ini untuk membuat kebijakan pemeriksaan TLS.
Membuat CA root
Jika tidak memiliki CA root, Anda dapat membuatnya dalam Layanan CA. Untuk membuat CA root, ikuti petunjuk di bagian Membuat CA root, dan gunakan kumpulan CA yang sama dengan yang Anda buat sebelumnya (lihat bagian Membuat kumpulan CA).
Membuat akun layanan
Jika tidak memiliki akun layanan, Anda harus membuatnya dan memberikan izin yang diperlukan.
Buat akun layanan:
gcloud beta services identity create \ --service networksecurity.googleapis.com \ --project PROJECT_IDGanti
PROJECT_IDdengan project ID akun layanan.Google Cloud CLI membuat akun layanan bernama
service-PROJECT_NUMBER@gcp-sa-networksecurity.. Di sini,PROJECT_NUMBERadalah ID unik dariPROJECT_IDyang Anda berikan dalam perintah sebelumnya.Berikan izin ke akun layanan Anda untuk membuat sertifikat yang menggunakan kumpulan CA Anda:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --member 'serviceAccount:SERVICE_ACCOUNT' \ --role 'roles/privateca.certificateRequester' \ --location REGIONGanti kode berikut:
CA_POOL: nama kumpulan CA tempat membuat sertifikatSERVICE_ACCOUNT: nama akun layanan yang Anda buat di langkah sebelumnyaLOCATION: region kumpulan CA
Mengonfigurasi pemeriksaan TLS
Sebelum melanjutkan tugas di bagian ini, pastikan Anda telah mengonfigurasi sertifikat, atau telah menyelesaikan tugas prasyarat yang tercantum di bagian Sebelum memulai.
Untuk mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut.
Membuat kebijakan pemeriksaan TLS
Konsol
Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.
Di menu pemilih project, pilih project Anda.
Klik Create TLS inspection policy.
Untuk Name, masukkan nama.
Opsional: Di kolom Deskripsi, masukkan deskripsi.
Dalam daftar Region, pilih region tempat Anda ingin membuat kebijakan pemeriksaan TLS.
Di daftar CA pool, pilih CA pool tempat Anda ingin membuat sertifikat.
Jika Anda tidak mengonfigurasi kumpulan CA, klik Kumpulan Baru dan ikuti petunjuk di Membuat kumpulan CA.
Opsional: Dalam daftar Minimum TLS version, pilih versi TLS minimum yang didukung oleh kebijakan.
Untuk Konfigurasi Kepercayaan, pilih salah satu opsi berikut:
- Khusus CA publik: Pilih opsi ini jika Anda ingin memercayai server dengan sertifikat yang ditandatangani secara publik.
Khusus CA Pribadi: Pilih opsi ini jika Anda ingin memercayai server dengan sertifikat yang ditandatangani secara pribadi.
Dalam daftar Private trust configuration, pilih konfigurasi kepercayaan dengan trust store yang dikonfigurasi untuk digunakan dalam memercayai sertifikat server upstream. Untuk mengetahui informasi selengkapnya tentang cara membuat konfigurasi kepercayaan, lihat Membuat konfigurasi kepercayaan.
CA publik dan pribadi: Pilih opsi ini jika Anda ingin menggunakan CA publik dan pribadi.
Opsional: Dalam daftar Cipher suite profile, pilih jenis profil TLS. Anda dapat memilih salah satu nilai berikut:
- Kompatibel: memungkinkan kumpulan klien terluas, termasuk klien yang hanya mendukung fitur TLS yang sudah tidak berlaku, untuk menegosiasikan TLS.
- Modern: mendukung berbagai fitur TLS, yang memungkinkan klien modern menegosiasikan TLS.
- Dibatasi: mendukung kumpulan fitur TLS yang dikurangi yang dimaksudkan untuk memenuhi persyaratan kepatuhan yang lebih ketat.
Kustom: memungkinkan Anda memilih fitur TLS satu per satu.
Dalam daftar Cipher suites, pilih nama cipher suite yang didukung oleh profil kustom.
Klik Create.
gcloud
Buat file YAML
TLS_INSPECTION_FILE.yaml. GantiTLS_INSPECTION_FILEdengan nama file pilihan Anda.Tambahkan kode berikut ke file YAML untuk mengonfigurasi kebijakan pemeriksaan TLS.
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL minTlsVersion: TLS_VERSION tlsFeatureProfile: PROFILE_TYPECIPHER_NAME excludePublicCaSet: `TRUE`|`FALSE` trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAMEGanti kode berikut:
PROJECT_ID: project ID kebijakan pemeriksaan TLSREGION: region tempat kebijakan pemeriksaan TLS dibuatTLS_INSPECTION_NAME: nama kebijakan pemeriksaan TLSCA_POOL: nama kumpulan CA tempat membuat sertifikatKumpulan CA harus ada dalam region yang sama.
TLS_VERSION: argumen opsional yang menentukan versi TLS minimum yang didukung oleh Cloud NGFWAnda dapat memilih dari salah satu nilai berikut:
TLS_1_0TLS_1_1TLS_1_2
PROFILE_TYPE: argumen opsional yang menentukan jenis profil TLSAnda dapat memilih dari salah satu nilai berikut:
PROFILE_COMPATIBLE: memungkinkan kumpulan klien terluas, termasuk klien yang hanya mendukung fitur TLS yang sudah tidak berlaku, untuk menegosiasikan TLS.PROFILE_MODERN: mendukung berbagai fitur TLS, yang memungkinkan klien modern menegosiasikan TLS.PROFILE_RESTRICTED: mendukung kumpulan fitur TLS yang dikurangi yang dimaksudkan untuk memenuhi persyaratan kepatuhan yang lebih ketat.PROFILE_CUSTOM: memungkinkan Anda memilih fitur TLS satu per satu.
