Questa pagina è stata tradotta dall'API Cloud Translation.

Abilita ispezione TLS

In questa pagina viene descritto come abilitare l'ispezione TLS (Transport Layer Security) per l'istanza di Secure Web Proxy.

Prima di iniziare

Prima di configurare Secure Web Proxy per l'ispezione TLS, completa le attività nelle sezioni seguenti.

Abilita CAS

Secure Web Proxy utilizza CAS (Certificate Authority Service) per generare i certificati utilizzati per l'ispezione TLS.

Per abilitare le CA, utilizza il comando seguente:

  gcloud services enable privateca.googleapis.com

Crea un pool di CA

Prima di poter utilizzare CA per creare una CA, devi creare un pool di autorità di certificazione (CA). Questa sezione illustra le autorizzazioni necessarie per completare questa attività e quindi descrive come creare un pool di CA.

Per generare certificati, l'ispezione TLS utilizza un account di servizio separato per ogni progetto denominato service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com. Assicurati di aver concesso a questo account di servizio le autorizzazioni per utilizzare il pool di CA. Se questo accesso viene revocato, l'ispezione TLS smetterà di funzionare.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle autorizzazioni o dei ruoli IAM seguenti.

Autorizzazioni

networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.delete
networksecurity.tlsInspectionPolicies.update

Ruoli

Amministratore rete Compute (roles/compute.networkAdmin)
Editor gestore certificati (roles/certificatemanager.editor)
(Facoltativo) Amministratore criteri di sicurezza (roles/compute.orgSecurityPolicyAdmin)

Per creare il pool, utilizza il comando gcloud privateca pools create e specifica l'ID, il livello, l'ID progetto e la località del pool subordinato.

    gcloud privateca pools create SUBORDINATE_POOL_ID 

        --tier=TIER 

        --project=PROJECT_ID 

        --location=REGION

Sostituisci quanto segue:

SUBORDINATE_POOL_ID: il nome del pool di CA
TIER: livello CA, devops o enterprise

Ti consigliamo di creare il pool di CA nel livello devops perché non è necessario monitorare i certificati emessi singolarmente.
PROJECT_ID: l'ID del progetto del pool di CA
REGION: la località del pool di CA

Importante: i certificati generati per l'ispezione TLS hanno una breve durata. Una volta emessi, i certificati non possono essere modificati o revocati tramite un servizio CA.

Crea un pool di CA subordinato

Puoi creare un pool di CA subordinato, in cui la CA radice firma tutte le CA in quel pool. Questi certificati vengono utilizzati per firmare i certificati dei server generati per l'ispezione TLS.

Per creare un pool subordinato, utilizza uno qualsiasi dei seguenti metodi.

Crea un pool di CA subordinato utilizzando una CA radice esistente archiviata all'interno delle CA

Per generare una CA subordinata:

Crea un pool di CA subordinato utilizzando una CA radice esistente conservata esternamente

Per generare una CA subordinata:

Crea una CA radice

Se non disponi di una CA radice esistente, puoi crearne una all'interno delle CA. Per creare una CA radice:

Crea una CA radice.
Segui i passaggi descritti in Creare un pool di CA subordinato utilizzando una CA radice esistente archiviata all'interno delle CA.

Per ulteriori informazioni sui pool di CA, consulta la documentazione di Certificate Authority Service.

Crea un service account

Se non hai un account di servizio, devi crearne uno e concedere le autorizzazioni necessarie.

Crea un account di servizio:
```
gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID
```
In risposta, Google Cloud CLI crea un account di servizio denominato service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com.

Per l'account di servizio che hai creato, concedi le autorizzazioni per generare certificati con il pool di CA:

gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

Configura Secure Web Proxy per l'ispezione TLS

Puoi procedere con le attività di questa sezione solo dopo aver completato le attività prerequisiti elencate nella sezione Prima di iniziare.

Per configurare l'ispezione TLS, completa le attività nelle sezioni seguenti.

