SSL-Richtlinien – Übersicht

Mit SSL-Richtlinien können Sie die Features von SSL steuern, die Ihr SSL-Proxy-Load-Balancer von Google Cloud oder Ihr externer HTTP(S)-Load-Balancer mit Clients aushandelt. In diesem Dokument bezieht sich der Begriff SSL sowohl auf das SSL- als auch auf das TLS-Protokoll.

Standardmäßig verwenden HTTPS-Load-Balancing und SSL-Proxy-Load-Balancing eine Reihe von SSL-Features, die eine hohe Sicherheit und umfassende Kompatibilität bieten. Einige Anwendungen erfordern mehr Kontrolle darüber, welche SSL-Versionen und -Chiffren für ihre HTTPS- oder SSL-Verbindungen verwendet werden. Sie können SSL-Richtlinien definieren, um die SSL-Features zu steuern, die der Load-Balancer mit Clients aushandelt.

Das folgende Beispiel zeigt, wie Verbindungen von Clients zu einem Load-Balancer hergestellt und beendet werden.

Clientverbindungen in einem externen HTTP(S)-Load-Balancer oder SSL-Proxy-Load-Balancer (zum Vergrößern klicken)
Clientverbindungen in einem externen HTTP(S)-Load-Balancer oder SSL-Proxy-Load-Balancer (zum Vergrößern klicken)

Sie können eine SSL-Richtlinie verwenden, um die Mindest-TLS-Version und die SSL-Features zu konfigurieren, die im Load-Balancer aktiviert sind. SSL-Richtlinien haben Auswirkungen auf Verbindungen zwischen Clients und dem Load-Balancer (Verbindung-1 in der Abbildung). SSL-Richtlinien haben keine Auswirkungen auf die Verbindungen zwischen dem Load-Balancer und den Back-Ends (Verbindung 2).

Sie können SSL-Richtlinien mit HTTP(S)-Load-Balancing und SSL-Proxy-Load-Balancing verwenden, aber nicht mit internem HTTP(S)-Load-Balancing. Weitere Informationen finden Sie unter Load-Balancer-Features: Sicherheit.

SSL-Richtlinie definieren

Geben Sie eine Mindestversion für TLS und ein Profil an, um eine SSL-Richtlinie zu definieren. Über das Profil werden eine Reihe von SSL-Funktionen ausgewählt, die im Lastenausgleichsmodul aktiviert werden sollen. Mit drei von Google verwalteten Profilen können Sie das Kompatibilitätsniveau für Ihre Anwendung festlegen. Mit einem vierten benutzerdefinierten Profil können Sie SSL-Features einzeln auswählen.

Die drei vorkonfigurierten Profile sind:

  • KOMPATIBEL: Ermöglicht der umfassendsten Gruppe von Clients, einschließlich Clients, die nur veraltete SSL-Features unterstützen, SSL mit dem Load-Balancer auszuhandeln.
  • MODERN: Unterstützt eine breite Palette von SSL-Features, mit denen moderne Clients SSL aushandeln können.
  • EINGESCHRÄNKT: Unterstützt eine reduzierte Anzahl von SSL-Features, die strengere Compliance-Anforderungen erfüllen sollen.

Die SSL-Richtlinie gibt außerdem die Mindestversion des TLS-Protokolls an, die Clients zum Herstellen einer Verbindung verwenden können. Ein Profil kann auch die Versionen von TLS einschränken, die das Lastenausgleichsmodul aushandeln kann. Zum Beispiel werden Chiffres, die im Profil EINGESCHRÄNKT aktiviert sind, nur von TLS 1.2 unterstützt. Wenn Sie das Profil EINGESCHRÄNKT auswählen, müssen Clients unabhängig von der gewählten Mindestversion für TLS tatsächlich TLS 1.2 verwenden.

Wenn Sie keines der drei vorkonfigurierten Profile auswählen oder eine benutzerdefinierte SSL-Richtlinie erstellen, verwendet der Load-Balancer die Standard-SSL-Richtlinie. Die SSL-Standardrichtlinie entspricht einer SSL-Richtlinie, die das Profil KOMPATIBEL mit einer TLS-Mindestversion von TLS 1.0 verwendet.

