Enkripsi dari load balancer ke backend

Enkripsi di semua Google Cloud wilayah

Semua traffic VM-ke-VM dalam jaringan VPC dan jaringan VPC yang di-peering dienkripsi.

Enkripsi antara load balancer proxy dan backend

Untuk beberapa load balancer proxy (lihat tabel 1), Google otomatis mengenkripsi traffic ke backend yang berada dalam jaringan VPC. Google Cloud Tindakan ini disebut enkripsi tingkat jaringan otomatis. Enkripsi tingkat jaringan otomatis hanya berlaku untuk komunikasi dengan jenis backend berikut:

• Grup instance
• NEG Zona (endpoint GCE_VM_IP_PORT)

Selain itu, Google Cloud menyediakan opsi protokol aman untuk mengenkripsi komunikasi dengan layanan backend.

Beberapa Google Cloud load balancer menggunakan Google Front End (GFEs) sebagai klien ke backend, sedangkan yang lain menggunakan proxy Envoy open source. Dalam semua kasus, load balancer mendukung cipher suite yang tercantum dalam RFC 8446, bagian 9.1 untuk TLS 1.3. Untuk TLS 1.2 dan yang lebih lama, load balancer mendukung cipher suite yang terkait dengan profil kebijakan SSL COMPATIBLE.

Tabel berikut memberikan ringkasan load balancer proxy yang mengenkripsi traffic ke backend.

Tabel 1. Komunikasi antara load balancer dan backend

Load balancer proxy	Proxy (klien ke backend)	Enkripsi tingkat jaringan otomatis	Opsi protokol layanan backend
Load Balancer Aplikasi eksternal global	GFE (dengan software Envoy untuk fitur perutean lanjutan)		HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi Klasik	GFE		HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi eksternal regional	Proxy Envoy		HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi internal regional	Proxy Envoy		HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Aplikasi internal lintas region	Proxy Envoy		HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Jaringan proxy eksternal global	GFE (dengan software Envoy untuk fitur perutean lanjutan)		SSL atau TCP Pilih SSL untuk protokol layanan backend jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Jaringan proxy klasik	GFE		SSL atau TCP Pilih SSL untuk protokol layanan backend jika Anda memerlukan enkripsi yang dapat diaudit dalam pengiriman ke backend.
Load Balancer Jaringan proxy eksternal regional	Proxy Envoy		TCP
Load Balancer Jaringan proxy internal regional	Proxy Envoy		TCP
Load Balancer Jaringan proxy internal lintas region	Proxy Envoy		TCP
Mesh Layanan Cloud	Proxy sisi klien		HTTPS dan HTTP/2

Kasus penggunaan protokol backend yang aman

Protokol aman untuk terhubung ke instance backend direkomendasikan dalam kasus berikut:

• Jika Anda memerlukan koneksi terenkripsi yang dapat diaudit dari load balancer (atau Cloud Service Mesh) ke instance backend.

• Saat load balancer terhubung ke instance backend yang berada di luar Google Cloud (dengan NEG internet). Komunikasi ke backend NEG internet mungkin melalui internet publik. Saat load balancer terhubung ke NEG internet, sertifikat yang ditandatangani CA publik harus memenuhi persyaratan validasi.

Pertimbangan protokol backend aman

Saat menggunakan protokol layanan backend yang aman, perhatikan hal berikut:

• Instance atau endpoint backend load balancer Anda harus ditayangkan menggunakan protokol yang sama dengan layanan backend. Misalnya, jika protokol layanan backend adalah HTTPS, backend harus berupa server HTTPS.

• Jika protokol layanan backend adalah HTTP/2, backend Anda harus menggunakan TLS. Untuk petunjuk konfigurasi, lihat dokumentasi untuk software yang berjalan di instance atau endpoint backend Anda.

• Anda harus menginstal kunci pribadi dan sertifikat di instance atau endpoint backend agar dapat berfungsi sebagai server HTTPS atau SSL. Sertifikat ini tidak perlu cocok dengan sertifikat SSL frontend load balancer. Untuk petunjuk penginstalan, lihat dokumentasi untuk software yang berjalan di instance backend atau endpoint Anda.

• Dengan pengecualian load balancer HTTPS dengan backend NEG internet, load balancer tidak menggunakan ekstensi Server Name Indication (SNI) untuk koneksi ke backend.

• Saat load balancer terhubung ke backend yang berada dalam Google Cloud, load balancer akan menerima sertifikat apa pun yang ditampilkan backend Anda. Dalam hal ini, load balancer hanya melakukan validasi sertifikat minimum.

  Misalnya, sertifikat diperlakukan sebagai valid bahkan dalam keadaan berikut:

  • Sertifikat ditandatangani sendiri.
  • Sertifikat ditandatangani oleh certificate authority (CA) yang tidak dikenal.
  • Masa berlaku sertifikat telah berakhir atau belum valid.
  • Atribut CN dan subjectAlternativeName tidak cocok dengan header Host atau data PTR DNS.

  Untuk sertifikat RSA, mulai 28 April 2025, load balancer hanya akan menerima sertifikat RSA yang memiliki ekstensi Penggunaan Kunci X509v3 dan menyertakan parameter Tanda Tangan Digital dan Enkripsi Kunci. Untuk informasi selengkapnya, lihat catatan rilis terkait pada 24 Januari 2025.

Protokol frontend aman

Saat Anda menggunakan proxy HTTPS target atau proxy SSL target sebagai bagian dari konfigurasi, Google Cloud akan menggunakan protokol frontend yang aman.

Load Balancer Aplikasi eksternal dan Load Balancer Jaringan proxy eksternal menggunakan library BoringCrypto Google. Untuk mengetahui detail FIPS 140-2, lihat Sertifikat Program Validasi Modul Kriptografis NIST #3678.

Load Balancer Aplikasi Internal menggunakan library BoringSSL Google. Untuk mengetahui detail FIPS 140-2, lihat dokumentasi Envoy. Google membuat proxy Envoy untuk Load Balancer Aplikasi internal dalam mode yang mematuhi FIPS.

Cloud Service Mesh mendukung proxy Envoy yang dibuat dalam mode yang mematuhi FIPS.