Crea un criterio di ispezione TLS

Crea il file TLS_INSPECTION_FILE.yaml. Sostituisci TLS_INSPECTION_FILE con il nome file desiderato.
Aggiungi il codice seguente al file YAML per configurare il criterio TlsInstanceionPolicy desiderato:
```
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
```
Sostituisci quanto segue:
- PROJECT_ID: il numero del progetto
- REGION: la regione in cui creare il criterio
- TLS_INSPECTION_NAME: il nome del criterio di ispezione TLS di Secure Web Proxy
- CA_POOL: il nome del pool di CA da cui creare i certificati
  
  Il pool di CA deve esistere all'interno della stessa regione.

Importa il criterio di ispezione TLS

Importa il criterio di ispezione TLS che hai creato nel passaggio precedente:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
  --source=TLS_INSPECTION_FILE.yaml \
  --location=REGION

Aggiungi il criterio di ispezione TLS al criterio di sicurezza

Console

Crea il criterio del proxy web

Nella console Google Cloud, vai alla pagina Sicurezza della rete.

Vai a Sicurezza di rete
Fai clic su Secure Web Proxy.
Fai clic sulla scheda Norme.
Fai clic su Crea un criterio.
Inserisci un nome per il criterio da creare, ad esempio myswppolicy.
Inserisci una descrizione del criterio, ad esempio My new swp policy.
Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio Secure Web Proxy.
Per configurare l'ispezione TLS, seleziona Configura l'ispezione TLS.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che hai creato.
Se vuoi creare regole per il criterio, fai clic su Continua e poi su Aggiungi regola. Per maggiori dettagli, consulta Creare regole di proxy web sicuro.
Fai clic su Crea.

Crea le regole del proxy web

Nella console Google Cloud, vai alla pagina Sicurezza della rete.

Vai a Sicurezza di rete
Fai clic su Secure Web Proxy.
Nel menu del selettore progetti, seleziona l'ID organizzazione o la cartella che contiene il criterio.
Fai clic sul nome della norma.
Fai clic su Aggiungi regola.
Compila i campi della regola:
1. Nome
2. Descrizione
3. Stato
4. Priorità: l'ordine di valutazione numerica della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove 0 è la priorità più alta.
5. Nella sezione Azione, specifica se le connessioni che corrispondono alla regola sono consentite (Allow) o negate (Deny).
6. Nella sezione Corrispondenza sessione, specifica i criteri per la corrispondenza della sessione. Per maggiori informazioni sulla sintassi per SessionMatcher, consulta il riferimento sul linguaggio dei matcher CEL.
7. Per attivare l'ispezione TLS, seleziona Abilita ispezione TLS.
8. Nella sezione Corrispondenza applicazione, specifica i criteri per soddisfare la richiesta. Se non abiliti la regola per l'ispezione TLS, la richiesta può corrispondere solo al traffico HTTP.
9. Fai clic su Crea.
Fai clic su Aggiungi regola per aggiungere un'altra regola.
Fai clic su Crea per creare il criterio.

Configura un proxy web

Nella console Google Cloud, vai alla pagina Sicurezza della rete.

Vai a Sicurezza di rete
Fai clic su Secure Web Proxy.
Fai clic sulla scheda proxy web.
Fai clic su Configura un proxy web.
Inserisci un nome per il proxy web che vuoi creare, ad esempio myswp.
Inserisci una descrizione del proxy web, ad esempio My new swp.
Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.
Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.
Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.
Inserisci l'indirizzo IP del proxy web.
Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.
Nell'elenco Criterio, seleziona il criterio creato per associare il proxy web.
Fai clic su Crea.

Cloud Shell

Crea il file policy.yaml:

  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Crea il criterio Secure Web Proxy:

  gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

Crea il file rule.yaml:
```
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true
```
Nota: devi abilitare l'ispezione TLS per ciascuna regola. Per abilitare l'ispezione TLS, imposta l'attributo tlsInspectionEnabled su true per ogni regola che utilizza applicationMatcher per la corrispondenza con il traffico HTTPS. L'ispezione TLS per la regola è limitata al traffico che corrisponde all'attributo sessionMatcher della regola. Per maggiori informazioni, consulta Valutazione delle regole di ispezione TLS.

Crea la regola del criterio di sicurezza:

  gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

Per collegare un criterio di ispezione TLS a un criterio di sicurezza esistente, crea il file POLICY_FILE.yaml. Sostituisci POLICY_FILE con il nome file che preferisci.

  description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Che cosa succede dopo?

Utilizzare un elenco di URL per creare criteri