Cette page explique comment activer l'inspection TLS (Transport Layer Security) pour votre instance de proxy Web sécurisé.
Avant de commencer
Avant de configurer le proxy Web sécurisé pour l'inspection TLS, effectuez les tâches décrites dans les sections suivantes.
Activer CAS
Le proxy Web sécurisé utilise Certificate Authority Service (CAS) pour générer les certificats utilisés pour l'inspection TLS.
Pour activer le CAS, exécutez la commande suivante:
gcloud services enable privateca.googleapis.com
Créer un pool d'autorités de certification
Vous devez créer un pool d'autorités de certification (CA) avant de pouvoir utiliser CAS pour créer une autorité de certification. Cette section décrit les autorisations dont vous avez besoin pour effectuer cette tâche, puis explique comment créer un pool d'autorités de certification.
Pour générer des certificats, l'inspection TLS utilise un compte de service distinct pour chaque projet appelé service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com
.
Assurez-vous d'avoir accordé à ce compte de service les autorisations nécessaires pour utiliser votre pool d'autorités de certification. Si cet accès est révoqué, l'inspection TLS cesse de fonctionner.
Pour créer le pool, utilisez la commande gcloud privateca pools create
et spécifiez l'ID du pool subordonné, le niveau, l'ID du projet et l'emplacement.
gcloud privateca pools create SUBORDINATE_POOL_ID \ --tier=TIER \ --project=PROJECT_ID \ --location=REGION
Remplacez les éléments suivants :
SUBORDINATE_POOL_ID
: nom du pool d'autorités de certificationTIER
: niveau de l'autorité de certification,devops
ouenterprise
Nous vous recommandons de créer le pool d'autorités de certification au niveau
devops
, car le suivi des certificats émis individuellement n'est pas nécessaire.PROJECT_ID
: ID du projet de pool d'autorités de certificationREGION
: emplacement du pool d'autorités de certification
Créer un pool d'autorités de certification subordonnées
Vous pouvez créer un pool d'autorités de certification subordonnées, et l'autorité de certification racine signe toutes les autorités de certification de ce pool. Ces certificats sont utilisés pour signer les certificats de serveur générés pour l'inspection TLS.
Pour créer un pool secondaire, utilisez n'importe quelle des méthodes suivantes.
Créer un pool d'autorités de certification subordonnées à l'aide d'une autorité de certification racine existante stockée dans CAS
Pour générer une autorité de certification secondaire, procédez comme suit:
- Créez un pool d'autorités de certification.
- Créez des autorités de certification subordonnées dans un pool d'autorités de certification.
Créer un pool d'autorités de certification subordonnées à l'aide d'une autorité de certification racine existante détenue en externe
Pour générer une autorité de certification secondaire, procédez comme suit:
- Créez un pool d'autorités de certification.
- Créez des autorités de certification subordonnées signées par une autorité de certification racine externe.
Créer une autorité de certification racine
Si vous ne disposez pas d'une autorité de certification racine, vous pouvez en créer une dans CAS. Pour créer une autorité de certification racine, procédez comme suit:
- Créez une autorité de certification racine.
- Suivez la procédure décrite dans la section Créer un pool d'autorités de certification subordonnées à l'aide d'une autorité de certification racine existante stockée dans CAS.
Pour en savoir plus sur les pools d'autorités de certification, consultez la documentation de Certificate Authority Service.
Créer un compte de service
Si vous ne possédez pas de compte de service, vous devez en créer un et accorder les autorisations requises.
Créez un compte de service :
gcloud beta services identity create \ --service=networksecurity.googleapis.com \ --project=PROJECT_ID
En réponse, Google Cloud CLI crée un compte de service appelé
service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com
.Pour le compte de service que vous avez créé, accordez des autorisations pour générer des certificats avec votre pool d'autorités de certification:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --member='serviceAccount:SERVICE_ACCOUNT' \ --role='roles/privateca.certificateManager' \ --location='REGION'
Configurer le proxy Web sécurisé pour l'inspection TLS
Vous ne pouvez effectuer les tâches de cette section qu'après avoir effectué les tâches préalables énumérées dans la section Avant de commencer.
Pour configurer l'inspection TLS, effectuez les tâches décrites dans les sections suivantes.
Créer une règle d'inspection TLS
Créez le fichier
TLS_INSPECTION_FILE
.yaml. RemplacezTLS_INSPECTION_FILE
par le nom de fichier souhaité.Ajoutez le code suivant au fichier YAML pour configurer la règle TlsInspectionPolicy souhaitée:
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
Remplacez les éléments suivants :
PROJECT_ID
: numéro du projetREGION
: région dans laquelle créer la stratégieTLS_INSPECTION_NAME
: nom de la règle d'inspection TLS du proxy Web sécuriséCA_POOL
: nom du pool d'autorités de certification à partir duquel créer les certificatsLe pool d'autorités de certification doit exister dans la même région.
Importer la règle d'inspection TLS
Importez la règle d'inspection TLS que vous avez créée à l'étape précédente:
gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
--source=TLS_INSPECTION_FILE.yaml \
--location=REGION
Ajouter la règle d'inspection TLS à la stratégie de sécurité
Console
Créer la règle de proxy Web
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Règles.
Cliquez sur Create a policy (Créer une règle).
Saisissez un nom pour la stratégie que vous souhaitez créer, par exemple
myswppolicy
.Saisissez une description de la stratégie, par exemple
My new swp policy
.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web sécurisé.
Pour configurer l'inspection TLS, sélectionnez Configurer l'inspection TLS.
Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous avez créée.
Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.
Cliquez sur Créer.
Créer les règles du proxy Web
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Dans le menu de sélection du projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur le nom de votre stratégie.
Cliquez sur Ajouter une règle.
Renseignez les champs de la règle :
- Nom
- Description
- Status
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0
correspond à la priorité la plus élevée. - Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
- Dans la section Correspondance de session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de
SessionMatcher
, consultez la documentation de référence sur le langage de correspondance CEL. - Pour activer l'inspection TLS, sélectionnez Activer l'inspection TLS.
- Dans la section Application Match (Correspondance des applications), spécifiez les critères de correspondance de la requête. Si vous n'activez pas la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.
- Cliquez sur Créer.
Cliquez sur Ajouter une règle pour ajouter une règle.
Cliquez sur Créer pour créer la règle.
Configurer un proxy Web
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Proxys Web.
Cliquez sur Configurer un proxy Web.
Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple
myswp
.Saisissez une description du proxy Web, par exemple
My new swp
.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.
Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.
Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.
Saisissez l'adresse IP du proxy Web.
Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.
Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.
Cliquez sur Créer.
Cloud Shell
Créez le fichier
policy.yaml
:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
Créez la stratégie de proxy Web sécurisé:
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml --location=REGION
Créez le fichier
rule.yaml
:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com description: Allow example.com enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'example.com' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Créez la règle de stratégie de sécurité:
gcloud network-security gateway-security-policies rules import allow-example-com \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Pour associer une règle d'inspection TLS à une règle de sécurité existante, créez le fichier
POLICY_FILE
.yaml. RemplacezPOLICY_FILE
par le nom de fichier souhaité.description: My Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME