Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizza i criteri SSL per i protocolli SSL e TLS

I criteri SSL specificano l'insieme di funzionalità SSL utilizzate dai bilanciatori del carico di Google Cloud da utilizzare durante la negoziazione di SSL con i client. In questo documento, il termine SSL si riferisce a entrambi i protocolli SSL e TLS.

I criteri SSL sono supportati con i seguenti bilanciatori del carico:

Criteri SSL globali
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico di rete proxy esterno (con un proxy SSL di destinazione)
- Bilanciatore del carico delle applicazioni interno tra regioni
Criteri SSL a livello di regione
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni interno regionale

Per ulteriori informazioni su come funzionano i criteri SSL, vedi Panoramica dei criteri SSL.

Puoi creare e gestire i criteri SSL utilizzando la console Google Cloud oppure Google Cloud CLI quando crei un bilanciatore del carico HTTPS o SSL o in qualsiasi momento dopo aver creato il bilanciatore del carico.

Per elencare, creare e gestire i criteri SSL regionali, assicurati che siano in esecuzione gcloud CLI versione 404 o successive.

Crea criteri SSL

Puoi creare criteri SSL con i profili gestiti da Google o con una profilo.

Crea un criterio SSL con un profilo gestito da Google

Console

Criterio SSL globale

Per creare un criterio SSL globale con un profilo gestito da Google, procedi nel seguente modo seguenti:

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL
Fai clic su Crea criterio.
Fai clic sul pulsante Crea accanto a Criterio SSL globale. La Viene visualizzata la pagina Crea criterio.
Inserisci un Nome.
Seleziona una Versione TLS minima.
Per Profilo, seleziona Compatibile, Moderno o Limitato. Le funzionalità attivate e le funzionalità disattivate per il profilo sono visualizzato sul lato destro della pagina.
Se c'è un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del protocollo SSL . Se necessario, aggiungi altri target.
Fai clic su Crea.

Criterio SSL regionale

Per creare un criterio SSL a livello di regione con un profilo gestito da Google, procedi nel seguente modo seguenti:

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL
Fai clic su Crea criterio.
Fai clic sul pulsante Crea accanto a un Criterio SSL a livello di regione. La Viene visualizzata la pagina Crea criterio.
Inserisci un Nome.
Seleziona una Regione.
Seleziona una Versione TLS minima.
Per Profilo, seleziona Compatibile, Moderno o Limitato. Le funzionalità attivate e le funzionalità disattivate per il profilo sono visualizzato sul lato destro della pagina.
Se c'è un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del protocollo SSL . Se necessario, aggiungi altri target.
Fai clic su Crea.

gcloud

Criterio SSL globale

Di seguito è riportata la sintassi generale per la creazione di un criterio SSL globale con un Profilo gestito da Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2

Il comando seguente crea un criterio SSL globale con il profilo MODERN:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Criterio SSL regionale

Di seguito è riportata la sintassi generale per la creazione di un criterio SSL a livello di regione con un profilo gestito da Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

Il comando seguente crea un criterio SSL a livello di regione con il token COMPATIBLE profilo:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Crea un criterio SSL con un profilo personalizzato

Console

Criterio SSL globale

Per creare un criterio SSL globale con un profilo personalizzato:

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL
Fai clic su Crea criterio.
Fai clic sul pulsante Crea accanto a Criterio SSL globale. La Viene visualizzata la pagina Crea criterio.
Inserisci un Nome.
Seleziona una Versione TLS minima.
In Profilo, seleziona Personalizzato. Tutte le funzionalità sono contrassegnate dalla dicitura Funzionalità disattivate sul lato destro della .
Nell'elenco Funzionalità, seleziona ogni suite di crittografia che vuoi abilitare. Le suite di crittografia attivate sono elencate come Funzionalità abilitate.
Se c'è un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del protocollo SSL . Se necessario, aggiungi altri target.
Fai clic su Crea.

Criterio SSL regionale

Per creare un criterio SSL regionale con un profilo personalizzato, procedi nel seguente modo: seguenti:

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL
Fai clic su Crea criterio.
Fai clic sul pulsante Crea accanto a un Criterio SSL a livello di regione. La Viene visualizzata la pagina Crea criterio.
Inserisci un Nome.
Seleziona una Regione.
Seleziona una Versione TLS minima.
In Profilo, seleziona Personalizzato. Tutte le funzionalità sono contrassegnate dalla dicitura Funzionalità disattivate sul lato destro della .
Nell'elenco Funzionalità, seleziona ogni suite di crittografia che vuoi abilitare. Le suite di crittografia attivate sono elencate come Funzionalità abilitate.
Se c'è un bilanciatore del carico a cui vuoi collegare il criterio, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione del protocollo SSL . Se necessario, aggiungi altri target.
Fai clic su Crea.

gcloud

Quando crei un criterio SSL con il profilo CUSTOM, solo le funzionalità che specificate nel comando create sono supportate. Le altre funzionalità non sono supportati.

