Configurar la inspección de TLS

En esta página, se describe cómo configurar la inspección de seguridad de la capa de transporte (TLS) para el firewall de nueva generación de Cloud.

Antes de comenzar

Antes de configurar la inspección de TLS, completa las tareas de las siguientes secciones.

Habilita Certificate Authority Service

Cloud NGFW usa Certificate Authority Service para generar autoridades certificadas (CA) intermedias. Cloud NGFW usa estas CA intermedias a fin de generar los certificados que se usan para la inspección de TLS.

Puedes habilitar la API de CA Service con la consola de Google Cloud:

Enable the API

Para habilitar el servicio de AC con Google Cloud CLI, usa el siguiente comando:

   gcloud services enable privateca.googleapis.com
  

Habilita el Administrador de certificados

Cloud NGFW usa el Administrador de certificados para crear archivos de configuración de confianza. Si no deseas usar los parámetros de configuración de confianza, omite este paso.

Puedes habilitar la API de Certificate Manager con la consola de Google Cloud:

Enable the API

Para habilitar el Administrador de certificados con Google Cloud CLI, usa el siguiente comando:

   gcloud services enable certificatemanager.googleapis.com
  

Crea una configuración de confianza

Este paso es opcional. Para crear una configuración de confianza, sigue los pasos de esta sección.

  1. Crea un grupo de CA.

    El grupo de CA que creas en este paso es diferente del que creas para configurar la política de inspección de TLS.

  2. Crea una CA raíz mediante el grupo de CA que creaste antes.

  3. Crea un certificado con una clave generada automáticamente. Usa el mismo nombre de grupo de CA que creaste antes.

  4. Obtén el certificado público de la CA a partir del certificado creado.

    $PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \
       --location LOCATION \
       --project PROJECT_ID \
       --pool CA_POOL \
       --format "value(pemCaCertificates)")
    

    Reemplaza lo siguiente:

    • ROOT_CA_NAME: el nombre de la CA raíz
    • LOCATION: la ubicación de la CA raíz
    • PROJECT_ID: el ID del proyecto de la CA raíz
    • CA_POOL: el nombre del grupo de CA desde el que se crearán los certificados
  5. Crea e importa una configuración de confianza con el PEM-CERT que se obtuvo en el paso anterior. Si usas tu propia CA, usa el certificado público que se obtuvo de tu CA.

Usa esta configuración de confianza para crear una política de inspección de TLS.

Crear grupo de CA

Debes crear un grupo de CA antes de poder usar el servicio de CA para crear una CA. Para crear un grupo de CA, sigue las instrucciones en Crea grupos de CA.

Usa este grupo de CA para crear una política de inspección de TLS.

Crea una CA raíz

Si no tienes una CA raíz existente, puedes crear una dentro del servicio de CA. Para crear una CA raíz, sigue las instrucciones en Cómo crear una CA raíz y usa el mismo grupo de CA que creaste antes (consulta la sección Crea un grupo de CA)).

Crea una cuenta de servicio

Si no tienes una cuenta de servicio, debes crear una y otorgar los permisos necesarios.

  1. Crear una cuenta de servicio:

     gcloud beta services identity create \
         --service networksecurity.googleapis.com \
         --project PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto de la cuenta de servicio.

    Google Cloud CLI crea una cuenta de servicio llamada service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com. Aquí, PROJECT_NUMBER es el identificador único del PROJECT_ID que proporcionaste en el comando anterior.

  2. Otorga permiso a tu cuenta de servicio para generar certificados que usen tu grupo de CA:

     gcloud privateca pools add-iam-policy-binding CA_POOL \
         --member 'serviceAccount:SERVICE_ACCOUNT' \
         --role 'roles/privateca.certificateRequester' \
         --location REGION
    

    Reemplaza lo siguiente:

    • CA_POOL: el nombre del grupo de CA desde el que se crearán los certificados
    • SERVICE_ACCOUNT: el nombre de la cuenta de servicio que creaste en el paso anterior
    • LOCATION: la región del grupo de CA

Configurar la inspección de TLS

Antes de continuar con las tareas de esta sección, asegúrate de haber configurado tus certificados o de haber completado los requisitos que se indican en la sección Antes de comenzar.

Para configurar la inspección de TLS, completa las tareas de las siguientes secciones.

