TLS-Prüfung einrichten

Auf dieser Seite wird beschrieben, wie Sie die TLS-Prüfung (Transport Layer Security) für Cloud Next Generation Firewall einrichten.

Hinweise

Bevor Sie die TLS-Prüfung konfigurieren, führen Sie die Aufgaben in den folgenden Abschnitten aus.

Certificate Authority Service aktivieren

Cloud NGFW verwendet den Certificate Authority Service, um Zwischenzertifizierungsstellen (Certificate Authorities, CA) zu generieren. Cloud NGFW verwendet diese Zwischen-CAs, um die Zertifikate zu generieren, die für die TLS-Prüfung verwendet werden.

Sie können die CA Service API über die Google Cloud Console aktivieren:

Enable the API

Verwenden Sie den folgenden Befehl, um CA Service mit der Google Cloud CLI zu aktivieren:

   gcloud services enable privateca.googleapis.com
  

Zertifikatmanager aktivieren

Cloud NGFW verwendet den Zertifikatsmanager, um Vertrauenskonfigurationen zu erstellen. Wenn Sie keine Vertrauenskonfigurationen verwenden möchten, überspringen Sie diesen Schritt.

Sie können die Certificate Manager API über die Google Cloud Console aktivieren:

Enable the API

Verwenden Sie den folgenden Befehl, um den Zertifikatmanager über die Google Cloud-Befehlszeile zu aktivieren:

   gcloud services enable certificatemanager.googleapis.com
  

Vertrauenskonfiguration erstellen

Dieser Schritt ist optional. Führen Sie die Schritte in diesem Abschnitt aus, um eine Vertrauenskonfiguration zu erstellen.

  1. Erstellen Sie einen CA-Pool.

    Der CA-Pool, den Sie in diesem Schritt erstellen, unterscheidet sich von dem Pool, den Sie zum Konfigurieren der TLS-Prüfungsrichtlinie erstellen.

  2. Erstellen Sie eine Stamm-CA mit dem zuvor erstellten CA-Pool.

  3. Erstellen Sie ein Zertifikat mit einem automatisch generierten Schlüssel. Verwenden Sie denselben CA-Poolnamen wie zuvor.

  4. Rufen Sie das öffentliche Zertifikat der Zertifizierungsstelle aus dem erstellten Zertifikat ab.

    $PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \
       --location LOCATION \
       --project PROJECT_ID \
       --pool CA_POOL \
       --format "value(pemCaCertificates)")
    

    Ersetzen Sie dabei Folgendes:

    • ROOT_CA_NAME: der Name der Stammzertifizierungsstelle
    • LOCATION: der Standort der Stamm-CA
    • PROJECT_ID: die Projekt-ID der Stammzertifizierungsstelle
    • CA_POOL: der Name des CA-Pools, aus dem die Zertifikate erstellt werden sollen
  5. Erstellen und importieren Sie eine Vertrauenskonfiguration mithilfe des PEM-CERT aus dem vorherigen Schritt. Wenn Sie Ihre eigene Zertifizierungsstelle verwenden, verwenden Sie das öffentliche Zertifikat, das von Ihrer CA abgerufen wurde.

Mit dieser Vertrauenskonfiguration erstellen Sie eine TLS-Prüfungsrichtlinie.

CA-Pool erstellen

Sie müssen einen CA-Pool erstellen, bevor Sie CA Service zum Erstellen einer CA verwenden können. Folgen Sie der Anleitung unter CA-Pools erstellen, um einen CA-Pool zu erstellen.

Mit diesem CA-Pool erstellen Sie eine TLS-Prüfungsrichtlinie.

Stamm-CA erstellen

Wenn Sie keine vorhandene Stamm-CA haben, können Sie in CA Service eine erstellen. Folgen Sie der Anleitung unter Stamm-CA erstellen und verwenden Sie denselben CA-Pool, den Sie zuvor erstellt haben, um eine Stamm-CA zu erstellen. Weitere Informationen finden Sie im Abschnitt CA-Pool erstellen.

Dienstkonto erstellen

Wenn Sie kein Dienstkonto haben, müssen Sie eines erstellen und die erforderlichen Berechtigungen erteilen.

