Esta página foi traduzida pela API Cloud Translation.

Ativar inspeção TLS

Esta página descreve como ativar a inspeção Transport Layer Security (TLS) para sua instância do Secure Web Proxy. O Secure Web Proxy oferece um serviço de inspeção TLS que permite interceptar o tráfego TLS, inspecionar a solicitação criptografada e aplicar políticas de segurança. Para mais informações sobre a inspeção de TLS, consulte Visão geral da inspeção de TLS.

Antes de começar

Antes de configurar a instância do Secure Web Proxy para inspeção de TLS, conclua as tarefas nas seções a seguir.

Ativar o Certificate Authority Service

O proxy da Web seguro usa o Certificate Authority Service (em inglês) para gerar os certificados usados na inspeção TLS.

Para ativar o serviço de CA, use o seguinte comando:

  gcloud services enable privateca.googleapis.com

Criar um pool de CA

Um pool de autoridades certificadoras (ACs) é uma coleção de várias ACs com uma política de emissão de certificados e política de gerenciamento de identidade e acesso (IAM) comuns. Os pools de ACs oferecem a capacidade de alternar as cadeias de confiança sem nenhuma interrupção ou inatividade dos payloads.

É preciso criar um pool de ACs antes de usar o serviço de AC para criar uma AC. Esta seção explica as permissões necessárias para concluir essa tarefa e descreve como criar um pool de AC.

Para gerar certificados, a inspeção TLS usa uma conta de serviço separada para cada projeto chamado service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com. Confira se você concedeu permissões a essa conta de serviço para usar o pool de AC. Se esse acesso for revogado, a inspeção TLS vai parar de funcionar.

Para recuperar o PROJECT_NUMBER usando o PROJECT_ID do projeto do pool de CAs, use o seguinte comando:

gcloud projects describe <var>PROJECT_ID</var>
    --format="value(projectNumber)"

Permissões exigidas para a tarefa

Para executar esta tarefa, é preciso que o recurso tenha as seguintes permissões ou papéis do IAM.

Permissões

networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.delete
networksecurity.tlsInspectionPolicies.update

Papéis

Administrador de rede do Compute (roles/compute.networkAdmin)
Editor do Gerenciador de certificados (roles/certificatemanager.editor)
Opcional: administrador da política de segurança (roles/compute.orgSecurityPolicyAdmin)

Para criar o pool, use o comando gcloud privateca pools create e especifique o ID do pool subordinado, o nível, o ID do projeto e o local.

gcloud privateca pools create SUBORDINATE_POOL_ID \
    --tier=TIER \
    --project=PROJECT_ID \
    --location=REGION

Substitua:

SUBORDINATE_POOL_ID: nome do pool de ACs
TIER: nível da AC, devops ou enterprise

Recomendamos que você crie o pool de ACs no nível devops, porque não é necessário rastrear certificados emitidos individualmente.
PROJECT_ID: ID do projeto do pool de ACs
REGION: local do pool de ACs

Criar um pool de AC subordinada

Se você tiver vários cenários de emissão de certificados, poderá criar uma AC subordinada para cada um desses cenários. É possível criar uma AC subordinada em um pool de ACs, e a AC raiz assina todas as ACs nesse pool. Esses certificados são usados para assinar certificados do servidor gerados para a inspeção de TLS.

Para criar um pool de ACs subordinadas, use um dos métodos a seguir.

Crie um pool de AC subordinada usando uma AC raiz armazenada no Certificate Authority Service

Para gerar uma AC subordinada, faça o seguinte:

Criar um pool de ACs subordinadas usando uma AC raiz externa

Para gerar uma AC subordinada, faça o seguinte:

Crie uma AC raiz:

Se uma CA raiz não existir, você poderá criar uma no Serviço de CA.

Para criar uma AC raiz, faça o seguinte:

Criar um CA raiz
Crie um pool de AC subordinada usando uma AC raiz existente armazenada no serviço de AC.

Crie uma conta de serviço

Uma conta de serviço ajuda a fornecer as permissões necessárias para a inspeção TLS sem comprometer a segurança das contas de usuário ou da própria instância do Secure Web Proxy.

Se você não tiver uma conta de serviço, crie uma e conceda as permissões necessárias a ela.

Crie uma conta de serviço.
```
gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID
```
Em resposta, a Google Cloud CLI cria uma conta de serviço chamada service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com.

Para recuperar o PROJECT_NUMBER usando o PROJECT_ID do projeto do pool de ACs, use o seguinte comando:
```
gcloud projects describe PROJECT_ID
    --format="value(projectNumber)"
```

Para a conta de serviço que você criou, conceda permissões para gerar certificados com o pool de AC.

gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

Configurar o Secure Web Proxy para inspeção de TLS

Só prossiga com as tarefas desta seção depois de concluir as tarefas de pré-requisito listadas na seção Antes de começar.

Para configurar a inspeção de TLS, conclua as tarefas nas seções a seguir.

Criar uma política de inspeção de TLS

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

certificatemanager.trustconfigs.list
certificatemanager.trustconfigs.use
privateca.caPools.list
privateca.caPools.use
privateca.certificateAuthorities.list
networksecurity.operations.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.create

Papéis

Papel de administrador de segurança do Compute (compute.securityAdmin)
Papel de administrador de rede do Compute (compute.networkAdmin)

Console

No console Google Cloud , acesse a página Políticas de inspeção TLS.

Acessar as políticas de inspeção TLS
No menu do seletor de projetos, escolha seu projeto.
Clique em Criar política de inspeção de TLS.
Em Nome, digite um nome.

Atenção: não inclua informações sensíveis, como informações de identificação pessoal ou dados de segurança, no nome da política de inspeção de TLS.
Opcional: no campo Descrição, insira uma descrição.
Na lista Região, selecione a região em que você quer criar a política de inspeção de TLS.
Na lista Pool de AC, selecione o pool de AC do qual você quer criar os certificados.