Criterio SSL globale

Di seguito è riportata la sintassi generale per la creazione di un criterio SSL globale con un profilo personalizzato:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

L'esempio seguente crea un criterio SSL globale con il profilo CUSTOM con versione TLS minima 1.2 e funzionalità TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Criterio SSL regionale

Di seguito è riportata la sintassi generale per la creazione di un criterio SSL a livello di regione con un profilo personalizzato:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

L'esempio seguente crea un criterio SSL regionale con il profilo CUSTOM con versione TLS minima 1.2 e funzionalità TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Elenca criteri SSL

Console

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL

Puoi visualizzare un elenco di tutti i criteri SSL disponibili. Il campo Ambito indica se il criterio SSL è globale o regionale.

gcloud

Per elencare i criteri SSL globali e regionali, esegui:

  gcloud compute ssl-policies list

Per elencare solo i criteri SSL globali, esegui:

  gcloud compute ssl-policies list --global

Per elencare solo i criteri SSL a livello di regione, esegui:

  gcloud compute ssl-policies list --regions REGION

Elenco delle funzionalità disponibili in un criterio SSL

Console

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL
Fai clic sul nome della norma di cui vuoi visualizzare le funzionalità. Le suite di crittografia attivate e disattivate sono elencate sul lato destro della della pagina.

gcloud

Per elencare le funzionalità disponibili nei criteri SSL globali:

gcloud compute ssl-policies list-available-features

Per elencare le funzionalità disponibili nei criteri SSL a livello di regione:

gcloud compute ssl-policies list-available-features \
    --region REGION

Modifica criteri SSL

Console

Per modificare un criterio SSL globale o regionale, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Criteri SSL.

Vai ai criteri SSL
Fai clic sul nome della norma da modificare.
Fai clic su Modifica.
Apporta le modifiche desiderate.
Fai clic su Salva.

gcloud

Per modificare un criterio SSL esistente, passa uno o tutti i flag corrispondenti ai campi che vuoi aggiornare. I campi non specificati non vengono aggiornati.

Se aggiorni le funzionalità, quelle attivate in precedenza vengono eliminate e sostituite con le nuove caratteristiche specificate.

Criteri SSL globali

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    --custom-features FEATURES

Criteri SSL a livello di regione

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Crea un proxy di destinazione con un criterio SSL

Console

Puoi creare un proxy di destinazione utilizzando la console Google Cloud creando o aggiornando il bilanciatore del carico come mostrato nei seguenti documenti:

gcloud

Per creare un proxy SSL di destinazione con un criterio SSL globale:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
  --backend-service BACKEND_SERVICE_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --ssl-policy SSL_POLICY_NAME

Per creare un proxy HTTPS di destinazione globale con un criterio SSL globale:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --ssl-policy SSL_POLICY_NAME

Per creare un proxy HTTPS di destinazione a livello di regione con un criterio SSL a livello di regione:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Collega un criterio SSL esistente a un proxy di destinazione esistente

Console

gcloud

Utilizza questi comandi per collegare un criterio SSL esistente a un proxy SSL o a un protocollo HTTPS proxy.

Per trovare tutti i progetti nella tua organizzazione che dispongono di proxy SSL di destinazione:

gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetSslProxy

Per trovare tutti i progetti nella tua organizzazione che hanno proxy HTTPS di destinazione:

gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

Per elencare tutti i proxy SSL di destinazione globali in un progetto, utilizza targetSslProxies.aggregatedList. Quindi, usa la query filter. per cercare proxy SSL di destinazione che non fanno riferimento a un protocollo SSL .

curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

Per elencare tutti i proxy HTTPS di destinazione globali e a livello di regione in un progetto, utilizza Metodo targetHttpsProxies.aggregatedList con la query includeAllScopes impostato su true. Poi, utilizza il parametro di query filter per cercare per i proxy HTTPS di destinazione che non fanno riferimento a un criterio SSL.
```
curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed
```

Per collegare un criterio SSL globale esistente a un proxy SSL di destinazione:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

Per collegare un criterio SSL globale esistente a un proxy HTTPS di destinazione globale:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

Per collegare un criterio SSL regionale esistente a un proxy HTTPS di destinazione a livello di regione:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Se non fornisci il flag --ssl-policy o --clear-ssl-policy in un aggiornamento del proxy di destinazione (ad esempio, durante l'aggiornamento di un certificato SSL), Il criterio SSL non è stato modificato. Il flag --clear-ssl-policy viene descritto nella sezione Eliminare un criterio SSL da un proxy di destinazione.