  1. Erstellen Sie ein Dienstkonto:

     gcloud beta services identity create \
         --service networksecurity.googleapis.com \
         --project PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Dienstkontos.

    Die Google Cloud CLI erstellt ein Dienstkonto mit dem Namen service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com. Hier ist PROJECT_NUMBER die eindeutige Kennung des PROJECT_ID, den Sie im vorherigen Befehl angegeben haben.

  2. Gewähren Sie Ihrem Dienstkonto die Berechtigung, Zertifikate zu generieren, die Ihren CA-Pool verwenden:

     gcloud privateca pools add-iam-policy-binding CA_POOL \
         --member 'serviceAccount:SERVICE_ACCOUNT' \
         --role 'roles/privateca.certificateRequester' \
         --location REGION
    

    Ersetzen Sie dabei Folgendes:

    • CA_POOL: der Name des CA-Pools, aus dem die Zertifikate erstellt werden sollen
    • SERVICE_ACCOUNT: der Name des Dienstkontos, das Sie im vorherigen Schritt erstellt haben
    • LOCATION: die Region des CA-Pools

TLS-Prüfung konfigurieren

Bevor Sie mit den Aufgaben in diesem Abschnitt fortfahren, müssen Sie Ihre Zertifikate konfiguriert oder die erforderlichen Aufgaben ausgeführt haben, die im Abschnitt Hinweise aufgeführt sind.

Führen Sie die Aufgaben in den folgenden Abschnitten aus, um die TLS-Prüfung zu konfigurieren.

TLS-Prüfungsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite TLS-Prüfungsrichtlinien auf.

    Zu den TLS-Prüfungsrichtlinien

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.

  3. Klicken Sie auf TLS-Prüfungsrichtlinie erstellen.

  4. Geben Sie für Name einen Namen ein.

  5. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.

  6. Wählen Sie in der Liste Region die Region aus, in der Sie die TLS-Prüfungsrichtlinie erstellen möchten.

  7. Wählen Sie in der Liste CA-Pool den CA-Pool aus, aus dem Sie die Zertifikate erstellen möchten.

    Wenn Sie keinen CA-Pool konfiguriert haben, klicken Sie auf Neuer Pool und folgen Sie der Anleitung unter CA-Pool erstellen.

  8. Optional: Wählen Sie in der Liste Mindest-TLS-Version die von der Richtlinie unterstützte Mindest-TLS-Version aus.

  9. Wählen Sie für die Vertrauensstellungskonfiguration eine der folgenden Optionen aus:

    • Nur öffentliche Zertifizierungsstellen: Wählen Sie diese Option aus, wenn Sie Servern mit öffentlich signierten Zertifikaten vertrauen möchten.
    • Nur private Zertifizierungsstellen: Wählen Sie diese Option aus, wenn Sie Servern mit privat signierten Zertifikaten vertrauen möchten.

      Wählen Sie in der Liste Konfiguration der privaten Vertrauensstellung die Vertrauenskonfiguration mit dem konfigurierten Trust Store aus, der für das Vertrauen in vorgelagerten Serverzertifikaten verwendet werden soll. Weitere Informationen zum Erstellen einer Vertrauenskonfiguration finden Sie unter Vertrauenskonfiguration erstellen.

    • Öffentliche und private Zertifizierungsstellen: Wählen Sie diese Option aus, wenn Sie sowohl öffentliche als auch private Zertifizierungsstellen verwenden möchten.

  10. Optional: Wählen Sie in der Liste Cipher-Suite-Profil den TLS-Profiltyp aus. Sie können einen der folgenden Werte auswählen:

    • Kompatibel: ermöglicht den umfassendsten Satz von Clients, einschließlich Clients, die nur veraltete TLS-Features unterstützen, um TLS auszuhandeln.
    • Modern: unterstützt einer Vielzahl von TLS-Features, mit denen moderne Clients TLS aushandeln können.
    • Eingeschränkt: unterstützt einen reduzierten Satz von TLS-Features, die strengere Compliance-Anforderungen erfüllen sollen.
    • Benutzerdefiniert: Hiermit können Sie TLS-Features einzeln auswählen.

      Wählen Sie in der Liste Cipher-Suites den Namen der Cipher Suites aus, die vom benutzerdefinierten Profil unterstützt werden.

