Menggunakan kebijakan SSL untuk protokol SSL dan TLS

Kebijakan SSL menentukan kumpulan fitur SSL yang digunakan load balancer Google Cloud saat menegosiasikan SSL dengan klien. Dalam dokumen ini, istilah SSL mengacu pada protokol SSL dan TLS.

Kebijakan SSL didukung dengan load balancer berikut:

  • Kebijakan SSL global
    • Load Balancer Aplikasi eksternal global
    • Load Balancer Aplikasi Klasik
    • Load Balancer Jaringan proxy eksternal (dengan proxy SSL target)
    • Load Balancer Aplikasi internal lintas region
  • Kebijakan SSL regional
    • Load Balancer Aplikasi eksternal regional
    • Load Balancer Aplikasi internal regional

Untuk informasi selengkapnya tentang cara kerja kebijakan SSL, lihat Ringkasan kebijakan SSL.

Anda dapat membuat dan mengelola kebijakan SSL menggunakan konsol Google Cloud atau Google Cloud CLI saat membuat load balancer HTTPS atau SSL atau kapan saja setelah membuat load balancer.

Membuat kebijakan SSL

Anda dapat membuat kebijakan SSL dengan profil yang dikelola Google atau dengan profil kustom.

Membuat kebijakan SSL dengan profil yang dikelola Google

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil yang dikelola Google, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Kebijakan SSL global, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.

  4. Masukkan Nama.

  5. Pilih Minimum TLS Version.

  6. Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.

  7. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  8. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil yang dikelola Google, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.

  4. Masukkan Nama.

  5. Pilih Region.

  6. Pilih Minimum TLS Version.

  7. Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.

  8. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  9. Klik Create.

gcloud

Kebijakan SSL global

Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil yang dikelola Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2

Perintah berikut akan membuat kebijakan SSL global dengan profil MODERN:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil yang dikelola Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

Perintah berikut akan membuat kebijakan SSL regional dengan profil COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Membuat kebijakan SSL dengan profil kustom

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil kustom, lakukan langkah berikut:

  1. Di konsol Google Cloud, buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Kebijakan SSL global, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.

  4. Masukkan Nama.

  5. Pilih Minimum TLS Version.

  6. Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sebelah kanan halaman.

  7. Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Suite cipher yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.

  8. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  9. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil kustom, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.

  4. Masukkan Nama.

  5. Pilih Region.

  6. Pilih Minimum TLS Version.

  7. Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sebelah kanan halaman.

  8. Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Suite cipher yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.

  9. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  10. Klik Create.

gcloud

Saat Anda membuat kebijakan SSL dengan profil CUSTOM, hanya fitur yang Anda tentukan dalam perintah create yang didukung. Fitur lainnya tidak didukung.

Kebijakan SSL global

Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

Contoh berikut membuat kebijakan SSL global dengan profil CUSTOM dengan versi TLS minimum 1.2 dan fitur TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dan TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Contoh berikut membuat kebijakan SSL regional dengan profil CUSTOM dengan versi TLS minimum 1.2 dan fitur TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dan TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Membuat daftar kebijakan SSL

Konsol

Di konsol Google Cloud, buka halaman SSL policies.

Buka kebijakan SSL

Anda dapat melihat daftar semua kebijakan SSL yang tersedia. Kolom Cakupan menunjukkan apakah kebijakan SSL bersifat global atau regional.

gcloud

Untuk mencantumkan kebijakan SSL global dan regional, jalankan:

  gcloud compute ssl-policies list

Untuk hanya mencantumkan kebijakan SSL global, jalankan:

  gcloud compute ssl-policies list --global

Untuk hanya mencantumkan kebijakan SSL regional, jalankan:

  gcloud compute ssl-policies list --regions REGION

Mencantumkan fitur yang tersedia dalam kebijakan SSL

Konsol

  1. Di konsol Google Cloud, buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang fiturnya ingin Anda lihat. Cipher suite yang diaktifkan dan dinonaktifkan dicantumkan di sisi kanan halaman.

