In questa pagina viene descritto come configurare l'ispezione TLS (Transport Layer Security) per il firewall di nuova generazione.
Prima di iniziare
Prima di configurare l'ispezione TLS, completa le attività riportate di seguito sezioni.
Abilita Certificate Authority Service
Cloud NGFW utilizza Certificate Authority Service per generare autorità di certificazione (CA) intermedie. Cloud NGFW utilizza queste CA intermedie per generare i certificati utilizzati per l'ispezione TLS.
Per abilitare CA Service, utilizza il comando seguente:
gcloud services enable privateca.googleapis.com
Abilita Gestione certificati
Cloud NGFW utilizza Gestore certificati per creare configurazioni di attendibilità. Se non vuoi utilizzare le configurazioni di attendibilità, salta questo passaggio.
Per abilitare Gestore certificati, utilizza il comando seguente:
gcloud services enable certificatemanager.googleapis.com
Crea una configurazione di attendibilità
Questo passaggio è facoltativo. Per creare una configurazione di attendibilità, segui la procedura descritta in questa sezione.
-
Il pool di CA che crei in questo passaggio è diverso da quello che crei per configurare il criterio di ispezione TLS.
Crea una CA radice utilizzando il pool di CA che hai creato in precedenza.
Crea un certificato utilizzando una chiave generata automaticamente. Utilizza lo stesso nome del pool di CA che hai creato in precedenza.
Ottieni il certificato pubblico della CA dal certificato creato.
$PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \ --location LOCATION \ --project PROJECT_ID \ --pool CA_POOL \ --format "value(pemCaCertificates)")
Sostituisci quanto segue:
ROOT_CA_NAME: il nome della CA radiceLOCATION: la località della CA principalePROJECT_ID: l'ID progetto della CA principaleCA_POOL: il nome del pool di CA da creare i certificati
Creare e importare una configurazione di attendibilità mediante il
PEM-CERTottenuto nel passaggio precedente. Se utilizza la tua CA, utilizza il certificato pubblico ottenuto dall'autorità di certificazione.
Puoi utilizzare questa configurazione dell'attendibilità per creare Criterio di ispezione TLS.
Crea un pool di CA
Devi creare un pool di CA prima di poter utilizzare il servizio CA per per creare una CA. Per creare un pool di CA, segui le istruzioni in Creazione di pool di CA.
Puoi utilizzare questo pool di CA per creare un criterio di ispezione TLS.
Crea una CA radice
Se non hai una CA radice esistente, puoi crearne una all'interno CA Service. Per creare una CA radice, segui le istruzioni in Creazione di una CA radice, e utilizzare lo stesso pool di CA che hai creato in precedenza (vedi la sezione Crea un pool di CA).
Crea un account di servizio
Se non hai un account di servizio, devi crearne uno e concedere le autorizzazioni richieste.
Crea un account di servizio:
gcloud services identity create \ --service networksecurity.googleapis.com \ --project PROJECT_IDSostituisci
PROJECT_IDcon l'ID progetto del servizio .Google Cloud CLI crea un account di servizio denominato
service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com. In questo caso,PROJECT_NUMBERè l'identificatore univoco il valorePROJECT_IDche hai fornito nel comando precedente.Concedi al tuo account di servizio l'autorizzazione per generare che utilizzano il tuo pool di CA:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --member 'serviceAccount:SERVICE_ACCOUNT' \ --role 'roles/privateca.certificateRequester' \ --location REGIONSostituisci quanto segue:
CA_POOL: il nome del pool di CA da creare i certificatiSERVICE_ACCOUNT: il nome dell'account di servizio che creato nel passaggio precedenteLOCATION: la regione del pool di CA
Configura l'ispezione TLS
Prima di procedere con le attività in questa sezione, assicurati di aver configurato certificati o hai completato le attività preliminari elencate nella la sezione Prima di iniziare.
Per configurare l'ispezione TLS, completa le attività nelle sezioni seguenti.
