Configura la inspección de TLS

En esta página, se describe cómo configurar la inspección de seguridad de la capa de transporte (TLS) para el firewall de Cloud.

Antes de comenzar

Antes de configurar la inspección de TLS, completa las tareas de las siguientes secciones.

Habilita Certificate Authority Service

El firewall de Cloud usa Certificate Authority Service para generar autoridades certificadas (CA) intermedias. El firewall de Cloud usa estas CA intermedias a fin de generar los certificados que se usan para la inspección de TLS.

Para habilitar el servicio de CA, usa el siguiente comando:

   gcloud services enable privateca.googleapis.com

Habilita el Administrador de certificados

El firewall de Cloud usa el Administrador de certificados para crear archivos de configuración de confianza. Si no deseas usar los parámetros de configuración de confianza, omite este paso.

Para habilitar el Administrador de certificados, usa el siguiente comando:

   gcloud services enable certificatemanager.googleapis.com

Crea una configuración de confianza

Este paso es opcional. Para crear una configuración de confianza, sigue los pasos de esta sección.

  1. Crea un grupo de CA.

    El grupo de CA que creas en este paso es diferente del que creas para configurar la política de inspección de TLS.

  2. Crea una CA raíz mediante el grupo de CA que creaste antes.

  3. Crea un certificado con una clave generada automáticamente. Usa el mismo nombre de grupo de CA que creaste antes.

  4. Obtén el certificado público de la CA a partir del certificado creado.

    $PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \
   --location LOCATION \
   --project PROJECT_ID \
   --pool CA_POOL \
   --format "value(pemCaCertificates)")

    Reemplaza lo siguiente:

    • ROOT_CA_NAME: el nombre de la CA raíz
    • LOCATION: la ubicación de la CA raíz
    • PROJECT_ID: el ID del proyecto de la CA raíz
    • CA_POOL: el nombre del grupo de CA desde el que se crearán los certificados

  5. Crea e importa una configuración de confianza con el PEM-CERT que se obtuvo en el paso anterior. Si usas tu propia CA, usa el certificado público que se obtuvo de tu CA.

Usa esta configuración de confianza para crear una política de inspección de TLS.

Crear grupo de CA

Debes crear un grupo de CA antes de poder usar el servicio de CA para crear una CA. Para crear un grupo de CA, sigue las instrucciones en Crea grupos de CA.

Usa este grupo de CA para crear una política de inspección de TLS.

Crea una CA raíz

Si no tienes una CA raíz existente, puedes crear una dentro del servicio de CA. Para crear una CA raíz, sigue las instrucciones en Cómo crear una CA raíz y usa el mismo grupo de CA que creaste antes (consulta la sección Crea un grupo de CA)).

Crea una cuenta de servicio

Si no tienes una cuenta de servicio, debes crear una y otorgar los permisos necesarios.

  1. Crear una cuenta de servicio:

     gcloud beta services identity create \
     --service networksecurity.googleapis.com \
     --project PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de la cuenta de servicio.

    Google Cloud CLI crea una cuenta de servicio llamada service-PROJECT_ID@gcp-sa-networksecurity.iam.gserviceaccount.com.

  2. Otorga permiso a tu cuenta de servicio para generar certificados que usen tu grupo de CA:

     gcloud privateca pools add-iam-policy-binding CA_POOL \
     --member 'serviceAccount:SERVICE_ACCOUNT' \
     --role 'roles/privateca.certificateRequester' \
     --location 'REGION'

    Reemplaza lo siguiente:

    • CA_POOL: el nombre del grupo de CA desde el que se crearán los certificados
    • SERVICE_ACCOUNT: el nombre de la cuenta de servicio que creaste en el paso anterior
    • LOCATION: la región del grupo de CA

Configurar la inspección de TLS

Antes de continuar con las tareas de esta sección, asegúrate de haber configurado tus certificados o de haber completado los requisitos que se indican en la sección Antes de comenzar.

Para configurar la inspección de TLS, completa las tareas de las siguientes secciones.