API

Per impostare un criterio SSL globale per un proxy di destinazione globale, utilizza il metodo targetHttpsProxies.patch .

Per impostare un criterio SSL a livello di regione per un proxy di destinazione a livello di regione, utilizza il metodo regionTargetHttpsProxies.patch .

Elimina un criterio SSL da un proxy di destinazione

Console

gcloud

Utilizza questi comandi per rimuovere un criterio SSL da un proxy SSL o da un carico HTTPS con il bilanciatore del carico di rete passthrough esterno regionale. Se non colleghi un criterio SSL diverso al proxy di destinazione, utilizza il criterio SSL predefinito. Utilizzo di --clear-ssl-policy equivale a sostituire un criterio SSL con il criterio SSL predefinito.

Per rimuovere un criterio SSL globale da un proxy SSL di destinazione:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Per rimuovere un criterio SSL globale da un proxy HTTPS di destinazione globale:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Per rimuovere un criterio SSL a livello di regione da un proxy HTTPS di destinazione a livello di regione:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Quando fornisci il flag --clear-ssl-policy nel comando di aggiornamento, il protocollo SSL viene rimosso dal proxy.

Se non fornisci il flag --clear-ssl-policy o --ssl-policy nell'aggiornamento del proxy di destinazione (ad esempio, durante l'aggiornamento di un ), il criterio SSL rimane invariato. Il flag --ssl-policy è descritto in Collegare un criterio SSL esistente a un proxy di destinazione esistente.

Aggiorna i criteri SSL esistenti collegati ai proxy di destinazione

Se utilizzi vincoli personalizzati per limitare TLS di archiviazione, controllare manualmente la conformità TLS nei criteri SSL preesistenti per scegliere come target i proxy SSL e HTTPS.

Per trovare e aggiornare i criteri SSL che non soddisfano le tue obiettivi di sicurezza. Per trovare e aggiornare le risorse, puoi utilizzare Cloud Asset Inventory e Explorer API di Google.

Per trovare tutti i progetti nella tua organizzazione che dispongono di risorse dei criteri SSL:

gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy

Per elencare tutti i criteri SSL globali e regionali in un progetto, utilizza Metodo sslPolicies.aggregatedList con la query includeAllScopes impostato su true. Poi, utilizza il parametro di query filter per cercare per i criteri SSL che non sono in linea con i tuoi obiettivi di sicurezza.

Ad esempio, per trovare i criteri SSL con una versione TLS precedente a 1.2, utilizza il metodo filtro minTlsVersion="TLS_1_0" OR minTlsVersion="TLS_1_1":
```
curl \

    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed
```
Per ottenere la tua chiave API, consulta Autenticazione tramite API chiave. Per ottenere il token di accesso, utilizza la projects.serviceAccounts.generateAccessToken.

Per aggiornare i criteri SSL globali che non soddisfano i tuoi obiettivi di sicurezza:

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --global

Per aggiornare i criteri SSL a livello di regione che non soddisfano i tuoi obiettivi di sicurezza:

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region=REGION

Per i proxy target SSL e HTTPS, consulta l'articolo Collegare un criterio SSL esistente a un proxy di destinazione esistente. Ripeti i comandi finché non vedi un risposta vuota da targetSslProxies.list o Metodo targetHttpsProxies.aggregatedList.

Limiti

Vedi quote e limiti dei bilanciatori del carico.

Riferimento API

Per le descrizioni delle proprietà e dei metodi a tua disposizione quando lavori. con i criteri SSL mediante l'API REST, consulta le seguenti risorse:

Prodotto	Documentazione dell'API
Bilanciatore del carico delle applicazioni esterno globale Bilanciatore del carico delle applicazioni classico Bilanciatore del carico delle applicazioni interno tra regioni Bilanciatore del carico di rete proxy esterno globale Bilanciatore del carico di rete proxy classico	sslPolicies
Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico delle applicazioni interno regionale	regionSslPolicies

Riferimento per l'interfaccia a riga di comando gcloud

Per riferimento a Google Cloud CLI, consulta quanto segue:

gcloud compute ssl-policies
- A livello mondiale: --global
- Regionale: --region=[REGION]

Passaggi successivi

Per informazioni concettuali sui criteri SSL, consulta Criteri SSL per i protocolli SSL e TLS.
Per informazioni sui bilanciatori del carico di rete proxy esterni, vedi Bilanciatore del carico di rete proxy esterno Panoramica.
Per informazioni sui bilanciatori del carico delle applicazioni esterni, vedi Bilanciatore del carico delle applicazioni esterno Panoramica.