Se você não tiver configurado um pool de AC, clique em Novo pool e siga as instruções em Criar um pool de AC.
Opcional: na lista Versão mínima de TLS, selecione a versão mínima de TLS compatível com a política.
Em Configuração de confiança, selecione uma das seguintes opções:
- Somente ACs públicas: selecione essa opção se você quiser confiar em servidores com certificados assinados publicamente.
- Somente ACs particulares: selecione essa opção se você quiser confiar em servidores com certificados assinados de modo particular.
  
  Na lista Configuração de confiança particular, selecione a configuração com o repositório de confiança definido que será usado para usar os certificados de servidor upstream confiáveis. Para mais informações sobre a criação de uma configuração de confiança, consulte Criar uma configuração de confiança.
- ACs públicas e particulares: selecione essa opção se você quiser usar ACs públicas e particulares.
Opcional: na lista Perfil do pacote de criptografia, selecione o tipo de perfil TLS. É possível escolher ��um dos seguintes valores:
- Compatível: permite que o conjunto mais amplo de clientes negociem TLS, incluindo aqueles compatíveis apenas com recursos desatualizados de TLS.
- Moderno: compatível com um amplo conjunto de recursos de TLS, permitindo que clientes modernos negociem TLS.
- Restrito: compatível com um conjunto reduzido de recursos de TLS para cumprir requisitos de conformidade mais rigorosos.
- Personalizado: permite selecionar recursos de TLS individualmente.
  
  Na lista Pacotes de criptografia, selecione os pacotes de criptografia compatíveis com o perfil personalizado.
Clique em Criar.

gcloud

Crie o arquivo TLS_INSPECTION_FILE.yaml. Substitua TLS_INSPECTION_FILE pelo nome de arquivo necessário.
Adicione o seguinte código ao arquivo YAML para configurar a TlsInspectionPolicy necessária:
```
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
```
Substitua:
- PROJECT_ID: ID do projeto
- REGION: região em que a política será criada
- TLS_INSPECTION_NAME: nome da política de inspeção TLS do Secure Web Proxy
- CA_POOL: nome do pool de ACs em que os certificados serão criados.
O pool de CAs precisa estar na mesma região.

Importar a política de inspeção de TLS

Importe a política de inspeção de TLS que você criou na etapa anterior:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
    --source=TLS_INSPECTION_FILE.yaml \
    --location=REGION

Adicionar a política de inspeção de TLS à política de segurança

Console

Criar a política de proxy da Web

No Google Cloud console, acesse a página Políticas do SWP.

Acessar as políticas do SWP
Clique em Criar uma política.
Insira um nome para a política que você quer criar, como myswppolicy.
Insira uma descrição da política, como My new swp policy.
Na lista Regiões, selecione a região em que você quer criar a política do Secure Web Proxy.
Para configurar a inspeção TLS, selecione Configurar inspeção TLS.
Na lista Política de inspeção da TLS, selecione a política de inspeção da TLS que você criou.
Se você quiser criar regras para a política, clique em Continuar e em Adicionar regra. Saiba mais em Criar regras do Secure Web Proxy.
Clique em Criar.

Criar regras do Secure Web Proxy

No Google Cloud console, acesse a página Políticas do SWP.

Acessar as políticas do SWP
No menu do seletor de projetos, selecione o ID da organização ou a pasta que contém a política.
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os campos da regra:
1. Nome
2. Descrição
3. Status
4. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que 0 é a mais alta.
5. Na seção Ação, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).
6. Na seção Correspondência de sessão, especifique os critérios para corresponder à sessão. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência da linguagem de correspondência do CEL.
7. Para ativar a inspeção de TLS, selecione Ativar inspeção de TLS.
8. Na seção Correspondência do aplicativo, especifique os critérios para corresponder à solicitação. Se você não ativar a regra para a inspeção TLS, a solicitação só poderá corresponder ao tráfego HTTP.
9. Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.
Clique em Criar para criar a política.

Configurar um proxy da Web

No console Google Cloud , acesse a página Proxys da Web.

Acesse "Proxies da Web"
Clique em Criar um proxy da Web seguro.
Insira um nome para o proxy da Web que você quer criar, como myswp.
Insira uma descrição do proxy da Web, como My new swp.
Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Opcional: insira o endereço IP do Secure Web Proxy. É possível inserir um endereço IP do intervalo de endereços IP do proxy da Web seguro que residem na sub-rede criada na etapa anterior. Se você não inserir o endereço IP, a instância do proxy da Web seguro vai escolher automaticamente um endereço IP da sub-rede selecionada.
Na lista Certificado, selecione o certificado que você quer usar para criar o proxy da Web.
Na lista Política, selecione a política que você criou para associar o proxy da Web.
Clique em Criar.

Cloud Shell

Crie o arquivo policy.yaml:

  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Crie a política do Secure Web Proxy:

  gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

Crie o arquivo rule.yaml:
```
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true
```
Observação: é necessário ativar a inspeção TLS para cada regra. Para ativar a inspeção TLS, defina o atributo tlsInspectionEnabled como true para cada regra que usa applicationMatcher para corresponder ao tráfego HTTPS. A inspeção TLS da regra é limitada ao tráfego que corresponde ao atributo sessionMatcher da regra. Para mais informações, consulte Avaliação da regra de inspeção de TLS.

Crie a regra da política de segurança.

  gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

Para anexar uma política de inspeção de TLS a uma política de segurança existente, crie o arquivo POLICY_FILE.yaml. Substitua POLICY_FILE pelo nome do arquivo.

  description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

A seguir

Usar uma lista de URLs para criar políticas