gcloud

Untuk mencantumkan fitur yang tersedia di kebijakan SSL global:

gcloud compute ssl-policies list-available-features

Untuk mencantumkan fitur yang tersedia di kebijakan SSL regional:

gcloud compute ssl-policies list-available-features \
    --region REGION

Mengubah kebijakan SSL

Konsol

Untuk mengubah kebijakan SSL global atau regional, lakukan tindakan berikut:

  1. Di konsol Google Cloud, buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang ingin Anda ubah.

  3. Klik Edit.

  4. Buat perubahan yang Anda inginkan.

  5. Klik Simpan.

gcloud

Untuk mengubah kebijakan SSL yang ada, teruskan salah satu atau semua tanda yang sesuai dengan kolom yang ingin Anda perbarui. Kolom yang tidak ditentukan tidak akan diperbarui.

Jika Anda mengupdate fitur, fitur yang sebelumnya diaktifkan akan dihapus dan diganti dengan fitur baru yang Anda tentukan.

Kebijakan SSL global

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    --custom-features FEATURES

Kebijakan SSL regional

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Membuat proxy target dengan kebijakan SSL

Konsol

Anda dapat membuat proxy target menggunakan konsol Google Cloud saat membuat atau memperbarui load balancer seperti yang ditunjukkan dalam dokumen berikut:

gcloud

Untuk membuat proxy SSL target dengan kebijakan SSL global:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
  --backend-service BACKEND_SERVICE_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --ssl-policy SSL_POLICY_NAME

Untuk membuat proxy HTTPS target global dengan kebijakan SSL global:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
  --ssl-certificate SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --ssl-policy SSL_POLICY_NAME

Untuk membuat proxy HTTPS target regional dengan kebijakan SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Melampirkan kebijakan SSL yang ada ke proxy target yang ada

Konsol

gcloud

Gunakan perintah ini untuk melampirkan kebijakan SSL yang ada ke proxy SSL atau proxy HTTPS.

  • Untuk menemukan semua project di organisasi Anda yang memiliki proxy SSL target:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/TargetSslProxy
    
  • Untuk menemukan semua project di organisasi Anda yang memiliki proxy HTTPS target:

    gcloud asset search-all-resources \
        --scope=organizations/ORGANIZATION_ID \
        --asset-types=compute.googleapis.com/TargetHttpsProxy
    
  • Untuk mencantumkan semua proxy SSL target global dalam project, gunakan metode targetSslProxies.aggregatedList. Kemudian, gunakan parameter kueri filter untuk menelusuri proxy SSL target yang tidak mereferensikan kebijakan SSL.

    curl \
        'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    
  • Untuk mencantumkan semua proxy HTTPS target global dan regional dalam project, gunakan metode targetHttpsProxies.aggregatedList dengan parameter kueri includeAllScopes ditetapkan ke true. Kemudian, gunakan parameter kueri filter untuk menelusuri proxy HTTPS target yang tidak mereferensikan kebijakan SSL.

    curl \
        'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    
  • Untuk melampirkan kebijakan SSL global yang ada ke proxy SSL target:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME
    
  • Untuk melampirkan kebijakan SSL global yang ada ke proxy HTTPS target global:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME
    
  • Untuk melampirkan kebijakan SSL regional yang ada ke proxy HTTPS target regional:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
        --ssl-policy SSL_POLICY_NAME \
        --region REGION
    

Jika Anda tidak memberikan tanda --ssl-policy atau tanda --clear-ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --clear-ssl-policy dijelaskan di Menghapus kebijakan SSL dari proxy target.

API

Untuk menetapkan kebijakan SSL global untuk proxy target global, gunakan metode targetHttpsProxies.patch.

Untuk menetapkan kebijakan SSL regional bagi proxy target regional, gunakan metode regionTargetHttpsProxies.patch.

Menghapus kebijakan SSL dari proxy target

Konsol

gcloud

Gunakan perintah ini untuk menghapus kebijakan SSL dari proxy SSL atau proxy HTTPS. Jika Anda tidak melampirkan kebijakan SSL yang berbeda ke proxy target, load balancer akan menggunakan kebijakan SSL default. Menggunakan tanda --clear-ssl-policy sama dengan mengganti kebijakan SSL dengan kebijakan SSL default.

