Configura l'ispezione TLS

In questa pagina viene descritto come configurare l'ispezione TLS (Transport Layer Security) per il firewall Cloud Next Generation.

Prima di iniziare

Prima di configurare l'ispezione TLS, completa le attività riportate nelle sezioni seguenti.

Abilita Certificate Authority Service

Cloud NGFW utilizza Certificate Authority Service per generare autorità di certificazione (CA) intermedie. Cloud NGFW utilizza queste CA intermedie per generare i certificati utilizzati per l'ispezione TLS.

Per abilitare CA Service, utilizza il comando seguente:

   gcloud services enable privateca.googleapis.com
  

Abilita Gestore certificati

Cloud NGFW utilizza Gestore dei certificati per creare configurazioni di attendibilità. Se non vuoi utilizzare configurazioni di attendibilità, salta questo passaggio.

Per abilitare Gestore certificati, utilizza il comando seguente:

   gcloud services enable certificatemanager.googleapis.com
  

Crea una configurazione di attendibilità

Questo passaggio è facoltativo. Per creare una configurazione di attendibilità, segui i passaggi descritti in questa sezione.

  1. Crea un pool di CA.

    Il pool di CA creato in questo passaggio è diverso da quello creato per configurare il criterio di ispezione TLS.

  2. Crea una CA radice utilizzando il pool di CA creato in precedenza.

  3. Crea un certificato utilizzando una chiave generata automaticamente. Utilizza lo stesso nome del pool di CA creato in precedenza.

  4. Recupera il certificato pubblico della CA dal certificato creato.

    $PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \
       --location LOCATION \
       --project PROJECT_ID \
       --pool CA_POOL \
       --format "value(pemCaCertificates)")
    

    Sostituisci quanto segue:

    • ROOT_CA_NAME: il nome della CA radice
    • LOCATION: la posizione della CA principale
    • PROJECT_ID: l'ID progetto della CA principale
    • CA_POOL: il nome del pool di CA da cui creare i certificati
  5. Crea e importa una configurazione di attendibilità utilizzando il PEM-CERT ottenuto nel passaggio precedente. Se utilizzi la tua CA, usa il certificato pubblico ottenuto dalla tua CA.

Puoi utilizzare questa configurazione di attendibilità per creare un criterio di ispezione TLS.

Crea un pool di CA

Devi creare un pool di CA prima di poter utilizzare CA Service per creare una CA. Per creare un pool di CA, segui le istruzioni riportate in Creazione di pool di CA.

Utilizza questo pool di CA per creare un criterio di ispezione TLS.

Crea una CA radice

Se non disponi di una CA principale, puoi crearne una all'interno di CA Service. Per creare una CA radice, segui le istruzioni riportate in Creazione di una CA radice e utilizza lo stesso pool di CA creato in precedenza (consulta la sezione Creare un pool di CA).

Crea un account di servizio

Se non hai un account di servizio, devi crearne uno e concedere le autorizzazioni richieste.

  1. Crea un account di servizio:

     gcloud services identity create \
         --service networksecurity.googleapis.com \
         --project PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID progetto dell'account di servizio.

    Google Cloud CLI crea un account di servizio denominato service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com. Qui, PROJECT_NUMBER è l'identificatore univoco del campo PROJECT_ID che hai fornito nel comando precedente.

  2. Concedi l'autorizzazione al tuo account di servizio per generare certificati che utilizzano il tuo pool di CA:

     gcloud privateca pools add-iam-policy-binding CA_POOL \
         --member 'serviceAccount:SERVICE_ACCOUNT' \
         --role 'roles/privateca.certificateRequester' \
         --location REGION
    

    Sostituisci quanto segue:

    • CA_POOL: il nome del pool di CA da cui creare i certificati
    • SERVICE_ACCOUNT: il nome dell'account di servizio creato nel passaggio precedente
    • LOCATION: la regione del pool di CA

Configura l'ispezione TLS

Prima di procedere con le attività in questa sezione, assicurati di aver configurato i certificati o di aver completato le attività prerequisiti elencate nella sezione Prima di iniziare.

Per configurare l'ispezione TLS, completa le attività descritte nelle sezioni seguenti.

Crea un criterio di ispezione TLS

Console

  1. Nella console Google Cloud, vai alla pagina Criteri di ispezione di TLS.

    Vai ai criteri di ispezione TLS

  2. Nel menu del selettore progetti, seleziona il tuo progetto.

  3. Fai clic su Crea criterio di ispezione TLS.

  4. Inserisci un nome in Nome.

  5. (Facoltativo) Nel campo Descrizione, inserisci una descrizione.

