Crittografia in tutte le aree geografiche di Google Cloud
Tutto il traffico da VM a VM all'interno di una rete VPC e di reti VPC in peering viene criptato. Questo include il traffico da VM a VM all'interno dei confini fisici (ovvero il traffico intra-cluster).
Crittografia tra bilanciatori del carico proxy e backend
Per alcuni bilanciatori del carico proxy (vedi tabella 1), Google cripta automaticamente il traffico verso i backend che risiedono all'interno delle reti VPC di Google Cloud. Questa operazione è chiamata crittografia automatica a livello di rete. La crittografia automatica a livello di rete è applicabile solo alle comunicazioni con questi tipi di backend:
- Gruppi di istanze
- NEG a livello di zona (
GCE_VM_IP_PORTendpoint)
Inoltre, Google Cloud fornisce opzioni di protocollo sicuro per criptare la comunicazione con il servizio di backend.
Alcuni bilanciatori del carico Google Cloud utilizzano Google Front End (GFE) come client per i backend. Altri utilizzano il proxy Envoy open source. In tutti i casi, il bilanciatore del carico supporta le suite di crittografia elencate in RFC 8446, sezione 9.1 per TLS 1.3. Per TLS 1.2 e versioni precedenti, il bilanciatore del carico supporta le suite di crittografia associate al profilo dei criteri SSL COMPATIBILE.
La tabella seguente offre un riepilogo.
| Bilanciatore del carico proxy | Proxy (dal client al backend) | Crittografia automatica a livello di rete | Opzioni del protocollo del servizio di backend |
|---|---|---|---|
| Bilanciatore del carico delle applicazioni esterno globale | GFE (con software Envoy per le funzionalità di routing avanzate) | HTTP, HTTPS e HTTP/2 Scegli HTTPS o HTTP/2 se hai bisogno della crittografia controllabile in transito verso i backend. |
|
| Bilanciatore del carico delle applicazioni classico | GFE | HTTP, HTTPS e HTTP/2 Scegli HTTPS o HTTP/2 se hai bisogno della crittografia controllabile in transito verso i backend. |
|
| Bilanciatore del carico delle applicazioni esterno regionale | Proxy Envoy | HTTP, HTTPS e HTTP/2 Scegli HTTPS o HTTP/2 se hai bisogno della crittografia controllabile in transito verso i backend. |
|
| Bilanciatore del carico di rete proxy esterno | GFE | SSL o TCP Scegli SSL per il protocollo del servizio di backend se hai bisogno di una crittografia controllabile in transito verso i backend. |
|
| Bilanciatore del carico delle applicazioni interno | Proxy Envoy | HTTP, HTTPS e HTTP/2 Scegli HTTPS o HTTP/2 se hai bisogno della crittografia controllabile in transito verso i backend. |
|
| Bilanciatore del carico di rete proxy interno regionale | Proxy Envoy | TCP | |
| Cloud Service Mesh | Proxy lato client | HTTPS e HTTP/2 |
Casi d'uso del protocollo di backend sicuro
Nei seguenti casi è consigliato un protocollo sicuro per la connessione alle istanze di backend:
Quando hai bisogno di una connessione criptata verificabile dal bilanciatore del carico (o Cloud Service Mesh) alle istanze di backend.
Quando il bilanciatore del carico si connette a un'istanza di backend esterna a Google Cloud (con un NEG Internet). La comunicazione con il backend di un NEG Internet potrebbe consentire il transito nella rete Internet pubblica. Quando il bilanciatore del carico si connette a un NEG Internet, il certificato firmato da una Public CA deve soddisfare i requisiti di convalida.
Considerazioni sul protocollo di backend sicuro
Quando utilizzi un protocollo del servizio di backend sicuro, tieni presente quanto segue:
Gli endpoint o le istanze di backend del bilanciatore del carico devono utilizzare lo stesso protocollo del servizio di backend. Ad esempio, se il protocollo del servizio di backend è HTTPS, i backend devono essere server HTTPS.
Se il protocollo del servizio di backend è HTTP/2, i backend devono utilizzare TLS. Per le istruzioni di configurazione, consulta la documentazione del software in esecuzione sugli endpoint o sulle istanze di backend.
Devi installare chiavi e certificati privati negli endpoint o nelle istanze di backend affinché funzionino come server HTTPS o SSL. Questi certificati non devono necessariamente corrispondere ai certificati SSL di frontend del bilanciatore del carico. Per le istruzioni di installazione, consulta la documentazione del software in esecuzione sugli endpoint o sulle istanze di backend.
Ad eccezione dei bilanciatori del carico HTTPS con i backend di NEG Internet, i GFE non utilizzano l'estensione SNI (Server Name Indication) per le connessioni al backend.
Quando un GFE si connette ai backend all'interno di Google Cloud, il GFE accetta qualsiasi certificato presentato dai backend. I GFE non eseguono la convalida dei certificati. Ad esempio, il certificato viene considerato valido anche nelle seguenti circostanze:
- Il certificato è autofirmato.
- Il certificato è firmato da un'autorità di certificazione (CA) sconosciuta.
- Il certificato è scaduto o non è ancora valido.
- Gli attributi
CNesubjectAlternativeNamenon corrispondono a un'intestazioneHosto a un record PTR DNS.
Protocolli di frontend sicuri
Quando utilizzi un proxy HTTPS di destinazione o SSL di destinazione come parte della configurazione, Google Cloud utilizza un protocollo di frontend sicuro.
I bilanciatori del carico delle applicazioni esterni e i bilanciatori del carico di rete proxy esterni utilizzano la libreria BoringCrypto di Google. Per i dettagli relativi allo standard FIPS 140-2, consulta il certificato 3678 del programma CMVP (Cryptographic Module Validation Program) del NIST.
I bilanciatori del carico delle applicazioni interni utilizzano la libreria BoringSSL di Google. Per i dettagli relativi allo standard FIPS 140-2, consulta la documentazione di Envoy. Google crea proxy Envoy per i bilanciatori del carico delle applicazioni interni in modalità conforme a FIPS.
Cloud Service Mesh supporta i proxy Envoy creati in modalità conforme a FIPS.