Untuk menghapus kebijakan SSL global dari proxy SSL target:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Untuk menghapus kebijakan SSL global dari proxy HTTPS target global:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Untuk menghapus kebijakan SSL regional dari proxy HTTPS target regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Saat Anda memberikan tanda --clear-ssl-policy dalam perintah update, kebijakan SSL akan dihapus dari proxy.

Jika Anda tidak memberikan tanda --clear-ssl-policy atau tanda --ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --ssl-policy dijelaskan dalam Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

Mengelola kebijakan SSL

Jika Anda menggunakan batasan kustom untuk membatasi kemampuan TLS, periksa kepatuhan TLS secara manual dalam kebijakan SSL yang sudah ada dan dilampirkan ke proxy SSL target dan proxy HTTPS target.

Gunakan contoh langkah-langkah berikut untuk menemukan dan memperbarui kebijakan SSL yang tidak memenuhi sasaran keamanan Anda.

  • Untuk menemukan semua project di organisasi Anda yang memiliki resource kebijakan SSL:

    gcloud asset search-all-resources \
      --scope=organizations/ORGANIZATION_ID \
      --asset-types=compute.googleapis.com/SslPolicy
    
  • Untuk mencantumkan semua kebijakan SSL global dan regional dalam project, gunakan metode sslPolicies.aggregatedList dengan parameter kueri includeAllScopes ditetapkan ke true. Kemudian, gunakan parameter kueri filter untuk menelusuri kebijakan SSL yang tidak selaras dengan sasaran keamanan Anda.

    Misalnya, untuk menemukan kebijakan SSL dengan versi TLS yang lebih rendah dari 1.2, gunakan filter minTlsVersion="TLS_1_0" OR minTlsVersion="TLS_1_1":

    curl \
    
      'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
      --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
      --header 'Accept: application/json' \
      --compressed
    

    Untuk mendapatkan kunci API, lihat Melakukan autentikasi menggunakan kunci API. Untuk mendapatkan token akses, gunakan metode projects.serviceAccounts.generateAccessToken.

    Kemudian, perbarui kebijakan SSL yang tidak memenuhi persyaratan TLS minimum Anda.

    Untuk mengupdate kebijakan SSL global, Anda dapat menggunakan perintah berikut:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
      --min-tls-version=TLS_1_2 \
      --global
    

    Untuk mengupdate kebijakan SSL regional, Anda dapat menggunakan perintah berikut:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
      --min-tls-version=TLS_1_2 \
      --region REGION
    

  • Untuk mencantumkan semua proxy SSL target dalam project yang tidak terkait dengan kebijakan SSL, jalankan perintah berikut:

    curl \
    
      'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
        --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
        --header 'Accept: application/json' \
        --compressed
    

    Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada

  • Anda juga dapat menggunakan Cloud Asset Inventory atau Google APIs Explorer untuk menemukan dan memperbarui resource yang tidak memenuhi persyaratan keamanan Anda.

    Misalnya, untuk mencari daftar proxy SSL target yang tidak terkait dengan kebijakan SSL, Anda dapat menggunakan langkah-langkah berikut di Cloud Asset Inventory:

    1. Di konsol Google Cloud, buka halaman Inventaris aset.

      Buka Inventaris aset

    2. Klik Kueri aset.

    3. Di kolom Edit query, masukkan kueri berikut lalu klik Run.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL
      
    4. Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

    5. Jalankan kueri di Inventaris Aset Cloud hingga Anda melihat respons kosong.

Batas

Lihat kuota dan batas load balancer.

Referensi API

Untuk deskripsi properti dan metode yang tersedia bagi Anda saat menggunakan kebijakan SSL melalui REST API, lihat hal berikut:

Produk Dokumentasi API
  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi Klasik
  • Load Balancer Aplikasi internal lintas region
  • Load Balancer Jaringan proxy eksternal global
  • Load Balancer Jaringan proxy klasik
sslPolicies
  • Load Balancer Aplikasi eksternal regional
  • Load Balancer Aplikasi internal regional
regionSslPolicies

Referensi gcloud CLI

Untuk referensi Google Cloud CLI, lihat hal berikut:

Langkah selanjutnya