Crea una política de inspección de TLS

Console

  1. En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.

    Ir a las políticas de inspección de TLS

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en Crear política de inspección de TLS.

  4. En Nombre, ingresa un nombre.

  5. Opcional: en el campo Descripción, ingresa una descripción.

  6. En la lista Región, selecciona la región en la que deseas crear la política de inspección de TLS.

  7. En la lista Grupo de CA, selecciona el grupo de CA desde el que deseas crear los certificados.

    Si no tienes un grupo de CA configurado, haz clic en Nuevo grupo y sigue las instrucciones en Crea un grupo de CA.

  8. Opcional: En la lista Versión mínima de TLS, selecciona la versión mínima de TLS que admite la política.

  9. Para la Configuración de confianza, selecciona una de las siguientes opciones:

    • Solo en CA públicas: Selecciona esta opción si quieres confiar en los servidores con certificados firmados de forma pública.
    • Solo CA privadas: Selecciona esta opción si quieres confiar en los servidores con certificados firmados de forma privada.

      En la lista Configuración de confianza privada, selecciona la configuración de confianza con el almacén de confianza configurado que se usará para certificados de servidor ascendentes de confianza. Para obtener más información sobre cómo crear una configuración de confianza, consulta Crea una configuración de confianza.

    • CA públicas y privadas: selecciona esta opción si deseas usar CA públicas y privadas.

  10. Opcional: En la lista Perfil del paquete de Cisco, selecciona el tipo de perfil TLS. Puedes elegir uno de los siguientes valores:

    • Compatible: permite que el conjunto más amplio de clientes, incluidos aquellos que solo admitan características de TLS desactualizadas, para negociar TLS.
    • Moderno: compatible con un amplio conjunto de funciones de TLS, lo que permite que los clientes modernos negocien TLS.
    • Restringido: admite un conjunto reducido de funciones SSL destinadas a acatar los requisitos de cumplimiento más estrictos.
    • Personalizado: te permite seleccionar las funciones TLS de forma individual.

      En la lista Conjuntos de algoritmos de cifrado, selecciona el nombre de los conjuntos de algoritmos de cifrado compatibles con el perfil personalizado.

  11. Haz clic en Crear.

gcloud

  1. Crea un archivo YAML TLS_INSPECTION_FILE.yaml. Reemplaza TLS_INSPECTION_FILE por una contraseña de tu elección.

  2. Agrega el siguiente código al archivo YAML para configurar la política de inspección de TLS.

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
    minTlsVersion: TLS_VERSION
    tlsFeatureProfile: PROFILE_TYPECIPHER_NAME
    excludePublicCaSet: `TRUE`|`FALSE`
    trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
    

    Reemplaza lo siguiente:

    • PROJECT_ID: es el ID del proyecto de la política de inspección de TLS
    • REGION: es la región en la que se crea la política de inspección de TLS.
    • TLS_INSPECTION_NAME: es el nombre de la política de inspección de TLS
    • CA_POOL: el nombre del grupo de CA desde el que se crearán los certificados

      El grupo de CA debe existir dentro de la misma región.

    • TLS_VERSION: es un argumento opcional que especifica la versión mínima de TLS compatible con Cloud NGFW

      Puedes seleccionar uno de los siguientes valores:

      • TLS_1_0
      • TLS_1_1
      • TLS_1_2
    • PROFILE_TYPE: es un argumento opcional que especifica el tipo de perfil de TLS

      Puedes seleccionar uno de los siguientes valores:

      • PROFILE_COMPATIBLE: permite que el conjunto más amplio de clientes, incluidos aquellos que solo admitan características de TLS desactualizadas, para negociar TLS.
      • PROFILE_MODERN: compatible con un amplio conjunto de funciones de TLS, lo que permite que los clientes modernos negocien TLS.
      • PROFILE_RESTRICTED: admite un conjunto reducido de funciones SSL destinadas a acatar los requisitos de cumplimiento más estrictos.
      • PROFILE_CUSTOM: te permite seleccionar las funciones TLS de forma individual.
    • CIPHER_NAME: es un argumento opcional para especificar el nombre del conjunto de algoritmos de cifrado compatible con el perfil personalizado

      Especificas este argumento solo cuando el tipo de perfil se establece en PROFILE_CUSTOM.

