Kebijakan SSL menentukan serangkaian fitur SSL yang digunakan load balancer Google Cloud saat menegosiasikan SSL dengan klien. Dalam dokumen ini, istilah SSL mengacu pada protokol SSL dan TLS.
Load balancer berikut mendukung kebijakan SSL global:
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Aplikasi internal lintas region
- Load Balancer Jaringan proxy eksternal global
- Load Balancer Jaringan proxy klasik
Load balancer berikut mendukung kebijakan SSL regional:
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi internal regional
Secara default, load balancer ini menggunakan sekumpulan fitur SSL yang memberikan keamanan yang baik dan kompatibilitas yang luas. Beberapa aplikasi memerlukan kontrol lebih besar atas versi dan cipher SSL mana yang digunakan untuk koneksi HTTPS atau SSL-nya. Anda dapat menentukan kebijakan SSL untuk menentukan rangkaian fitur SSL yang digunakan load balancer saat menegosiasikan SSL dengan klien.
Contoh berikut menunjukkan cara koneksi dari klien dibuat dan dihentikan di load balancer.
Anda dapat menggunakan kebijakan SSL untuk mengonfigurasi versi TLS dan fitur SSL minimum yang diaktifkan di load balancer. Kebijakan SSL memengaruhi koneksi antara klien dan load balancer (Koneksi-1 dalam ilustrasi). Kebijakan SSL tidak memengaruhi koneksi antara load balancer dan backend (Connection-2).
Menentukan kebijakan SSL
Untuk menentukan kebijakan SSL, Anda harus menentukan profil dan versi TLS minimum. Profil tersebut memilih serangkaian fitur SSL yang akan diaktifkan di load balancer.
Tiga profil terkelola Google yang telah dikonfigurasi sebelumnya memungkinkan Anda menentukan tingkat kompatibilitas yang sesuai untuk aplikasi Anda. Tiga profil yang telah dikonfigurasi sebelumnya adalah sebagai berikut:
- KOMPATIBEL. Mengizinkan kumpulan klien terluas, termasuk klien yang hanya mendukung fitur SSL yang sudah usang, untuk menegosiasikan SSL dengan load balancer.
- MODERN. Mendukung berbagai fitur SSL, yang memungkinkan klien modern menegosiasikan SSL.
- DIBATASI. Mendukung kumpulan fitur SSL yang lebih sedikit, yang dimaksudkan untuk memenuhi persyaratan kepatuhan yang lebih ketat.
Profil KUSTOM keempat memungkinkan Anda memilih fitur SSL satu per satu.
Kebijakan SSL juga menentukan versi minimum protokol TLS yang dapat digunakan klien untuk membuat koneksi. Profil juga dapat membatasi versi TLS yang dapat dinegosiasikan oleh load balancer. Misalnya, cipher yang diaktifkan dalam profil BATASAN hanya didukung oleh TLS 1.2. Memilih profil DIBATASI secara efektif mengharuskan klien untuk menggunakan TLS 1.2, terlepas dari versi TLS minimum yang dipilih.
Jika Anda tidak memilih salah satu dari tiga profil yang telah dikonfigurasi sebelumnya atau membuat kebijakan SSL kustom, load balancer Anda akan menggunakan kebijakan SSL default. Kebijakan SSL default setara dengan kebijakan SSL yang menggunakan profil KOMPATIBEL dengan versi TLS minimum TLS 1.0.
Anda dapat melampirkan kebijakan SSL ke lebih dari satu proxy target. Anda tidak dapat mengonfigurasi lebih dari satu kebijakan SSL untuk proxy target tertentu. Perubahan apa pun yang dibuat pada kebijakan SSL tidak akan mengubah atau mengganggu koneksi load balancer yang ada.
Cloud Load Balancing tidak mendukung SSL versi 3.0 atau yang lebih lama. Tabel berikut menjelaskan dukungan fitur untuk setiap versi TLS/SSL.
