Halaman ini diterjemahkan oleh Cloud Translation API.

Mengaktifkan pemeriksaan TLS

Halaman ini menjelaskan cara mengaktifkan pemeriksaan Transport Layer Security (TLS) untuk instance Secure Web Proxy Anda.

Sebelum memulai

Sebelum mengonfigurasi Secure Web Proxy untuk pemeriksaan TLS, selesaikan tugas di bagian berikut.

Mengaktifkan CAS

Secure Web Proxy menggunakan Certificate Authority Service (CAS) untuk membuat sertifikat yang digunakan untuk pemeriksaan TLS.

Untuk mengaktifkan CAS, gunakan perintah berikut:

  gcloud services enable privateca.googleapis.com

Membuat kumpulan CA

Anda harus membuat kumpulan certificate authority (CA) sebelum dapat menggunakan CAS untuk membuat CA. Bagian ini menjelaskan izin yang Anda perlukan untuk menyelesaikan tugas ini, lalu menjelaskan cara membuat kumpulan CA.

Untuk membuat sertifikat, pemeriksaan TLS menggunakan akun layanan terpisah untuk setiap project yang disebut service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com. Pastikan Anda telah memberikan izin ke akun layanan ini untuk menggunakan kumpulan CA Anda. Jika akses ini dicabut, pemeriksaan TLS akan berhenti berfungsi.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus telah diberi izin berikut atau peran IAM.

Izin

networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.delete
networksecurity.tlsInspectionPolicies.update

Peran

Admin Jaringan Compute (roles/compute.networkAdmin)
Editor Certificate Manager (roles/certificatemanager.editor)
Opsional: Security Policy Admin (roles/compute.orgSecurityPolicyAdmin)

Untuk membuat kumpulan, gunakan perintah gcloud privateca pools create dan tentukan ID kumpulan subordinat, tingkat, project ID, dan lokasi.

gcloud privateca pools create SUBORDINATE_POOL_ID \
    --tier=TIER \
    --project=PROJECT_ID \
    --location=REGION

Ganti kode berikut:

SUBORDINATE_POOL_ID: nama kumpulan CA
TIER: tingkat CA, devops atau enterprise

Sebaiknya buat kumpulan CA di tingkat devops karena pelacakan sertifikat yang dikeluarkan satu per satu tidak diperlukan.
PROJECT_ID: ID project kumpulan CA
REGION: lokasi kumpulan CA

Penting: Sertifikat yang dibuat untuk pemeriksaan TLS memiliki masa berlaku yang singkat. Setelah dikeluarkan, sertifikat tidak dapat diubah atau dicabut melalui layanan CA.

Membuat kumpulan CA subordinat

Anda dapat membuat kumpulan CA subordinat, dan CA root menandatangani semua CA dalam kumpulan tersebut. Sertifikat ini digunakan untuk menandatangani sertifikat server yang dihasilkan untuk pemeriksaan TLS.

Untuk membuat kumpulan subordinat, gunakan salah satu metode berikut.

Membuat kumpulan CA subordinat menggunakan root CA yang ada dan disimpan dalam CAS

Untuk membuat CA subordinat, lakukan hal berikut:

Membuat kumpulan CA subordinat menggunakan root CA yang ada dan disimpan secara eksternal

Untuk membuat CA subordinat, lakukan hal berikut:

Membuat CA root

Jika belum memiliki root CA, Anda dapat membuatnya dalam CAS. Untuk membuat CA root, lakukan hal berikut:

Buat root CA.
Ikuti langkah-langkah dalam Membuat kumpulan CA subordinat menggunakan root CA yang ada dan disimpan dalam CAS.

Untuk informasi selengkapnya tentang kumpulan CA, lihat dokumentasi Certificate Authority Service.

Membuat akun layanan

Jika tidak memiliki akun layanan, Anda harus membuatnya dan memberikan izin yang diperlukan.

Buat akun layanan:
```
gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID
```
Sebagai respons, Google Cloud CLI akan membuat akun layanan bernama service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com.

Untuk akun layanan yang Anda buat, berikan izin untuk membuat sertifikat dengan kumpulan CA Anda:

gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

Mengonfigurasi Secure Web Proxy untuk pemeriksaan TLS

Anda hanya dapat melanjutkan tugas di bagian ini setelah menyelesaikan tugas prasyarat yang tercantum di bagian Sebelum memulai.

