Kebijakan SSL menentukan kumpulan fitur SSL yang digunakan load balancer Google Cloud saat menegosiasikan SSL dengan klien. Dalam dokumen ini, istilah SSL mengacu pada protokol SSL dan TLS.
Kebijakan SSL didukung dengan load balancer berikut:
- Kebijakan SSL global
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Jaringan proxy eksternal (dengan proxy SSL target)
- Load Balancer Aplikasi internal lintas region
- Kebijakan SSL regional
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi internal regional
Untuk informasi selengkapnya tentang cara kerja kebijakan SSL, lihat Ringkasan kebijakan SSL.
Anda dapat membuat dan mengelola kebijakan SSL menggunakan konsol Google Cloud atau Google Cloud CLI saat membuat load balancer HTTPS atau SSL atau kapan saja setelah membuat load balancer.
Membuat kebijakan SSL
Anda dapat membuat kebijakan SSL dengan profil yang dikelola Google atau dengan profil kustom.
Membuat kebijakan SSL dengan profil yang dikelola Google
Konsol
Kebijakan SSL global
Untuk membuat kebijakan SSL global dengan profil yang dikelola Google, lakukan hal berikut:
Di konsol Google Cloud, buka halaman SSL policies.
Klik Create policy.
Untuk Kebijakan SSL global, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.
Masukkan Nama.
Pilih Minimum TLS Version.
Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.
Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.
Klik Create.
Kebijakan SSL regional
Untuk membuat kebijakan SSL regional dengan profil yang dikelola Google, lakukan langkah-langkah berikut:
Di konsol Google Cloud, buka halaman SSL policies.
Klik Create policy.
Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.
Masukkan Nama.
Pilih Region.
Pilih Minimum TLS Version.
Untuk Profil, pilih Kompatibel, Modern, atau Dibatasi. Fitur yang diaktifkan dan Fitur yang dinonaktifkan untuk profil ditampilkan di sisi kanan halaman.
Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.
Klik Create.
gcloud
Kebijakan SSL global
Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil yang dikelola Google:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile COMPATIBLE | MODERN | RESTRICTED \ --min-tls-version 1.0 | 1.1 | 1.2
Perintah berikut akan membuat kebijakan SSL global dengan profil MODERN
:
gcloud compute ssl-policies create my-ssl-policy \ --profile MODERN \ --min-tls-version 1.0
Kebijakan SSL regional
Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil yang dikelola Google:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile COMPATIBLE | MODERN | RESTRICTED \ --min-tls-version 1.0 | 1.1 | 1.2 \ --region REGION
Perintah berikut akan membuat kebijakan SSL regional dengan profil COMPATIBLE
:
gcloud compute ssl-policies create my-ssl-policy \ --profile COMPATIBLE \ --min-tls-version 1.1 \ --region us-west1
Membuat kebijakan SSL dengan profil kustom
Konsol
Kebijakan SSL global
Untuk membuat kebijakan SSL global dengan profil kustom, lakukan langkah berikut:
Di konsol Google Cloud, buka halaman SSL policies.
Klik Create policy.
Untuk Kebijakan SSL global, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.
Masukkan Nama.
Pilih Minimum TLS Version.
Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sebelah kanan halaman.
Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Suite cipher yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.
Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.
Klik Create.
Kebijakan SSL regional
Untuk membuat kebijakan SSL regional dengan profil kustom, lakukan hal berikut:
Di konsol Google Cloud, buka halaman SSL policies.
Klik Create policy.
Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Buat kebijakan akan muncul.
Masukkan Nama.
Pilih Region.
Pilih Minimum TLS Version.
Untuk Profil, pilih Kustom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan di sebelah kanan halaman.
Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Suite cipher yang Anda aktifkan tercantum sebagai Fitur yang diaktifkan.
Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Terapkan ke target dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.
Klik Create.
gcloud
Saat Anda membuat kebijakan SSL dengan profil CUSTOM, hanya fitur yang Anda
tentukan dalam perintah create
yang didukung. Fitur lainnya tidak
didukung.
Kebijakan SSL global
Berikut adalah sintaksis umum untuk membuat kebijakan SSL global dengan profil kustom:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.0 | 1.1 | 1.2 \ --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]
Contoh berikut membuat kebijakan SSL global dengan profil CUSTOM
dengan versi TLS minimum 1.2 dan fitur
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
dan
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
.
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.2 \ --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
Kebijakan SSL regional
Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil kustom:
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.0 | 1.1 | 1.2 \ --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \ --region REGION
Contoh berikut membuat kebijakan SSL regional dengan profil CUSTOM
dengan versi TLS minimum 1.2 dan fitur
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
dan
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
.
gcloud compute ssl-policies create SSL_POLICY_NAME \ --profile CUSTOM \ --min-tls-version 1.2 \ --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \ --region us-west1
Membuat daftar kebijakan SSL
Konsol
Di konsol Google Cloud, buka halaman SSL policies.
