Enkripsi di semua region Google Cloud
Semua traffic VM-ke-VM dalam jaringan VPC dan jaringan VPC yang di-peering dienkripsi. Ini mencakup traffic VM-ke-VM dalam batas fisik (yaitu, traffic intra-cluster).
Enkripsi antara load balancer proxy dan backend
Untuk beberapa load balancer proxy (lihat tabel 1), Google akan otomatis mengenkripsi traffic ke backend yang berada dalam jaringan VPC Google Cloud. Tindakan ini disebut enkripsi tingkat jaringan otomatis. Enkripsi tingkat jaringan otomatis hanya berlaku untuk komunikasi dengan jenis backend berikut:
- Grup instance
- NEG Zona (endpoint
GCE_VM_IP_PORT)
Selain itu, Google Cloud menyediakan opsi protokol aman untuk mengenkripsi komunikasi dengan layanan backend.
Beberapa load balancer Google Cloud menggunakan Google Front End (GFE) sebagai klien ke backend, sedangkan yang lain menggunakan proxy Envoy open source. Dalam semua kasus, load balancer mendukung cipher suite yang tercantum dalam RFC 8446, bagian 9.1 untuk TLS 1.3. Untuk TLS 1.2 dan yang lebih lama, load balancer mendukung cipher suite yang terkait dengan profil kebijakan SSL COMPATIBLE.
Tabel berikut memberikan ringkasan load balancer proxy yang mengenkripsi traffic ke backend.
| Load balancer proxy | Proxy (klien ke backend) | Enkripsi tingkat jaringan otomatis | Opsi protokol layanan backend |
|---|---|---|---|
| Load Balancer Aplikasi eksternal global | GFE (dengan software Envoy untuk fitur perutean lanjutan) | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend. |
|
| Load Balancer Aplikasi Klasik | GFE | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend. |
|
| Load Balancer Aplikasi eksternal regional | Proxy Envoy | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend. |
|
| Load Balancer Aplikasi internal regional | Proxy Envoy | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend. |
|
| Load Balancer Aplikasi internal lintas region | Proxy Envoy | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend. |
|
| Load Balancer Jaringan proxy eksternal global | GFE (dengan software Envoy untuk fitur perutean lanjutan) | SSL atau TCP Pilih SSL untuk protokol layanan backend jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend. |
|
| Load Balancer Jaringan proxy klasik | GFE | SSL atau TCP Pilih SSL untuk protokol layanan backend jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend. |
|
| Load Balancer Jaringan proxy eksternal regional | Proxy Envoy | TCP | |
| Load Balancer Jaringan proxy internal regional | Proxy Envoy | TCP | |
| Load Balancer Jaringan proxy internal lintas region | Proxy Envoy | TCP | |
| Cloud Service Mesh | Proxy sisi klien | HTTPS dan HTTP/2 |
Kasus penggunaan protokol backend aman
Protokol aman untuk terhubung ke instance backend direkomendasikan dalam kasus berikut:
Jika Anda memerlukan koneksi terenkripsi yang dapat diaudit dari load balancer (atau Cloud Service Mesh) ke instance backend.
Saat load balancer terhubung ke instance backend yang berada di luar Google Cloud (dengan NEG internet). Komunikasi ke backend NEG internet mungkin melalui internet publik. Saat load balancer terhubung ke NEG internet, sertifikat yang ditandatangani CA publik harus memenuhi persyaratan validasi.
Pertimbangan protokol backend aman
Saat menggunakan protokol layanan backend yang aman, perhatikan hal berikut:
Instance atau endpoint backend load balancer Anda harus ditayangkan menggunakan protokol yang sama dengan layanan backend. Misalnya, jika protokol layanan backend adalah HTTPS, backend harus berupa server HTTPS.
Jika protokol layanan backend adalah HTTP/2, backend Anda harus menggunakan TLS. Untuk mengetahui petunjuk konfigurasi, lihat dokumentasi untuk software yang berjalan di instance atau endpoint backend Anda.
Anda harus menginstal kunci pribadi dan sertifikat di instance backend atau endpoint agar dapat berfungsi sebagai server HTTPS atau SSL. Sertifikat ini tidak perlu cocok dengan sertifikat SSL frontend load balancer. Untuk petunjuk penginstalan, lihat dokumentasi untuk software yang berjalan di instance atau endpoint backend Anda.
Dengan pengecualian load balancer HTTPS dengan backend NEG internet, load balancer tidak menggunakan ekstensi Server Name Indication (SNI) untuk koneksi ke backend.
Saat load balancer terhubung ke backend yang berada dalam Google Cloud, load balancer akan menerima sertifikat apa pun yang ditampilkan backend Anda. Dalam hal ini, load balancer tidak melakukan validasi sertifikat apa pun. Misalnya, sertifikat diperlakukan sebagai valid bahkan dalam situasi berikut:
- Sertifikat ditandatangani sendiri.
- Sertifikat ditandatangani oleh certificate authority (CA) yang tidak diketahui.
- Masa berlaku sertifikat telah berakhir atau belum valid.
- Atribut
CNdansubjectAlternativeNametidak cocok dengan headerHostatau data PTR DNS.
Protokol frontend aman
Saat Anda menggunakan proxy HTTPS target atau proxy SSL target sebagai bagian dari konfigurasi, Google Cloud akan menggunakan protokol frontend yang aman.
Load Balancer Aplikasi eksternal dan Load Balancer Jaringan proxy eksternal menggunakan library BoringCrypto Google. Untuk mengetahui detail FIPS 140-2, lihat Sertifikat Program Validasi Modul Kriptografis NIST #3678.
Load Balancer Aplikasi Internal menggunakan library BoringSSL Google. Untuk mengetahui detail FIPS 140-2, lihat dokumentasi Envoy. Google mem-build proxy Envoy untuk Load Balancer Aplikasi internal dalam mode yang mematuhi FIPS.
Cloud Service Mesh mendukung proxy Envoy yang dibuat dalam mode yang mematuhi FIPS.