Crea un criterio di ispezione TLS
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il tuo progetto.
Fai clic su Crea criterio di ispezione TLS.
In Nome, inserisci un nome.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione.
Nell'elenco Regione, seleziona la regione in cui vuoi creare il criterio di ispezione TLS.
Nell'elenco Pool di CA, seleziona il pool di CA da cui vuoi creare dei certificati.
Se non hai configurato un pool di CA, fai clic su Nuovo pool e segui le istruzioni in Creare un pool di CA.
(Facoltativo) Nell'elenco Versione TLS minima, seleziona la versione TLS minima supportata dal criterio.
Per Configurazione di attendibilità, seleziona una delle seguenti opzioni:
- Solo CA pubbliche: seleziona questa opzione se vuoi considerare attendibili i server con certificati firmati pubblicamente.
Solo CA private: seleziona questa opzione se vuoi considerare attendibili i server con certificati firmati privatamente.
Nell'elenco Configurazione di attendibilità privata, seleziona la configurazione di attendibilità con l'archivio di attendibilità configurato da utilizzare per considerare attendibili i certificati server upstream. Per saperne di più su come creare una configurazione di attendibilità, consulta Creare una configurazione di attendibilità.
CA pubbliche e private: seleziona questa opzione se vuoi utilizzare entrambe CA pubbliche e private.
(Facoltativo) Nell'elenco Profilo della suite di crittografia, seleziona il profilo TLS di testo. Puoi scegliere uno dei seguenti valori:
- Compatibile: consente il maggior numero di clienti, inclusi i client che supportano solo funzionalità TLS obsolete, per negoziare TLS.
- Moderno: supporta un ampio set di funzionalità TLS, consentendo per negoziare TLS in client moderni.
- Con restrizioni: supporta un insieme ridotto di funzionalità TLS in modo da soddisfare requisiti di conformità più severi.
Personalizzato: consente di selezionare singolarmente le funzionalità TLS.
Nell'elenco Suite di crittografia, seleziona il nome del suite di crittografia supportate dal profilo personalizzato.
Fai clic su Crea.
gcloud
Crea un file YAML
TLS_INSPECTION_FILE.yaml. SostituisciTLS_INSPECTION_FILEcon un nome file a tua scelta.Aggiungi il codice seguente al file YAML per configurare il criterio di ispezione TLS.
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL minTlsVersion: TLS_VERSION tlsFeatureProfile: PROFILE_TYPECIPHER_NAME excludePublicCaSet: `TRUE`|`FALSE` trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAMESostituisci quanto segue:
PROJECT_ID: l'ID progetto del criterio di ispezione TLSREGION: la regione in cui si trova il criterio di ispezione TLS creatoTLS_INSPECTION_NAME: il nome dell'ispezione TLS normeCA_POOL: il nome del pool di CA da creare i certificatiIl pool di CA deve esistere all'interno della stessa regione.
TLS_VERSION: un argomento facoltativo che specifica versione TLS minima supportata da Cloud NGFWPuoi selezionare uno dei seguenti valori:
TLS_1_0TLS_1_1TLS_1_2
PROFILE_TYPE: un argomento facoltativo che specifica tipo di profilo TLSPuoi selezionare uno dei seguenti valori:
PROFILE_COMPATIBLE: consente il maggior numero di clienti, tra cui che supportano solo funzionalità TLS obsolete, per negoziare TLS.PROFILE_MODERN: supporta un ampio set di funzionalità TLS, consentendo per negoziare TLS in client moderni.PROFILE_RESTRICTED: supporta un insieme ridotto di funzionalità TLS in modo da soddisfare requisiti di conformità più severi.PROFILE_CUSTOM: consente di selezionare le funzionalità TLS singolarmente.