    • excludePublicCaSet: es una marca opcional para incluir o excluir un conjunto de CA públicas. De forma predeterminada, esta marca se configura con el valor "falso". Cuando esta marca se establece como verdadera, las conexiones TLS no confían en servidores de CA públicas. En este caso, Cloud NGFW solo puede realizar conexiones TLS con servidores mediante certificados firmados por CA en la configuración de confianza.

    • TRUST_CONFIG_NAME: es un argumento opcional para especificar el nombre del recurso de configuración de confianza

  3. Importa la política de inspección de TLS que creaste en la sección Crea una política de inspección de TLS.

    gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
        --source TLS_INSPECTION_FILE.yaml \
        --location REGION
    

    Reemplaza lo siguiente:

    • TLS_INSPECTION_NAME: es el nombre de la política de inspección de TLS
    • TLS_INSPECTION_FILE: el nombre del archivo YAML de la política de inspección de TLS.

Visualiza los detalles de una política de inspección de TLS

Puedes ver la información sobre la política de inspección de TLS que creaste en tu proyecto.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.

    Ir a las políticas de inspección de TLS

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.

  4. Para ver los detalles, haz clic en el nombre de la política de inspección de TLS.

Agrega una política de inspección de TLS a una asociación de extremos de firewall

Para agregar la política de inspección de TLS a una asociación de extremo de firewall, sigue los pasos que se mencionan en Crea asociaciones de extremos de firewall.

Configura reglas de políticas de firewall con inspección de TLS

A fin de habilitar la inspección de TLS para la red de nube privada virtual (VPC), establece la marca --tls-inspect en la regla de política de firewall. Esta marca indica que la inspección de TLS se puede realizar cuando se aplica el grupo de perfil de seguridad.

Para obtener más información sobre cómo habilitar la marca --tls-inspect en las reglas de políticas de firewall jerárquicas, consulta Crea reglas de firewall.

Para obtener más información sobre cómo habilitar la marca --tls-inspect en las reglas de políticas de firewall de red globales, consulta Crea reglas de firewall de red globales.

Administra la política de inspección de TLS

Puedes enumerar, actualizar y borrar políticas de inspección de TLS en tu proyecto.

Enumera todas las políticas de inspección de TLS

Puedes enumerar todas las políticas de inspección de TLS en un proyecto.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.

    Ir a las políticas de inspección de TLS

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.

gcloud

Para enumerar todas las políticas de inspección de TLS, usa el comando gcloud network-security tls-inspection-policies list:

gcloud network-security tls-inspection-policies list \
    --project PROJECT_ID \
    --location REGION

Reemplaza lo siguiente:

  • PROJECT_ID: es el ID del proyecto para la política de inspección de TLS
  • REGION: es el nombre de la región para la que deseas enumerar la política de inspección de TLS

Edita una política de inspección de TLS

Puedes modificar una política de inspección de TLS existente en tu proyecto.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.

    Ir a las políticas de inspección de TLS

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.

  4. Para editar una política, haz clic en el nombre de la política de inspección de TLS.

  5. Haz clic en Editar.

  6. Modifica los campos obligatorios. Para obtener más información sobre cada campo, consulta Crea una política de inspección de TLS.

  7. Haz clic en Guardar.

Borra una política de inspección de TLS

Puedes borrar una política de inspección de TLS de tu proyecto. Sin embargo, si una asociación de extremo de firewall hace referencia a la política de inspección de TLS, esa política de inspección de TLS no se puede borrar.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de inspección de TLS.

    Ir a las políticas de inspección de TLS

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Las políticas de inspección de TLS se enumeran en la sección Inspecciones de TLS.

  4. Para borrar una política de inspección de TLS, selecciona la casilla de verificación junto a su nombre.

  5. Haz clic en Borrar.

  6. Vuelve a hacer clic en Borrar.

gcloud

Para borrar una política de inspección de TLS, usa el comando gcloud network-security tls-inspection-policies delete:

gcloud network-security tls-inspection-policies delete \
    projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \
    --location REGION

Reemplaza lo siguiente:

  • PROJECT_ID: es el ID del proyecto de la política de inspección de TLS
  • TLS_INSPECTION_NAME: es el nombre de la inspección de TLS
  • REGION: es la región en la que se crea la política de inspección de TLS.

Próximos pasos