  11. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine YAML-Datei vom Typ TLS_INSPECTION_FILE.yaml. Ersetzen Sie TLS_INSPECTION_FILE durch einen Dateinamen Ihrer Wahl.

  2. Fügen Sie der YAML-Datei den folgenden Code hinzu, um die TLS-Prüfungsrichtlinie zu konfigurieren.

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
    minTlsVersion: TLS_VERSION
    tlsFeatureProfile: PROFILE_TYPECIPHER_NAME
    excludePublicCaSet: `TRUE`|`FALSE`
    trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
    

    Ersetzen Sie dabei Folgendes:

    • PROJECT_ID: die Projekt-ID der TLS-Prüfungsrichtlinie
    • REGION: die Region, in der die TLS-Prüfungsrichtlinie erstellt wird
    • TLS_INSPECTION_NAME: der Name der TLS-Prüfungsrichtlinie.
    • CA_POOL: der Name des CA-Pools, aus dem die Zertifikate erstellt werden sollen

      Der CA-Pool muss in derselben Region vorhanden sein.

    • TLS_VERSION: ein optionales Argument, das die von Cloud NGFW unterstützte Mindest-TLS-Version angibt

      Sie können einen der folgenden Werte auswählen:

      • TLS_1_0
      • TLS_1_1
      • TLS_1_2
    • PROFILE_TYPE: ein optionales Argument, das den Typ des TLS-Profils angibt

      Sie können einen der folgenden Werte auswählen:

      • PROFILE_COMPATIBLE: ermöglicht den umfassendsten Satz von Clients, einschließlich Clients, die nur veraltete TLS-Features unterstützen, um TLS auszuhandeln.
      • PROFILE_MODERN: unterstützt einer Vielzahl von TLS-Features, mit denen moderne Clients TLS aushandeln können.
      • PROFILE_RESTRICTED: unterstützt einen reduzierten Satz von TLS-Features, die strengere Compliance-Anforderungen erfüllen sollen.
      • PROFILE_CUSTOM: Hiermit können Sie TLS-Features einzeln auswählen.
    • CIPHER_NAME: ein optionales Argument zur Angabe des Namens der Cipher Suite, die vom benutzerdefinierten Profil unterstützt wird.

      Sie geben dieses Argument nur an, wenn der Profiltyp auf PROFILE_CUSTOM gesetzt ist.

    • excludePublicCaSet: ein optionales Flag zum Ein- oder Ausschließen eines öffentlichen CA-Satzes. Dieses Flag ist standardmäßig auf „false“ eingestellt. Wenn dieses Flag auf "true" gesetzt ist, vertrauen TLS-Verbindungen keinen öffentlichen CA-Servern. In diesem Fall kann Cloud NGFW nur TLS-Verbindungen zu Servern mit Zertifikaten herstellen, die von CAs in der Vertrauenskonfiguration signiert sind.

    • TRUST_CONFIG_NAME: ein optionales Argument zur Angabe des Namens der Vertrauenskonfigurationsressource

  3. Importieren Sie die TLS-Prüfungsrichtlinie, die Sie im Abschnitt TLS-Prüfungsrichtlinie erstellen erstellt haben.

    gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
        --source TLS_INSPECTION_FILE.yaml \
        --location REGION
    

    Ersetzen Sie dabei Folgendes:

    • TLS_INSPECTION_NAME: der Name der TLS-Prüfungsrichtlinie
    • TLS_INSPECTION_FILE: der Name der YAML-Datei der TLS-Prüfungsrichtlinie.

Details für eine TLS-Prüfungsrichtlinie ansehen

Sie können Informationen zu der TLS-Prüfungsrichtlinie aufrufen, die Sie in Ihrem Projekt erstellt haben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite TLS-Prüfungsrichtlinien auf.

    Zu den TLS-Prüfungsrichtlinien

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.

  3. Die TLS-Prüfungsrichtlinien werden im Abschnitt TLS-Prüfungen aufgeführt.

  4. Klicken Sie auf den Namen Ihrer TLS-Prüfungsrichtlinie, um die Details aufzurufen.

TLS-Prüfungsrichtlinie zu einer Firewall-Endpunktverknüpfung hinzufügen

Führen Sie die Schritte unter Firewall-Endpunktverknüpfungen erstellen aus, um die TLS-Prüfungsrichtlinie zu einer Firewall-Endpunktverknüpfung hinzuzufügen.