  6. Nell'elenco Regione, seleziona la regione in cui vuoi creare il criterio di ispezione TLS.

  7. Nell'elenco Pool di CA, seleziona il pool di CA da cui vuoi creare i certificati.

    Se non hai configurato un pool di CA, fai clic su Nuovo pool e segui le istruzioni riportate in Creare un pool di CA.

  8. (Facoltativo) Nell'elenco Versione TLS minima, seleziona la versione TLS minima supportata dal criterio.

  9. Per Configurazione di attendibilità, seleziona una delle seguenti opzioni:

    • Solo CA pubbliche: seleziona questa opzione se vuoi considerare attendibili i server con certificati firmati pubblicamente.
    • Solo CA private: seleziona questa opzione se vuoi considerare attendibili i server con certificati firmati privatamente.

      Nell'elenco Configurazione di attendibilità privata, seleziona la configurazione di attendibilità con l'archivio di attendibilità configurato da utilizzare per considerare attendibili i certificati del server upstream. Per maggiori informazioni su come creare una configurazione di attendibilità, consulta Creare una configurazione di attendibilità.

    • CA pubbliche e private: seleziona questa opzione se vuoi utilizzare CA pubbliche e private.

  10. (Facoltativo) Nell'elenco Profilo della suite di crittografia, seleziona il tipo di profilo TLS. Puoi scegliere uno dei seguenti valori:

    • Compatibile: consente la più ampia gamma di client, inclusi i client che supportano solo le funzionalità TLS obsolete, per negoziare TLS.
    • Moderno: supporta un ampio set di funzionalità TLS, consentendo ai client moderni di negoziare TLS.
    • Limitato: supporta un insieme ridotto di funzionalità TLS destinate a soddisfare requisiti di conformità più rigidi.
    • Personalizzato: consente di selezionare le funzionalità TLS singolarmente.

      Nell'elenco Suite di crittografia, seleziona il nome delle suite di crittografia supportate dal profilo personalizzato.

  11. Fai clic su Crea.

gcloud

  1. Crea un file YAML TLS_INSPECTION_FILE.yaml. Sostituisci TLS_INSPECTION_FILE con un nome file a tua scelta.

  2. Aggiungi il seguente codice al file YAML per configurare il criterio di ispezione TLS.

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
    minTlsVersion: TLS_VERSION
    tlsFeatureProfile: PROFILE_TYPECIPHER_NAME
    excludePublicCaSet: `TRUE`|`FALSE`
    trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto del criterio di ispezione TLS
    • REGION: la regione in cui viene creato il criterio di ispezione TLS
    • TLS_INSPECTION_NAME: nome del criterio di ispezione TLS
    • CA_POOL: il nome del pool di CA da cui creare i certificati

      Il pool di CA deve esistere all'interno della stessa regione.

    • TLS_VERSION: un argomento facoltativo che specifica la versione TLS minima supportata da Cloud NGFW

      Puoi selezionare uno dei seguenti valori:

      • TLS_1_0
      • TLS_1_1
      • TLS_1_2
    • PROFILE_TYPE: un argomento facoltativo che specifica il tipo di profilo TLS

      Puoi selezionare uno dei seguenti valori:

      • PROFILE_COMPATIBLE: consente alla più ampia gamma di client, inclusi i client che supportano solo le funzionalità TLS obsolete, di negoziare TLS.
      • PROFILE_MODERN: supporta un ampio set di funzionalità TLS, consentendo ai client moderni di negoziare TLS.
      • PROFILE_RESTRICTED: supporta un insieme ridotto di funzionalità TLS inteso a soddisfare requisiti di conformità più rigidi.
      • PROFILE_CUSTOM: consente di selezionare singolarmente le funzionalità TLS.
    • CIPHER_NAME: un argomento facoltativo per specificare il nome della suite di crittografia supportata dal profilo personalizzato

      Puoi specificare questo argomento solo quando il tipo di profilo è impostato su PROFILE_CUSTOM.

    • excludePublicCaSet: un flag facoltativo per includere o escludere un set di CA pubblica. Per impostazione predefinita, questo flag è impostato su false. Se il flag è impostato su true, le connessioni TLS non considerano attendibili i server CA pubblici. In questo caso, Cloud NGFW può stabilire connessioni TLS solo ai server con certificati firmati da CA nella configurazione di attendibilità.

