En esta página, se describe cómo configurar la inspección de seguridad de la capa de transporte (TLS) para el firewall de nueva generación de Cloud.
Antes de comenzar
Antes de configurar la inspección de TLS, completa las tareas de las siguientes secciones.
Habilita Certificate Authority Service
Cloud NGFW usa Certificate Authority Service para generar autoridades certificadas (CA) intermedias. Cloud NGFW usa estas CA intermedias a fin de generar los certificados que se usan para la inspección de TLS.
Para habilitar el servicio de CA, usa el siguiente comando:
gcloud services enable privateca.googleapis.com
Habilita el Administrador de certificados
Cloud NGFW usa el Administrador de certificados para crear archivos de configuración de confianza. Si no deseas usar los parámetros de configuración de confianza, omite este paso.
Para habilitar el Administrador de certificados, usa el siguiente comando:
gcloud services enable certificatemanager.googleapis.com
Crea una configuración de confianza
Este paso es opcional. Para crear una configuración de confianza, sigue los pasos de esta sección.
-
El grupo de CA que creas en este paso es diferente del que creas para configurar la política de inspección de TLS.
Crea una CA raíz mediante el grupo de CA que creaste antes.
Crea un certificado con una clave generada automáticamente. Usa el mismo nombre de grupo de CA que creaste antes.
Obtén el certificado público de la CA a partir del certificado creado.
$PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \ --location LOCATION \ --project PROJECT_ID \ --pool CA_POOL \ --format "value(pemCaCertificates)")
Reemplaza lo siguiente:
ROOT_CA_NAME
: el nombre de la CA raízLOCATION
: la ubicación de la CA raízPROJECT_ID
: el ID del proyecto de la CA raízCA_POOL
: el nombre del grupo de CA desde el que se crearán los certificados
Crea e importa una configuración de confianza con el
PEM-CERT
que se obtuvo en el paso anterior. Si usas tu propia CA, usa el certificado público que se obtuvo de tu CA.
Usa esta configuración de confianza para crear una política de inspección de TLS.
Crear grupo de CA
Debes crear un grupo de CA antes de poder usar el servicio de CA para crear una CA. Para crear un grupo de CA, sigue las instrucciones en Crea grupos de CA.
Usa este grupo de CA para crear una política de inspección de TLS.
Crea una CA raíz
Si no tienes una CA raíz existente, puedes crear una dentro del servicio de CA. Para crear una CA raíz, sigue las instrucciones en Cómo crear una CA raíz y usa el mismo grupo de CA que creaste antes (consulta la sección Crea un grupo de CA)).
Crea una cuenta de servicio
Si no tienes una cuenta de servicio, debes crear una y otorgar los permisos necesarios.
Crear una cuenta de servicio:
gcloud services identity create \ --service networksecurity.googleapis.com \ --project PROJECT_ID
Reemplaza
PROJECT_ID
por el ID del proyecto de la cuenta de servicio.Google Cloud CLI crea una cuenta de servicio llamada
service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com
. Aquí,PROJECT_NUMBER
es el identificador único delPROJECT_ID
que proporcionaste en el comando anterior.Otorga permiso a tu cuenta de servicio para generar certificados que usen tu grupo de CA:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --member 'serviceAccount:SERVICE_ACCOUNT' \ --role 'roles/privateca.certificateRequester' \ --location REGION
Reemplaza lo siguiente:
CA_POOL
: el nombre del grupo de CA desde el que se crearán los certificadosSERVICE_ACCOUNT
: el nombre de la cuenta de servicio que creaste en el paso anteriorLOCATION
: la región del grupo de CA
Configurar la inspección de TLS
Antes de continuar con las tareas de esta sección, asegúrate de haber configurado tus certificados o de haber completado los requisitos que se indican en la sección Antes de comenzar.
Para configurar la inspección de TLS, completa las tareas de las siguientes secciones.
Crea una política de inspección de TLS
Console
En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.
En el menú de selección de proyectos, selecciona tu organización.
Haz clic en Crear política de inspección de TLS.