CIPHER_NAME: argumen opsional untuk menentukan nama cipher suite yang didukung oleh profil kustomAnda menentukan argumen ini hanya jika jenis profil ditetapkan ke
PROFILE_CUSTOM.excludePublicCaSet: flag opsional untuk menyertakan atau mengecualikan kumpulan CA publik. Secara default, tanda ini ditetapkan ke salah (false). Jika tanda ini disetel ke benar, koneksi TLS tidak memercayai server CA publik. Dalam hal ini, Cloud NGFW hanya dapat membuat koneksi TLS ke server dengan sertifikat yang ditandatangani oleh CA dalam konfigurasi kepercayaan.TRUST_CONFIG_NAME: argumen opsional untuk menentukan nama resource konfigurasi kepercayaan
Impor kebijakan pemeriksaan TLS yang Anda buat di bagian Membuat kebijakan pemeriksaan TLS
gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \ --source TLS_INSPECTION_FILE.yaml \ --location REGIONGanti kode berikut:
TLS_INSPECTION_NAME: nama kebijakan pemeriksaan TLSTLS_INSPECTION_FILE: nama file YAML kebijakan pemeriksaan TLS
Melihat detail untuk kebijakan pemeriksaan TLS
Anda dapat melihat informasi tentang kebijakan pemeriksaan TLS yang dibuat di project.
Konsol
Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.
Di menu pemilih project, pilih project Anda.
Kebijakan pemeriksaan TLS tercantum di bagian Pemeriksaan TLS.
Untuk melihat detailnya, klik nama kebijakan pemeriksaan TLS Anda.
Menambahkan kebijakan pemeriksaan TLS ke pengaitan endpoint firewall
Untuk menambahkan kebijakan pemeriksaan TLS ke pengaitan endpoint firewall, ikuti langkah-langkah yang disebutkan di Membuat pengaitan endpoint firewall.
Mengonfigurasi aturan kebijakan firewall dengan pemeriksaan TLS
Untuk mengaktifkan pemeriksaan TLS untuk jaringan Virtual Private Cloud (VPC),
tetapkan tanda --tls-inspect di aturan kebijakan firewall Anda. Flag ini menunjukkan bahwa pemeriksaan TLS dapat dilakukan saat grup profil keamanan diterapkan.
Untuk mempelajari lebih lanjut cara mengaktifkan tanda --tls-inspect dalam aturan kebijakan
firewall hierarkis, lihat Membuat aturan firewall.
Untuk mempelajari lebih lanjut cara mengaktifkan tanda --tls-inspect dalam aturan kebijakan
firewall jaringan global, lihat Membuat aturan firewall jaringan global.
Mengelola kebijakan pemeriksaan TLS
Anda dapat mencantumkan, memperbarui, dan menghapus kebijakan pemeriksaan TLS di project Anda.
Mencantumkan semua kebijakan pemeriksaan TLS
Anda dapat mencantumkan semua kebijakan pemeriksaan TLS dalam project.
Konsol
Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.
Di menu pemilih project, pilih project Anda.
Kebijakan pemeriksaan TLS tercantum di bagian Pemeriksaan TLS.
gcloud
Untuk mencantumkan semua kebijakan pemeriksaan TLS, gunakan
perintah gcloud network-security tls-inspection-policies list:
gcloud network-security tls-inspection-policies list \
--project PROJECT_ID \
--location REGION
Ganti kode berikut:
PROJECT_ID: project ID untuk kebijakan pemeriksaan TLSREGION: nama region tempat Anda ingin mencantumkan kebijakan pemeriksaan TLS
Mengedit kebijakan pemeriksaan TLS
Anda dapat mengubah kebijakan pemeriksaan TLS yang ada di project.
Konsol
Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.
Di menu pemilih project, pilih project Anda.
Kebijakan pemeriksaan TLS tercantum di bagian Pemeriksaan TLS.
Untuk mengedit kebijakan, klik nama kebijakan pemeriksaan TLS Anda.
Klik Edit.
Ubah kolom yang wajib diisi. Untuk mengetahui informasi selengkapnya tentang setiap kolom, lihat Membuat kebijakan pemeriksaan TLS.
Klik Simpan.
Menghapus kebijakan pemeriksaan TLS
Anda dapat menghapus kebijakan pemeriksaan TLS dari project Anda. Namun, jika kebijakan pemeriksaan TLS direferensikan oleh pengaitan endpoint firewall, kebijakan pemeriksaan TLS tersebut tidak dapat dihapus.
Konsol
Di konsol Google Cloud, buka halaman Kebijakan pemeriksaan TLS.
Di menu pemilih project, pilih project Anda.
Kebijakan pemeriksaan TLS tercantum di bagian Pemeriksaan TLS.
Untuk menghapus kebijakan pemeriksaan TLS, centang kotak di samping namanya.
Klik Hapus.
Klik Hapus lagi.
gcloud
Untuk menghapus kebijakan pemeriksaan TLS, gunakan
perintah gcloud network-security tls-inspection-policies delete:
gcloud network-security tls-inspection-policies delete \
projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \
--location REGION
Ganti kode berikut:
PROJECT_ID: project ID kebijakan pemeriksaan TLSTLS_INSPECTION_NAME: nama pemeriksaan TLSREGION: region tempat kebijakan pemeriksaan TLS dibuat