Untuk mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut.

Membuat kebijakan pemeriksaan TLS

Buat file TLS_INSPECTION_FILE.yaml. Ganti TLS_INSPECTION_FILE dengan nama file yang diinginkan.
Tambahkan kode berikut ke file YAML untuk mengonfigurasi TlsInspectionPolicy yang diinginkan:
```
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
```
Ganti kode berikut:
- PROJECT_ID: nomor project
- REGION: region tempat membuat kebijakan
- TLS_INSPECTION_NAME: nama kebijakan pemeriksaan TLS Secure Web Proxy
- CA_POOL: nama kumpulan CA tempat membuat sertifikat
  
  Kumpulan CA harus ada dalam region yang sama.

Mengimpor kebijakan pemeriksaan TLS

Impor kebijakan pemeriksaan TLS yang Anda buat pada langkah sebelumnya:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
  --source=TLS_INSPECTION_FILE.yaml \
  --location=REGION

Menambahkan kebijakan pemeriksaan TLS ke kebijakan keamanan

Konsol

Membuat kebijakan proxy web

Di konsol Google Cloud, buka halaman Network Security.

Buka Keamanan Jaringan
Klik Secure Web Proxy.
Klik tab Kebijakan.
Klik Buat kebijakan.
Masukkan nama untuk kebijakan yang ingin Anda buat, seperti myswppolicy.
Masukkan deskripsi kebijakan, seperti My new swp policy.
Dalam daftar Regions, pilih region tempat Anda ingin membuat kebijakan Secure Web Proxy.
Untuk mengonfigurasi pemeriksaan TLS, pilih Configure TLS inspection.
Dalam daftar TLS inspection policy, pilih kebijakan pemeriksaan TLS yang Anda buat.
Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan, lalu klik Tambahkan aturan. Untuk mengetahui detailnya, lihat Membuat aturan Secure Web Proxy.
Klik Create.

Membuat aturan proxy web

Di konsol Google Cloud, buka halaman Network Security.

Buka Keamanan Jaringan
Klik Secure Web Proxy.
Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik nama kebijakan Anda.
Klik Tambahkan Aturan.
Isi kolom aturan:
1. Nama
2. Deskripsi
3. Status
4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi.
5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
6. Di bagian Session Match, tentukan kriteria untuk mencocokkan sesi. Untuk informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.
7. Untuk mengaktifkan pemeriksaan TLS, pilih Enable TLS inspection.
8. Di bagian Application Match, tentukan kriteria untuk mencocokkan permintaan. Jika Anda tidak mengaktifkan aturan untuk pemeriksaan TLS, permintaan hanya dapat cocok dengan traffic HTTP.
9. Klik Create.
Klik Tambahkan aturan untuk menambahkan aturan lain.
Klik Create untuk membuat kebijakan.

Menyiapkan proxy web

Di konsol Google Cloud, buka halaman Network Security.

Buka Keamanan Jaringan
Klik Secure Web Proxy.
Klik tab Web proxy.
Klik Siapkan proxy web.
Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.
Masukkan deskripsi proxy web, seperti My new swp.
Di daftar Regions, pilih region tempat Anda ingin membuat proxy web.
Di daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.
Di daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.
Masukkan alamat IP proxy web.
Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.
Di daftar Kebijakan, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.
Klik Create.

Cloud Shell

Buat file policy.yaml:

  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Buat kebijakan Secure Web Proxy:

  gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

Buat file rule.yaml:
```
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true
```
Catatan: Anda harus mengaktifkan pemeriksaan TLS untuk setiap aturan. Untuk mengaktifkan pemeriksaan TLS, tetapkan atribut tlsInspectionEnabled ke true untuk setiap aturan yang menggunakan applicationMatcher agar cocok dengan traffic HTTPS. Pemeriksaan TLS untuk aturan ini dibatasi pada traffic yang cocok dengan atribut sessionMatcher aturan. Untuk mengetahui informasi selengkapnya, lihat Evaluasi aturan pemeriksaan TLS.

Buat aturan kebijakan keamanan:

  gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

Untuk melampirkan kebijakan pemeriksaan TLS ke kebijakan keamanan yang ada, buat file POLICY_FILE.yaml. Ganti POLICY_FILE dengan nama file yang diinginkan.

  description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Apa langkah selanjutnya?

Menggunakan daftar URL untuk membuat kebijakan