En Nombre, ingresa un nombre.
Opcional: en el campo Descripción, ingresa una descripción.
En la lista Región, selecciona la región en la que deseas crear la política de inspección de TLS.
En la lista Grupo de CA, selecciona el grupo de CA desde el que deseas crear los certificados.
Si no tienes un grupo de CA configurado, haz clic en Nuevo grupo y sigue las instrucciones en Crea un grupo de CA.
Opcional: En la lista Versión mínima de TLS, selecciona la versión mínima de TLS que admite la política.
Para la Configuración de confianza, selecciona una de las siguientes opciones:
- Solo en CA públicas: Selecciona esta opción si quieres confiar en los servidores con certificados firmados de forma pública.
Solo CA privadas: Selecciona esta opción si quieres confiar en los servidores con certificados firmados de forma privada.
En la lista Configuración de confianza privada, selecciona la configuración de confianza con el almacén de confianza configurado que se usará para certificados de servidor ascendentes de confianza. Para obtener más información sobre cómo crear una configuración de confianza, consulta Crea una configuración de confianza.
CA públicas y privadas: selecciona esta opción si deseas usar CA públicas y privadas.
Opcional: En la lista Perfil del paquete de Cisco, selecciona el tipo de perfil TLS. Puedes elegir uno de los siguientes valores:
- Compatible: permite que el conjunto más amplio de clientes, incluidos aquellos que solo admitan características de TLS desactualizadas, para negociar TLS.
- Moderno: compatible con un amplio conjunto de funciones de TLS, lo que permite que los clientes modernos negocien TLS.
- Restringido: admite un conjunto reducido de funciones SSL destinadas a acatar los requisitos de cumplimiento más estrictos.
Personalizado: te permite seleccionar las funciones TLS de forma individual.
En la lista Conjuntos de algoritmos de cifrado, selecciona el nombre de los conjuntos de algoritmos de cifrado compatibles con el perfil personalizado.
Haz clic en Crear.
gcloud
Crea un archivo YAML
TLS_INSPECTION_FILE.yaml
. ReemplazaTLS_INSPECTION_FILE
por una contraseña de tu elección.Agrega el siguiente código al archivo YAML para configurar la política de inspección de TLS.
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL minTlsVersion: TLS_VERSION tlsFeatureProfile: PROFILE_TYPECIPHER_NAME excludePublicCaSet: `TRUE`|`FALSE` trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
Reemplaza lo siguiente:
PROJECT_ID
: es el ID del proyecto de la política de inspección de TLSREGION
: es la región en la que se crea la política de inspección de TLS.TLS_INSPECTION_NAME
: es el nombre de la política de inspección de TLSCA_POOL
: el nombre del grupo de CA desde el que se crearán los certificadosEl grupo de CA debe existir dentro de la misma región.
TLS_VERSION
: es un argumento opcional que especifica la versión mínima de TLS compatible con Cloud NGFWPuedes seleccionar uno de los siguientes valores:
TLS_1_0
TLS_1_1
TLS_1_2
PROFILE_TYPE
: es un argumento opcional que especifica el tipo de perfil de TLSPuedes seleccionar uno de los siguientes valores:
PROFILE_COMPATIBLE
: permite que el conjunto más amplio de clientes, incluidos aquellos que solo admitan características de TLS desactualizadas, para negociar TLS.PROFILE_MODERN
: compatible con un amplio conjunto de funciones de TLS, lo que permite que los clientes modernos negocien TLS.PROFILE_RESTRICTED
: admite un conjunto reducido de funciones SSL destinadas a acatar los requisitos de cumplimiento más estrictos.PROFILE_CUSTOM
: te permite seleccionar las funciones TLS de forma individual.