Anda dapat melihat daftar semua kebijakan SSL yang tersedia. Kolom Cakupan menunjukkan apakah kebijakan SSL bersifat global atau regional.
gcloud
Untuk mencantumkan kebijakan SSL global dan regional, jalankan:
gcloud compute ssl-policies list
Untuk hanya mencantumkan kebijakan SSL global, jalankan:
gcloud compute ssl-policies list --global
Untuk hanya mencantumkan kebijakan SSL regional, jalankan:
gcloud compute ssl-policies list --regions REGION
Mencantumkan fitur yang tersedia dalam kebijakan SSL
Konsol
Di konsol Google Cloud, buka halaman SSL policies.
Klik nama kebijakan yang fiturnya ingin Anda lihat. Cipher suite yang diaktifkan dan dinonaktifkan dicantumkan di sisi kanan halaman.
gcloud
Untuk mencantumkan fitur yang tersedia di kebijakan SSL global:
gcloud compute ssl-policies list-available-features
Untuk mencantumkan fitur yang tersedia di kebijakan SSL regional:
gcloud compute ssl-policies list-available-features \ --region REGION
Mengubah kebijakan SSL
Konsol
Untuk mengubah kebijakan SSL global atau regional, lakukan tindakan berikut:
Di konsol Google Cloud, buka halaman SSL policies.
Klik nama kebijakan yang ingin Anda ubah.
Klik Edit.
Buat perubahan yang Anda inginkan.
Klik Simpan.
gcloud
Untuk mengubah kebijakan SSL yang ada, teruskan salah satu atau semua tanda yang sesuai dengan kolom yang ingin Anda perbarui. Kolom yang tidak ditentukan tidak akan diperbarui.
Jika Anda mengupdate fitur, fitur yang sebelumnya diaktifkan akan dihapus dan diganti dengan fitur baru yang Anda tentukan.
Kebijakan SSL global
gcloud compute ssl-policies update SSL_POLICY_NAME \ --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \ --min-tls-version 1.0|1.1|1.2 \ --custom-features FEATURES
Kebijakan SSL regional
gcloud compute ssl-policies update SSL_POLICY_NAME \ --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \ --min-tls-version 1.0|1.1|1.2 \ [--custom-features FEATURES \] --region REGION
Membuat proxy target dengan kebijakan SSL
Konsol
Anda dapat membuat proxy target menggunakan konsol Google Cloud saat membuat atau memperbarui load balancer seperti yang ditunjukkan dalam dokumen berikut:
gcloud
Untuk membuat proxy SSL target dengan kebijakan SSL global:
gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \ --backend-service BACKEND_SERVICE_NAME \ --ssl-certificate SSL_CERTIFICATE_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk membuat proxy HTTPS target global dengan kebijakan SSL global:
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificate SSL_CERTIFICATE_NAME \ --url-map URL_MAP_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk membuat proxy HTTPS target regional dengan kebijakan SSL regional:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-certificates SSL_CERTIFICATE_NAME \ --url-map URL_MAP_NAME \ --url-map-region REGION \ --ssl-policy SSL_POLICY_NAME \ --region REGION
Melampirkan kebijakan SSL yang ada ke proxy target yang ada
Konsol
gcloud
Gunakan perintah ini untuk melampirkan kebijakan SSL yang ada ke proxy SSL atau proxy HTTPS.
Untuk menemukan semua project di organisasi Anda yang memiliki proxy SSL target:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetSslProxy
Untuk menemukan semua project di organisasi Anda yang memiliki proxy HTTPS target:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetHttpsProxy
Untuk mencantumkan semua proxy SSL target global dalam project, gunakan metode
targetSslProxies.aggregatedList
. Kemudian, gunakan parameter kuerifilter
untuk menelusuri proxy SSL target yang tidak mereferensikan kebijakan SSL.curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
Untuk mencantumkan semua proxy HTTPS target global dan regional dalam project, gunakan metode
targetHttpsProxies.aggregatedList
dengan parameter kueriincludeAllScopes
ditetapkan ketrue
. Kemudian, gunakan parameter kuerifilter
untuk menelusuri proxy HTTPS target yang tidak mereferensikan kebijakan SSL.curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
Untuk melampirkan kebijakan SSL global yang ada ke proxy SSL target:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk melampirkan kebijakan SSL global yang ada ke proxy HTTPS target global:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME
Untuk melampirkan kebijakan SSL regional yang ada ke proxy HTTPS target regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME \ --region REGION
Jika Anda tidak memberikan tanda --ssl-policy
atau tanda --clear-ssl-policy
dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --clear-ssl-policy
dijelaskan di Menghapus
kebijakan SSL dari proxy target.
