Descripción general de las políticas de SSL

Las políticas de SSL te permiten controlar las funciones de SSL que el balanceador de cargas del proxy SSL de Google Cloud o el balanceador de cargas HTTP(S) externo negocia con los clientes. En este documento, el término SSL se refiere a los protocolos SSL y TLS.

De forma predeterminada, el Balanceo de cargas HTTP(S) y el Balanceo de cargas del proxy SSL usan un conjunto de características de SSL que proporcionan una buena seguridad y una amplia compatibilidad. Algunas aplicaciones requieren más control sobre los algoritmos de cifrados y las versiones de SSL que se usan para sus conexiones HTTPS o SSL. Puedes definir políticas de SSL para controlar las características de SSL que tu balanceador de cargas negocia con los clientes.

En el siguiente ejemplo, se muestra cómo se establecen y finalizan las conexiones de los clientes en un balanceador de cargas.

Conexiones de cliente en un balanceador de cargas HTTP(S) externo o balanceador de cargas de proxy SSL (haz clic para ampliar)
Conexiones de cliente en un balanceador de cargas HTTP(S) externo o balanceador de cargas proxy SSL (haz clic para ampliar)

Puedes usar una política de SSL para configurar la versión mínima de TLS y las características de SSL habilitadas en el balanceador de cargas. Las políticas de SSL afectan las conexiones entre los clientes y el balanceador de cargas (conexión 1 en la ilustración). Las políticas de SSL no afectan las conexiones entre el balanceador de cargas y los backends (conexión 2).

Puedes usar políticas de SSL con el balanceo de cargas HTTP(S) y el balanceo de cargas de proxy SSL, pero no con el balanceo de cargas HTTP(S) interno. Para obtener más información, consulta Características del balanceador de cargas: Seguridad.

Define una política de SSL

Para definir una política de SSL, especifica una versión mínima de TLS y un perfil. El perfil selecciona un conjunto de características de SSL para habilitar en el balanceador de cargas. Tres perfiles administrados por Google te permiten especificar el nivel de compatibilidad apropiado para tu aplicación. Un cuarto perfil personalizado te permite seleccionar características de SSL de forma individual.

Los tres perfiles preconfigurados son los siguientes:

  • COMPATIBLE permite que el conjunto más amplio de clientes, incluidos aquellos que solo admiten características de SSL desactualizadas, negocien SSL con el balanceador de cargas.
  • MODERNO admite un amplio conjunto de características de SSL, lo que permite que los clientes modernos negocien SSL.
  • RESTRINGIDO admite un conjunto reducido de características de SSL con la intención de satisfacer requisitos de cumplimiento más estrictos.

La política de SSL también especifica la versión mínima del protocolo TLS que los clientes pueden usar para establecer una conexión. Un perfil también puede restringir las versiones de TLS que el balanceador de cargas puede negociar. Por ejemplo, los cifrados habilitados en el perfil RESTRINGIDO solo son compatibles con TLS 1.2. Elegir el perfil RESTRINGIDO requiere que los clientes usen TLS 1.2 sin importar la versión mínima elegida de TLS.

Si no eliges uno de los tres perfiles preconfigurados ni creas una política de SSL personalizada, el balanceador de cargas usa la política de SSL predeterminada. La política de SSL predeterminada es equivalente a una política de SSL que usa el perfil COMPATIBLE con una versión mínima de TLS 1.0.

Puedes adjuntar una política de SSL a más de un proxy. No puedes configurar más de una política de SSL para un proxy particular.

Los balanceadores de cargas del proxy SSL y los balanceadores de cargas HTTP(S) externos no son compatibles con las versiones SSL 3.0 o anteriores. En la siguiente tabla, se describe la compatibilidad de características para cada versión de TLS/SSL.

Versión de TLS/SSL Compatibilidad de funciones
TLS 1.0, 1.1 o 1.2 Configuración en las políticas de SSL que controla los conjuntos de cifrado aplicados a las conexiones del cliente.
TLS 1.3 Configuración en las políticas de SSL que no controla la selección de cifrado. TLS 1.3 solo admite los cifrados "TLS_AES_128_GCM_SHA256", "TLS_AES_256_GCM_SHA384" y "TLS_CHACHA20_POLY1305_SHA256".
QUIC Configuración en las políticas de SSL que no controla la selección de cifrado.
SSL 3.0 o versiones anteriores No aplicable No es compatible con Cloud Load Balancing.

En la siguiente tabla, se detallan las características de políticas de SSL disponibles para cada perfil preconfigurado. Todas las características controlan si se pueden usar conjuntos de cifrado específicos y se aplican solo a las conexiones de cliente que usan TLS versión 1.2 o anterior, no a los clientes que usan QUIC.

Función En el perfil COMPATIBLE En perfil MODERNO En perfil RESTRINGIDO
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Actualizaciones de características

Nos reservamos el derecho de actualizar el conjunto de características habilitadas en los perfiles COMPATIBLES, MODERNOS y RESTRINGIDOS, así como las características que se pueden configurar en un perfil PERSONALIZADO. Esto se debe a que quitamos la compatibilidad con las funciones de SSL anteriores y agregamos la compatibilidad con las más nuevas.

Cuando agregamos funciones que mejoran las capacidades de SSL, podemos habilitarlas de inmediato en los perfiles COMPATIBLES, MODERNOS y RESTRINGIDOS para que las políticas de SSL que seleccionen esos perfiles puedan usar las nuevas funciones. Sin embargo, si tu política selecciona el perfil PERSONALIZADO, debes modificar la configuración de la política para usar las características agregadas.

Cuando quitamos la capacidad de controlar una característica (forzándola o desactivándola para todas las políticas), proporcionamos un aviso anticipado, excepto cuando es necesario quitar el control por motivos de seguridad.

Advertencias

Si inhabilitas determinadas versiones o cifrados de SSL, es posible que algunos clientes antiguos, no puedan conectarse a tu proxy mediante HTTPS o SSL. Si inhabilitas una selección bastante amplia de cifrados en el perfil PERSONALIZADO, es posible que ningún cliente pueda negociar HTTPS.

Un certificado SSL asociado con tu balanceador de cargas usa una firma digital ECDSA o RSA. Los perfiles predefinidos son compatibles con ambos tipos de firmas de certificados. Un perfil personalizado debe habilitar cifrados que sean compatibles con la firma digital que usan los certificados de tu balanceador de cargas.

Las características que controlan los conjuntos de cifrado solo se aplican a las conexiones de clientes que usan TLS 1.2 y versiones anteriores. No controlan la selección de cifrado en conexiones que usan QUIC o TLS 1.3.

Qué sigue