CIPHER_NAME
: es un argumento opcional para especificar el nombre del conjunto de algoritmos de cifrado compatible con el perfil personalizadoEspecificas este argumento solo cuando el tipo de perfil se establece en
PROFILE_CUSTOM
.excludePublicCaSet
: es una marca opcional para incluir o excluir un conjunto de CA públicas. De forma predeterminada, esta marca se configura con el valor "falso". Cuando esta marca se establece como verdadera, las conexiones TLS no confían en servidores de CA públicas. En este caso, Cloud NGFW solo puede realizar conexiones TLS con servidores mediante certificados firmados por CA en la configuración de confianza.TRUST_CONFIG_NAME
: es un argumento opcional para especificar el nombre del recurso de configuración de confianza
Importa la política de inspección de TLS que creaste en la sección Crea una política de inspección de TLS.
gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \ --source TLS_INSPECTION_FILE.yaml \ --location REGION
Reemplaza lo siguiente:
TLS_INSPECTION_NAME
: es el nombre de la política de inspección de TLSTLS_INSPECTION_FILE
: el nombre del archivo YAML de la política de inspección de TLS.
Visualiza los detalles de una política de inspección de TLS
Puedes ver la información sobre la política de inspección de TLS que creaste en tu proyecto.
Console
En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.
En el menú de selección de proyectos, selecciona tu organización.
Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.
Para ver los detalles, haz clic en el nombre de la política de inspección de TLS.
Agrega una política de inspección de TLS a una asociación de extremos de firewall
Para agregar la política de inspección de TLS a una asociación de extremo de firewall, sigue los pasos que se mencionan en Crea asociaciones de extremos de firewall.
Configura reglas de políticas de firewall con inspección de TLS
A fin de habilitar la inspección de TLS para la red de nube privada virtual (VPC), establece la marca --tls-inspect
en la regla de política de firewall. Esta marca indica que la inspección de TLS se puede realizar cuando se aplica el grupo de perfil de seguridad.
Para obtener más información sobre cómo habilitar la marca --tls-inspect
en las reglas de políticas de firewall jerárquicas, consulta Crea reglas de firewall.
Para obtener más información sobre cómo habilitar la marca --tls-inspect
en las reglas de políticas de firewall de red globales, consulta Crea reglas de firewall de red globales.
Administra la política de inspección de TLS
Puedes enumerar, actualizar y borrar políticas de inspección de TLS en tu proyecto.
Enumera todas las políticas de inspección de TLS
Puedes enumerar todas las políticas de inspección de TLS en un proyecto.
Console
En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.
En el menú de selección de proyectos, selecciona tu organización.
Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.
gcloud
Para enumerar todas las políticas de inspección de TLS, usa el comando gcloud network-security tls-inspection-policies list
:
gcloud network-security tls-inspection-policies list \ --project PROJECT_ID \ --location REGION
Reemplaza lo siguiente:
PROJECT_ID
: es el ID del proyecto para la política de inspección de TLSREGION
: es el nombre de la región para la que deseas enumerar la política de inspección de TLS
Edita una política de inspección de TLS
Puedes modificar una política de inspección de TLS existente en tu proyecto.
Console
En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.
En el menú de selección de proyectos, selecciona tu organización.
Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.
Para editar una política, haz clic en el nombre de la política de inspección de TLS.
Haz clic en Editar.
Modifica los campos obligatorios. Para obtener más información sobre cada campo, consulta Crea una política de inspección de TLS.
Haz clic en Guardar.
Borra una política de inspección de TLS
Puedes borrar una política de inspección de TLS de tu proyecto. Sin embargo, si una asociación de extremo de firewall hace referencia a la política de inspección de TLS, esa política de inspección de TLS no se puede borrar.
Console
En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.
En el menú de selección de proyectos, selecciona tu organización.
Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.
Para borrar una política de inspección de TLS, selecciona la casilla de verificación junto a su nombre.
Haz clic en Borrar.
Vuelve a hacer clic en Borrar.
gcloud
Para borrar una política de inspección de TLS, usa el comando gcloud network-security tls-inspection-policies delete
:
gcloud network-security tls-inspection-policies delete \ projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \ --location REGION
Reemplaza lo siguiente:
PROJECT_ID
: es el ID del proyecto de la política de inspección de TLSTLS_INSPECTION_NAME
: es el nombre de la inspección de TLSREGION
: es la región en la que se crea la política de inspección de TLS.