Crea una política de inspección de TLS

  1. Crea un archivo YAML TLS_INSPECTION_FILE.yaml. Reemplaza TLS_INSPECTION_FILE por una contraseña de tu elección.

  2. Agrega el siguiente código al archivo YAML para configurar la política de inspección de TLS.

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
minTlsVersion: TLS_VERSION
tlsFeatureProfile: PROFILE_TYPECIPHER_NAME
excludePublicCaSet: `TRUE`|`FALSE`
trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME

    Reemplaza lo siguiente:

    • PROJECT_ID: es el ID del proyecto de la política de inspección de TLS
    • REGION: es la región en la que se crea la política de inspección de TLS.
    • TLS_INSPECTION_NAME: es el nombre de la política de inspección de TLS

    • CA_POOL: el nombre del grupo de CA desde el que se crearán los certificados

      El grupo de CA debe existir dentro de la misma región.

    • TLS_VERSION: es un argumento opcional que especifica la versión mínima de TLS compatible con el firewall de Cloud

      Puedes seleccionar uno de los siguientes valores:

      • TLS_1_0
      • TLS_1_1
      • TLS_1_2

    • PROFILE_TYPE: es un argumento opcional que especifica el tipo de perfil de TLS

      Puedes seleccionar uno de los siguientes valores:

      • PROFILE_COMPATIBLE: permite que el conjunto más amplio de clientes, incluidos aquellos que solo admitan características de TLS desactualizadas, para negociar TLS.
      • PROFILE_MODERN: compatible con un amplio conjunto de funciones de TLS, lo que permite que los clientes modernos negocien TLS.
      • PROFILE_RESTRICTED: admite un conjunto reducido de funciones SSL destinadas a acatar los requisitos de cumplimiento más estrictos.
      • PROFILE_CUSTOM: te permite seleccionar las funciones TLS de forma individual.

    • CIPHER_NAME: es un argumento opcional para especificar el nombre del conjunto de algoritmos de cifrado compatible con el perfil personalizado.

      Especificas este argumento solo cuando el tipo de perfil se establece en PROFILE_CUSTOM.

    • excludePublicCaSet: es una marca opcional para incluir o excluir un conjunto de CA públicas.

      De forma predeterminada, esta marca se configura con el valor "falso". Cuando esta marca se establece como verdadera, las conexiones TLS no confían en servidores de CA públicas. En este caso, el firewall de Cloud solo puede realizar conexiones TLS con servidores mediante certificados firmados por CA en la configuración de confianza.

    • TRUST_CONFIG_NAME: el nombre del recurso de configuración de confianza

Importa la política de inspección de TLS

Importa la política de inspección de TLS que creaste en la sección Crea una política de inspección de TLS.

   gcloud beta network-security tls-inspection-policies import TLS_INSPECTION_NAME \
       --source TLS_INSPECTION_FILE.yaml \
       --location REGION

Reemplaza lo siguiente:

  • TLS_INSPECTION_NAME: el nombre de la política de inspección de TLS
  • TLS_INSPECTION_FILE: el nombre del archivo YAML de la política de inspección de TLS.

Agrega una política de inspección de TLS a una asociación de extremos de firewall

Para agregar la política de inspección de TLS a una asociación de extremo de firewall, sigue los pasos que se mencionan en Crea y asocia extremos de firewall.

Configura reglas de políticas de firewall con inspección de TLS

A fin de habilitar la inspección de TLS para la red de nube privada virtual (VPC), establece la marca --tls-inspect en la regla de política de firewall. Esta marca indica que la inspección de TLS se puede realizar cuando se aplica el grupo de perfil de seguridad.

Para obtener más información sobre cómo habilitar la marca --tls-inspect en las reglas de políticas de firewall jerárquicas, consulta Crea reglas de firewall.

Para obtener más información sobre cómo habilitar la marca --tls-inspect en las reglas de políticas de firewall de red globales, consulta Crea reglas de firewall de red globales.

Próximos pasos