Enkripsi dari load balancer ke backend

Enkripsi di semua region Google Cloud

Semua traffic VM-ke-VM dalam jaringan VPC dan jaringan VPC yang di-peering dienkripsi. Ini mencakup traffic VM-ke-VM dalam batas fisik (yaitu, traffic intra-cluster).

Enkripsi antara load balancer proxy dan backend

Untuk beberapa load balancer proxy (lihat tabel 1), Google akan otomatis mengenkripsi traffic ke backend yang berada dalam jaringan VPC Google Cloud. Tindakan ini disebut enkripsi tingkat jaringan otomatis. Enkripsi tingkat jaringan otomatis hanya berlaku untuk komunikasi dengan jenis backend berikut:

  • Grup instance
  • NEG Zona (endpoint GCE_VM_IP_PORT)

Selain itu, Google Cloud menyediakan opsi protokol aman untuk mengenkripsi komunikasi dengan layanan backend.

Beberapa load balancer Google Cloud menggunakan Google Front End (GFE) sebagai klien ke backend, sedangkan yang lain menggunakan proxy Envoy open source. Dalam semua kasus, load balancer mendukung cipher suite yang tercantum dalam RFC 8446, bagian 9.1 untuk TLS 1.3. Untuk TLS 1.2 dan yang lebih lama, load balancer mendukung cipher suite yang terkait dengan profil kebijakan SSL KONSISTENT.

Tabel berikut memberikan ringkasan load balancer proxy yang mengenkripsi traffic ke backend.

Tabel 1. Komunikasi antara load balancer dan backend
Load balancer proxy Proxy (klien ke backend) Enkripsi tingkat jaringan otomatis Opsi protokol layanan backend
Load Balancer Aplikasi eksternal global GFE (dengan software Envoy untuk fitur perutean lanjutan) HTTP, HTTPS, dan HTTP/2
Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi Klasik GFE HTTP, HTTPS, dan HTTP/2
Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi eksternal regional Proxy Envoy HTTP, HTTPS, dan HTTP/2
Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi internal regional Proxy Envoy HTTP, HTTPS, dan HTTP/2
Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi internal lintas region Proxy Envoy HTTP, HTTPS, dan HTTP/2
Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Jaringan proxy eksternal global GFE (dengan software Envoy untuk fitur perutean lanjutan) SSL atau TCP
Pilih SSL untuk protokol layanan backend jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Jaringan proxy klasik GFE SSL atau TCP
Pilih SSL untuk protokol layanan backend jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Jaringan proxy eksternal regional Proxy Envoy TCP
Load Balancer Jaringan proxy internal regional Proxy Envoy TCP
Load Balancer Jaringan proxy internal lintas region Proxy Envoy TCP
Mesh Layanan Cloud Proxy sisi klien HTTPS dan HTTP/2

Kasus penggunaan protokol backend aman

Protokol aman untuk terhubung ke instance backend direkomendasikan dalam kasus berikut:

  • Jika Anda memerlukan koneksi terenkripsi yang dapat diaudit dari load balancer (atau Cloud Service Mesh) ke instance backend.

  • Saat load balancer terhubung ke instance backend yang berada di luar Google Cloud (dengan NEG internet). Komunikasi ke backend NEG internet mungkin melalui internet publik. Saat load balancer terhubung ke NEG internet, sertifikat yang ditandatangani CA publik harus memenuhi persyaratan validasi.

Pertimbangan protokol backend aman

Saat menggunakan protokol layanan backend yang aman, perhatikan hal berikut:

  • Instance atau endpoint backend load balancer Anda harus ditayangkan menggunakan protokol yang sama dengan layanan backend. Misalnya, jika protokol layanan backend adalah HTTPS, backend harus berupa server HTTPS.

  • Jika protokol layanan backend adalah HTTP/2, backend Anda harus menggunakan TLS. Untuk mengetahui petunjuk konfigurasi, lihat dokumentasi untuk software yang berjalan di instance atau endpoint backend Anda.

  • Anda harus menginstal kunci pribadi dan sertifikat di instance atau endpoint backend agar dapat berfungsi sebagai server HTTPS atau SSL. Sertifikat ini tidak perlu cocok dengan sertifikat SSL frontend load balancer. Untuk petunjuk penginstalan, lihat dokumentasi untuk software yang berjalan di instance atau endpoint backend Anda.

  • Dengan pengecualian load balancer HTTPS dengan backend NEG internet, load balancer tidak menggunakan ekstensi Server Name Indication (SNI) untuk koneksi ke backend.

  • Saat load balancer terhubung ke backend yang berada dalam Google Cloud, load balancer akan menerima sertifikat apa pun yang ditampilkan backend Anda. Dalam hal ini, load balancer tidak melakukan validasi sertifikat apa pun. Misalnya, sertifikat diperlakukan sebagai valid bahkan dalam situasi berikut:

    • Sertifikat ditandatangani sendiri.
    • Sertifikat ditandatangani oleh certificate authority (CA) yang tidak diketahui.
    • Masa berlaku sertifikat telah berakhir atau belum valid.
    • Atribut CN dan subjectAlternativeName tidak cocok dengan header Host atau data PTR DNS.

Protokol frontend aman

Saat Anda menggunakan proxy HTTPS target atau proxy SSL target sebagai bagian dari konfigurasi, Google Cloud akan menggunakan protokol frontend yang aman.

Load Balancer Aplikasi eksternal dan Load Balancer Jaringan proxy eksternal menggunakan library BoringCrypto Google. Untuk mengetahui detail FIPS 140-2, lihat Sertifikat Program Validasi Modul Kriptografis NIST #3678.

Load Balancer Aplikasi Internal menggunakan library BoringSSL Google. Untuk mengetahui detail FIPS 140-2, lihat dokumentasi Envoy. Google membuat proxy Envoy untuk Load Balancer Aplikasi internal dalam mode yang mematuhi FIPS.

Cloud Service Mesh mendukung proxy Envoy yang dibuat dalam mode yang mematuhi FIPS.