Descripción general de las políticas de SSL

Las políticas de SSL te permiten controlar las características de SSL que el balanceador de cargas del proxy SSL de Google Cloud o el balanceador de cargas de HTTP(S) externo negocia con los clientes. En este documento, el término SSL hace referencia a los protocolos SSL y TLS.

De forma predeterminada, el balanceo de cargas de HTTP(S) y el balanceo de cargas de proxy SSL usan un conjunto de características de SSL que proporciona una seguridad sólida y una compatibilidad amplia. Algunas aplicaciones requieren más control sobre los cifrados y las versiones de SSL que se usan para las conexiones HTTPS o SSL. Puedes definir las políticas de SSL para controlar las características de SSL que el balanceador de cargas negocia con los clientes.

En el siguiente ejemplo, se muestra cómo se establecen y finalizan las conexiones de clientes en un balanceador de cargas.

Conexiones de cliente en un balanceador de cargas de HTTP(S) externo o un balanceador de cargas de proxy SSL (haz clic para ampliar)
Conexiones de cliente en un balanceador de cargas de HTTP(S) externo o un balanceador de cargas de proxy SSL (haz clic para ampliar)

Puedes usar una política de SSL para configurar la versión mínima de TLS y las características de SSL habilitadas en el balanceador de cargas. Las políticas de SSL afectan las conexiones entre los clientes y el balanceador de cargas (Connection-1 en la ilustración). Las políticas de SSL no afectan las conexiones entre el balanceador de cargas y los backends (Connection-2).

Puedes usar las políticas de SSL con el balanceo de cargas de HTTP(S) y el balanceo de cargas de proxy SSL, pero no el balanceo de cargas de HTTP(S) interno. Para obtener más información, consulta Características del balanceador de cargas: seguridad.

Define una política de SSL

Para definir una política de SSL, especifica una versión mínima de TLS y un perfil. El perfil selecciona un conjunto de características de SSL para habilitar en el balanceador de cargas. Tres perfiles administrados por Google te permiten especificar el nivel de compatibilidad adecuado para la aplicación. Un cuarto perfil personalizado te permite seleccionar características de SSL de forma individual.

Los tres perfiles preconfigurados son los siguientes:

  • COMPATIBLE: permite que el conjunto más amplio de clientes, incluidos aquellos que solo admiten características de SSL desactualizadas, negocien SSL con el balanceador de cargas.
  • MODERNO: admite un amplio conjunto de características de SSL, lo que permite que los clientes modernos negocien SSL.
  • RESTRINGIDO: admite un conjunto reducido de características de SSL con la intención de cumplir con requisitos de cumplimiento más estrictos.

La política de SSL también especifica la versión mínima del protocolo TLS que los clientes pueden usar para establecer una conexión. Un perfil también puede restringir las versiones de TLS que el balanceador de cargas puede negociar. Por ejemplo, los cifrados habilitados en el perfil RESTRINGIDO solo son compatibles con TLS 1.2. Elegir el perfil RESTRINGIDO requiere que los clientes usen TLS 1.2 sin importar la versión mínima elegida de TLS.

Si no eliges uno de los tres perfiles preconfigurados ni creas una política de SSL personalizada, el balanceador de cargas usa la política de SSL predeterminada. La política de SSL predeterminada es equivalente a una política de SSL que usa el perfil COMPATIBLE con una versión mínima de TLS de 1.0.

Puedes adjuntar una política de SSL a más de un proxy. No puedes configurar más de una política de SSL para un proxy en particular.

Los balanceadores de cargas de proxy SSL y los balanceadores de cargas de HTTP(S) externos no son compatibles con las versiones de SSL 3.0 o anteriores. En la siguiente tabla, se describe la compatibilidad de características para cada versión de TLS/SSL.

Versión de TLS/SSL Compatibilidad de características
TLS 1.0, 1.1, o 1.2 Configuración en las políticas de SSL que controla los conjuntos de cifrado que se aplican a las conexiones del cliente.
TLS 1.3 Configuración en las políticas de SSL que no controla la selección de cifrado. TLS 1.3 solo admite cifrados TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384 y TLS_CHACHA20_POLY1305_SHA256.
QUIC Configuración en las políticas de SSL que no controla la selección de cifrado.
SSL 3.0 o versiones anteriores No aplicable. No es compatible con Cloud Load Balancing.

En la siguiente tabla, se detallan las características de políticas de SSL disponibles para cada perfil preconfigurado. Todas las características controlan si se pueden usar conjuntos de cifrados particulares, y se aplican solo a las conexiones de clientes que usan la versión de TLS 1.2 o anterior, no a clientes que usan QUIC.

Característica En el perfil COMPATIBLE En perfil MODERNO En perfil RESTRINGIDO
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Actualizaciones de características

Nos reservamos el derecho de actualizar el conjunto de características habilitadas en los perfiles COMPATIBLE, MODERNO y RESTRINGIDO, así como qué características son configurables en el perfil PERSONALIZADO. Esto lo haremos a medida que quitemos la compatibilidad con las capacidades de SSL anteriores y agreguemos compatibilidad con las más nuevas.

Cuando agregamos características que mejoran las capacidades de SSL, podemos habilitarlas de inmediato en los perfiles COMPATIBLE, MODERNO y RESTRINGIDO para que las políticas de SSL que seleccionan esos perfiles puedan usar las características nuevas. Sin embargo, si la política selecciona el perfil PERSONALIZADO, debes modificar la configuración de la política para usar las características agregadas.

Cuando quitamos la capacidad de controlar una característica (ya sea si se la activa o desactiva a la fuerza en todas las políticas), proporcionamos un aviso anticipado, excepto cuando es necesario quitar el control por motivos de seguridad.

Advertencias

Si inhabilitas determinadas versiones o cifrados de SSL, es posible que algunos clientes antiguos no puedan conectarse al proxy mediante HTTPS o SSL. Si inhabilitas una selección bastante amplia de cifrados en el perfil PERSONALIZADO, es posible que ningún cliente pueda negociar HTTPS.

Un certificado SSL asociado con el balanceador de cargas usa una firma digital ECDSA o RSA. Los perfiles predefinidos son compatibles con ambos tipos de firmas de certificados. Un perfil personalizado debe habilitar cifrados que sean compatibles con la firma digital que usan los certificados de tu balanceador de cargas.

Las características que controlan los conjuntos de cifrado solo se aplican a las conexiones de clientes que usan versiones TLS 1.2 y anteriores. No controlan la selección de cifrado en conexiones que usan QUIC o TLS 1.3.

Próximos pasos