    • TRUST_CONFIG_NAME: un argomento facoltativo per specificare il nome della risorsa di configurazione di attendibilità

  3. Importa il criterio di ispezione TLS che hai creato nella sezione Creare un criterio di ispezione TLS

    gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
        --source TLS_INSPECTION_FILE.yaml \
        --location REGION
    

    Sostituisci quanto segue:

    • TLS_INSPECTION_NAME: il nome del criterio di ispezione TLS
    • TLS_INSPECTION_FILE: nome del file YAML del criterio di ispezione TLS

Visualizza i dettagli per un criterio di ispezione TLS

Puoi visualizzare le informazioni sul criterio di ispezione TLS che hai creato nel progetto.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri di ispezione di TLS.

    Vai ai criteri di ispezione TLS

  2. Nel menu del selettore progetti, seleziona il tuo progetto.

  3. I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.

  4. Per visualizzare i dettagli, fai clic sul nome del criterio di ispezione TLS.

Aggiungi criterio di ispezione TLS a un'associazione di endpoint firewall

Per aggiungere il criterio di ispezione TLS a un'associazione di endpoint firewall, segui i passaggi descritti in Creare associazioni di endpoint firewall.

Configura le regole dei criteri firewall con l'ispezione TLS

Per abilitare l'ispezione TLS per la rete Virtual Private Cloud (VPC), imposta il flag --tls-inspect nella regola del criterio firewall. Questo flag indica che è possibile eseguire l'ispezione TLS quando viene applicato il gruppo di profili di sicurezza.

Per scoprire di più su come abilitare il flag --tls-inspect nelle regole dei criteri firewall gerarchici, consulta Creare regole firewall.

Per scoprire di più su come abilitare il flag --tls-inspect nelle regole dei criteri firewall di rete globali, consulta Creare regole firewall di rete globali.

Gestisci criterio di ispezione TLS

Puoi elencare, aggiornare ed eliminare i criteri di ispezione TLS nel tuo progetto.

Elenco di tutti i criteri di ispezione TLS

Puoi elencare tutti i criteri di ispezione TLS in un progetto.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri di ispezione di TLS.

    Vai ai criteri di ispezione TLS

  2. Nel menu del selettore progetti, seleziona il tuo progetto.

  3. I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.

gcloud

Per elencare tutti i criteri di ispezione TLS, utilizza il comando gcloud network-security tls-inspection-policies list:

gcloud network-security tls-inspection-policies list \
    --project PROJECT_ID \
    --location REGION

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto per il criterio di ispezione TLS
  • REGION: nome della regione per la quale vuoi elencare il criterio di ispezione TLS

Modifica un criterio di ispezione TLS

Puoi modificare un criterio di ispezione TLS esistente nel tuo progetto.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri di ispezione di TLS.

    Vai ai criteri di ispezione TLS

  2. Nel menu del selettore progetti, seleziona il tuo progetto.

  3. I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.

  4. Per modificare un criterio, fai clic sul nome del criterio di ispezione TLS.

  5. Fai clic su Modifica.

  6. Modifica i campi obbligatori. Per maggiori informazioni su ciascun campo, consulta Creare un criterio di ispezione TLS.

  7. Fai clic su Salva.

Elimina un criterio di ispezione TLS

Puoi eliminare un criterio di ispezione TLS dal tuo progetto. Tuttavia, se un'associazione di endpoint firewall fa riferimento al criterio di ispezione TLS, non può essere eliminato.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri di ispezione di TLS.

    Vai ai criteri di ispezione TLS

  2. Nel menu del selettore progetti, seleziona il tuo progetto.

  3. I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.

  4. Per eliminare un criterio di ispezione TLS, seleziona la casella di controllo accanto al suo nome.

  5. Fai clic su Elimina.

  6. Fai di nuovo clic su Elimina.

gcloud

Per eliminare un criterio di ispezione TLS, utilizza il comando gcloud network-security tls-inspection-policies delete:

gcloud network-security tls-inspection-policies delete \
    projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \
    --location REGION

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto del criterio di ispezione TLS
  • TLS_INSPECTION_NAME: il nome dell'ispezione TLS
  • REGION: la regione in cui viene creato il criterio di ispezione TLS

Che cosa succede dopo?