Sie können eine SSL-Richtlinie an mehrere Proxies anhängen. Pro Proxy können Sie jedoch nicht mehr als eine SSL-Richtlinie konfigurieren.

SSL-Proxy-Load-Balancer und externe HTTP(S)-Load-Balancer unterstützen keine SSL-Versionen 3.0 oder früher. In der folgenden Tabelle werden die unterstützten Funktionen für jede TLS/SSL-Version aufgelistet.

TLS-/SSL-Version Funktionsunterstützung
TLS 1.0, 1.1 oder 1.2 Einstellungen in SSL-Richtlinien steuern die Chiffresammlungen, die für Clientverbindungen gelten.
TLS 1.3 Einstellungen in SSL-Richtlinien steuern die Auswahl der Chiffre nicht. TLS 1.3 unterstützt nur die Chiffren "TLS_AES_128_GCM_SHA256", "TLS_AES_256_GCM_SHA384" und "TLS_CHACHA20_POLY1305_SHA256".
QUIC Einstellungen in SSL-Richtlinien steuern die Auswahl der Chiffre nicht.
SSL 3.0 oder älter Nicht zutreffend. Wird von Cloud Load Balancing nicht unterstützt.

In der folgenden Tabelle sind die verfügbaren SSL-Richtlinienfunktionen für jedes vorkonfigurierte Profil aufgeführt. Alle Features steuern, ob bestimmte Chiffresammlungen verwendet werden können, und gelten nur für Clientverbindungen, die TLS Version 1.2 oder früher verwenden, nicht für Clients, die QUIC verwenden.

Option Im Profil KOMPATIBEL Im Profil MODERN Im Profil EINGESCHRÄNKT
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Featureaktualisierungen

Wir behalten uns das Recht vor, die in den Profilen KOMPATIBEL, MODERN und EINGESCHRÄNKT aktivierten Features und die in einem BENUTZERDEFINIERTEN Profil konfigurierbaren Features zu aktualisieren. Diese Aktualisierungen erfolgen, wenn wird die Unterstützung für ältere SSL-Funktionen entfernen und Unterstützung für neuere SSL-Funktionen hinzufügen.

Wenn wir Features zur Verbesserung der SSL-Funktionen hinzufügen, können wir diese sofort in den Profilen KOMPATIBEL, MODERN und EINGESCHRÄNKT aktivieren, sodass SSL-Richtlinien, die diese Profile auswählen, die neuen FEATURES verwenden können. Wenn Ihre Richtlinie jedoch das BENUTZERDEFINIERTE Profil auswählt, müssen Sie die Einstellungen der Richtlinie ändern, um die hinzugefügten Features zu verwenden.

Wir kündigen im Voraus an, wenn wir die Möglichkeit zur Steuerung eines Features (durch erzwungene Aktivierung/Deaktivierung für alle Richtlinien) entfernen, es sei denn, das Entfernen der Steuerungsmöglichkeit ist aus Sicherheitsgründen erforderlich.

Vorsichtsmaßnahmen

Das Deaktivieren bestimmter SSL-Versionen oder -Chiffres kann dazu führen, dass einige ältere Clients keine Verbindung über HTTPS oder SSL zu Ihrem Proxy herstellen können. Wenn zu viele Chiffres im Profil BENUTZERDEFINIERT deaktiviert werden, kann möglicherweise kein Client eine HTTPS-Verbindung aushandeln.

Ein SSL-Zertifikat, das Ihrem Load-Balancer zugeordnet ist, verwendet entweder eine digitale ECDSA- oder eine digitale RSA-Signatur. Die vordefinierten Profile sind mit beiden Arten von Zertifikatsignaturen kompatibel. In einem benutzerdefinierten Profil sollten Chiffres aktiviert werden, die mit der digitalen Signatur kompatibel sind, die von den Zertifikaten Ihres Lastenausgleichsmoduls verwendet wird.

Die Funktionen, die Chiffresammlungen steuern, gelten nur für Clientverbindungen, die TLS in der Version 1.2 und älter verwenden. Sie steuern nicht die Chiffreauswahl in Verbindungen, die QUIC oder TLS 1.3 verwenden.

Nächste Schritte