Firewallrichtlinienregeln mit TLS-Prüfung konfigurieren

Legen Sie in der Firewallrichtlinienregel das Flag --tls-inspect fest, um die TLS-Prüfung für Ihr VPC-Netzwerk (Virtual Private Cloud) zu aktivieren. Dieses Flag gibt an, dass die TLS-Prüfung ausgeführt werden kann, wenn die Sicherheitsprofilgruppe angewendet wird.

Weitere Informationen zum Aktivieren des Flags --tls-inspect in hierarchischen Firewallrichtlinienregeln finden Sie unter Firewallregeln erstellen.

Weitere Informationen zum Aktivieren des Flags --tls-inspect in globalen Netzwerk-Firewallrichtlinienregeln finden Sie unter Globale Netzwerk-Firewallregeln erstellen.

TLS-Prüfungsrichtlinie verwalten

Sie können TLS-Prüfungsrichtlinien in Ihrem Projekt auflisten, aktualisieren und löschen.

Alle TLS-Prüfungsrichtlinien auflisten

Sie können alle TLS-Prüfungsrichtlinien in einem Projekt auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite TLS-Prüfungsrichtlinien auf.

    Zu den TLS-Prüfungsrichtlinien

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.

  3. Die TLS-Prüfungsrichtlinien werden im Abschnitt TLS-Prüfungen aufgeführt.

gcloud

Verwenden Sie den gcloud network-security tls-inspection-policies list-Befehl, um alle TLS-Prüfungsrichtlinien aufzulisten:

gcloud network-security tls-inspection-policies list \
    --project PROJECT_ID \
    --location REGION

Ersetzen Sie dabei Folgendes:

  • PROJECT_ID: die Projekt-ID für die TLS-Prüfungsrichtlinie
  • REGION: der Name der Region, für die Sie die TLS-Prüfungsrichtlinie auflisten möchten

TLS-Prüfungsrichtlinie bearbeiten

Sie können eine vorhandene TLS-Prüfungsrichtlinie in Ihrem Projekt ändern.

Console

  1. Rufen Sie in der Google Cloud Console die Seite TLS-Prüfungsrichtlinien auf.

    Zu den TLS-Prüfungsrichtlinien

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.

  3. Die TLS-Prüfungsrichtlinien werden im Abschnitt TLS-Prüfungen aufgeführt.

  4. Klicken Sie zum Bearbeiten einer Richtlinie auf den Namen Ihrer TLS-Prüfungsrichtlinie.

  5. Klicken Sie auf Bearbeiten.

  6. Ändern Sie die Pflichtfelder. Weitere Informationen zu den einzelnen Feldern finden Sie unter TLS-Prüfungsrichtlinie erstellen.

  7. Klicken Sie auf Speichern.

TLS-Prüfungsrichtlinie löschen

Sie können eine TLS-Prüfungsrichtlinie aus Ihrem Projekt löschen. Wenn jedoch von einer Firewall-Endpunktverknüpfung auf die TLS-Prüfungsrichtlinie verwiesen wird, kann diese TLS-Prüfungsrichtlinie nicht gelöscht werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite TLS-Prüfungsrichtlinien auf.

    Zu den TLS-Prüfungsrichtlinien

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.

  3. Die TLS-Prüfungsrichtlinien werden im Abschnitt TLS-Prüfungen aufgeführt.

  4. Klicken Sie das Kästchen neben dem Namen an, um eine TLS-Prüfungsrichtlinie zu löschen.

  5. Klicken Sie auf Löschen.

  6. Klicken Sie noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer TLS-Prüfungsrichtlinie den gcloud network-security tls-inspection-policies delete-Befehl:

gcloud network-security tls-inspection-policies delete \
    projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \
    --location REGION

Ersetzen Sie dabei Folgendes:

  • PROJECT_ID: die Projekt-ID der TLS-Prüfungsrichtlinie
  • TLS_INSPECTION_NAME: der Name der TLS-Prüfung
  • REGION: die Region, in der die TLS-Prüfungsrichtlinie erstellt wird

Nächste Schritte