Versi TLS/SSL | Dukungan fitur |
---|---|
TLS 1.0, 1.1, atau 1.2 | Setelan dalam kebijakan SSL mengontrol cipher suite yang diterapkan ke koneksi klien. |
TLS 1.3 | Setelan dalam kebijakan SSL tidak mengontrol pemilihan cipher. TLS 1.3
hanya mendukung cipher TLS_AES_128_GCM_SHA256 ,
TLS_AES_256_GCM_SHA384 , dan
TLS_CHACHA20_POLY1305_SHA256 . |
QUIC | Setelan dalam kebijakan SSL tidak mengontrol pemilihan cipher. |
SSL 3.0 atau versi yang lebih lama | Tidak berlaku. Tidak didukung oleh Cloud Load Balancing. |
Pada setiap handshake TLS, klien menunjukkan versi protokol TLS tertinggi yang didukungnya. Server diwajibkan untuk memilih versi protokol tertinggi yang didukung oleh klien dan server serta diizinkan oleh konfigurasi server. Misalnya, jika load balancer dikonfigurasi dengan TLS versi minimum 1.2, handshake dengan klien modern yang mendukung TLS 1.3 akan memilih TLS 1.3. Handshake dengan klien sebelumnya yang hanya mendukung TLS 1.2 menggunakan TLS 1.2. Handshake dengan klien yang lebih awal yang hanya mendukung TLS 1.1 akan gagal.
Tabel berikut mencantumkan fitur kebijakan SSL yang tersedia untuk setiap profil yang telah dikonfigurasi sebelumnya. Semua fitur mengontrol apakah cipher suite tertentu dapat digunakan, dan hanya berlaku untuk koneksi klien yang menggunakan TLS versi 1.2 atau yang lebih lama, bukan untuk klien yang menggunakan QUIC.
Nilai IANA | Fitur | Dalam profil KOMPATIBEL | Dalam profil MODERN | Di profil DIBATASI |
---|---|---|---|---|
0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ♦ | ♦ | ♦ |
0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ♦ | ♦ | ♦ |
0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ♦ | ♦ | ♦ |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ♦ | ♦ | ♦ |
0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ♦ | ♦ | ♦ |
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ♦ | ♦ | ♦ |
0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ♦ | ♦ | |
0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ♦ | ♦ | |
0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ♦ | ♦ | |
0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ♦ | ♦ | |
0x009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | ♦ | ||
0x009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | ♦ | ||
0x002F | TLS_RSA_WITH_AES_128_CBC_SHA | ♦ | ||
0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | ♦ | ||
0x000A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | ♦ |
Update fitur
Kami berhak memperbarui rangkaian fitur yang diaktifkan di profil KOMPATIBEL, MODERN, dan DIBATASI, serta fitur mana yang dapat dikonfigurasi di profil KUSTOM. Kami melakukannya saat kami menghapus dukungan untuk kemampuan SSL lama dan saat kami menambahkan dukungan untuk yang baru.
Saat kami menambahkan fitur yang meningkatkan kemampuan SSL, kami dapat segera mengaktifkannya di profil KOMPATIBEL, MODERN, dan DIBATASI sehingga kebijakan SSL yang memilih profil tersebut dapat menggunakan fitur baru. Namun, jika kebijakan Anda memilih profil KUSTOM, Anda harus mengubah setelan kebijakan untuk menggunakan fitur yang ditambahkan.
Jika kami menghapus kemampuan untuk mengontrol fitur (baik memaksanya mengaktifkan atau memaksanya menonaktifkannya untuk semua kebijakan), kami akan memberikan pemberitahuan awal, kecuali jika penghapusan kontrol diperlukan untuk alasan keamanan.
Batasan
Menonaktifkan versi atau cipher SSL tertentu dapat menyebabkan beberapa klien lama tidak dapat terhubung ke proxy Anda menggunakan HTTPS atau SSL. Menonaktifkan pemilihan cipher yang cukup luas di profil KUSTOM dapat menyebabkan tidak ada klien yang dapat menegosiasikan HTTPS.
Sertifikat SSL yang terkait dengan load balancer Anda menggunakan ECDSA atau tanda tangan digital RSA. Profil yang telah ditentukan kompatibel dengan kedua jenis tanda tangan sertifikat. Profil kustom harus mengaktifkan cipher yang kompatibel dengan tanda tangan digital yang digunakan oleh sertifikat load balancer Anda.
Fitur yang mengontrol cipher suite hanya berlaku untuk koneksi klien yang menggunakan TLS versi 1.2 dan yang lebih lama. Parameter ini tidak mengontrol pemilihan cipher di koneksi yang menggunakan QUIC atau TLS 1.3.
Langkah selanjutnya
- Untuk membuat, mengubah, atau menghapus kebijakan SSL, lihat Menggunakan kebijakan SSL.
- Untuk mengonfigurasi sertifikat SSL, lihat Membuat dan menggunakan sertifikat SSL.