API
Untuk menetapkan kebijakan SSL global untuk proxy target global, gunakan metode
targetHttpsProxies.patch
.
Untuk menetapkan kebijakan SSL regional bagi proxy target regional, gunakan metode regionTargetHttpsProxies.patch
.
Menghapus kebijakan SSL dari proxy target
Konsol
gcloud
Gunakan perintah ini untuk menghapus kebijakan SSL dari proxy SSL atau proxy HTTPS. Jika Anda tidak melampirkan kebijakan SSL yang berbeda ke proxy target, load balancer akan menggunakan kebijakan SSL default. Menggunakan tanda --clear-ssl-policy
sama dengan mengganti kebijakan SSL dengan kebijakan SSL default.
Untuk menghapus kebijakan SSL global dari proxy SSL target:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \ --clear-ssl-policy
Untuk menghapus kebijakan SSL global dari proxy HTTPS target global:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \ --clear-ssl-policy
Untuk menghapus kebijakan SSL regional dari proxy HTTPS target regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --clear-ssl-policy \ --region REGION
Saat Anda memberikan tanda --clear-ssl-policy
dalam perintah update, kebijakan SSL
akan dihapus dari proxy.
Jika Anda tidak memberikan tanda --clear-ssl-policy
atau tanda --ssl-policy
dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --ssl-policy
dijelaskan
dalam Melampirkan kebijakan SSL yang ada ke proxy target yang ada.
Mengelola kebijakan SSL
Jika Anda menggunakan batasan kustom untuk membatasi kemampuan TLS, periksa kepatuhan TLS secara manual dalam kebijakan SSL yang sudah ada dan dilampirkan ke proxy SSL target dan proxy HTTPS target.
Gunakan contoh langkah-langkah berikut untuk menemukan dan memperbarui kebijakan SSL yang tidak memenuhi sasaran keamanan Anda.
Untuk menemukan semua project di organisasi Anda yang memiliki resource kebijakan SSL:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/SslPolicy
Untuk mencantumkan semua kebijakan SSL global dan regional dalam project, gunakan metode
sslPolicies.aggregatedList
dengan parameter kueriincludeAllScopes
ditetapkan ketrue
. Kemudian, gunakan parameter kuerifilter
untuk menelusuri kebijakan SSL yang tidak selaras dengan sasaran keamanan Anda.Misalnya, untuk menemukan kebijakan SSL dengan versi TLS yang lebih rendah dari
1.2
, gunakan filterminTlsVersion="TLS_1_0" OR minTlsVersion="TLS_1_1"
:curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
Untuk mendapatkan kunci API, lihat Melakukan autentikasi menggunakan kunci API. Untuk mendapatkan token akses, gunakan metode
projects.serviceAccounts.generateAccessToken
.Kemudian, perbarui kebijakan SSL yang tidak memenuhi persyaratan TLS minimum Anda.
Untuk mengupdate kebijakan SSL global, Anda dapat menggunakan perintah berikut:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --global
Untuk mengupdate kebijakan SSL regional, Anda dapat menggunakan perintah berikut:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --region REGION
Untuk mencantumkan semua proxy SSL target dalam project yang tidak terkait dengan kebijakan SSL, jalankan perintah berikut:
curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada
Anda juga dapat menggunakan Cloud Asset Inventory atau Google APIs Explorer untuk menemukan dan memperbarui resource yang tidak memenuhi persyaratan keamanan Anda.
Misalnya, untuk mencari daftar proxy SSL target yang tidak terkait dengan kebijakan SSL, Anda dapat menggunakan langkah-langkah berikut di Cloud Asset Inventory:
Di konsol Google Cloud, buka halaman Inventaris aset.
Klik Kueri aset.
Di kolom Edit query, masukkan kueri berikut lalu klik Run.
select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL
Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada.
Jalankan kueri di Inventaris Aset Cloud hingga Anda melihat respons kosong.
Batas
Lihat kuota dan batas load balancer.
Referensi API
Untuk deskripsi properti dan metode yang tersedia bagi Anda saat menggunakan kebijakan SSL melalui REST API, lihat hal berikut:
Produk | Dokumentasi API |
---|---|
|
sslPolicies |
|
regionSslPolicies |
Referensi gcloud CLI
Untuk referensi Google Cloud CLI, lihat hal berikut:
-
- Global:
--global
- Regional:
--region=[REGION]
- Global:
Langkah selanjutnya
- Untuk informasi konseptual tentang kebijakan SSL, lihat Kebijakan SSL untuk protokol SSL dan TLS.
- Untuk mengetahui informasi tentang Load Balancer Jaringan proxy eksternal, lihat Ringkasan Load Balancer Jaringan proxy eksternal.
- Untuk mengetahui informasi tentang Load Balancer Aplikasi eksternal, lihat Ringkasan Load Balancer Aplikasi Eksternal.