CIPHER_NAME: un argomento facoltativo per specificare il nome della suite di crittografia supportate dal profilo personalizzatoSpecifica questo argomento solo quando è impostato il tipo di profilo a
PROFILE_CUSTOM.excludePublicCaSet: un flag facoltativo per includere o escludere un set di CA pubblico. Per impostazione predefinita, questo flag è impostato su false. Se il flag è impostato su true, Le connessioni TLS non considerano attendibili i server CA pubblici. In questo caso, Cloud NGFW può effettuare connessioni TLS solo a server con certificati firmati da CA nella configurazione dell'attendibilità.TRUST_CONFIG_NAME: un argomento facoltativo da specificare il nome della risorsa di configurazione dell'attendibilità
Importa il criterio di ispezione TLS che hai creato nella sezione Crea un criterio di ispezione TLS
gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \ --source TLS_INSPECTION_FILE.yaml \ --location REGIONSostituisci quanto segue:
TLS_INSPECTION_NAME: il nome dell'ispezione TLS normeTLS_INSPECTION_FILE: il nome dell'ispezione TLS file YAML dei criteri
Visualizza i dettagli di un criterio di ispezione TLS
Puoi visualizzare le informazioni sul criterio di ispezione TLS che hai creato in del progetto.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il tuo progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
Per visualizzare i dettagli, fai clic sul nome del criterio di ispezione TLS.
Aggiungi il criterio di ispezione TLS a un'associazione di endpoint firewall
Per aggiungere il criterio di ispezione TLS a un'associazione di endpoint firewall, segui i passaggi descritti in Creare associazioni di endpoint firewall.
Configura le regole dei criteri firewall con l'ispezione TLS
Per abilitare l'ispezione TLS per la rete Virtual Private Cloud (VPC),
Imposta il flag --tls-inspect nella regola del criterio firewall. Questo flag indica
che l'ispezione TLS possa essere eseguita quando
Gruppo di profili di sicurezza
.
Per scoprire di più su come abilitare il flag --tls-inspect nel firewall gerarchico
sulle regole dei criteri, consulta Creare regole firewall.
Per scoprire di più su come abilitare il flag --tls-inspect nel firewall di rete globale
vedi Creare regole firewall di rete globale.
Gestisci criterio di ispezione TLS
Puoi elencare, aggiornare ed eliminare i criteri di ispezione TLS nel tuo progetto.
Elenco di tutti i criteri di ispezione TLS
Puoi elencare tutti i criteri di ispezione TLS in un progetto.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il tuo progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
gcloud
Per elencare tutti i criteri di ispezione TLS, utilizza
Comando gcloud network-security tls-inspection-policies list:
gcloud network-security tls-inspection-policies list \
--project PROJECT_ID \
--location REGION
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto per l'ispezione TLS normeREGION: il nome della regione per la quale vuoi per elencare il criterio di ispezione TLS
Modifica un criterio di ispezione TLS
Puoi modificare un criterio di ispezione TLS esistente nel tuo progetto.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il tuo progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
Per modificare un criterio, fai clic sul nome del criterio di ispezione TLS.
Fai clic su Modifica.
Modifica i campi obbligatori. Per ulteriori informazioni su ogni campo, consulta Crea un criterio di ispezione TLS.
Fai clic su Salva.
Elimina un criterio di ispezione TLS
Puoi eliminare un criterio di ispezione TLS dal progetto. Tuttavia, se il protocollo TLS al criterio di ispezione fa riferimento un'associazione di endpoint firewall, che TLS Impossibile eliminare il criterio di ispezione.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il tuo progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
Per eliminare un criterio di ispezione TLS, seleziona la casella di controllo accanto al nome.
Fai clic su Elimina.
Fai di nuovo clic su Elimina.
gcloud
Per eliminare un criterio di ispezione TLS, utilizza
Comando gcloud network-security tls-inspection-policies delete:
gcloud network-security tls-inspection-policies delete \
projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \
--location REGION
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto del criterio di ispezione TLSTLS_INSPECTION_NAME: il nome dell'ispezione TLSREGION: la regione in cui si trova il criterio di ispezione TLS creato