Questa pagina descrive come attivare l'ispezione TLS (Transport Layer Security) per l'istanza di Secure Web Proxy.
Prima di iniziare
Prima di configurare Secure Web Proxy per l'ispezione TLS, compila le attività nelle sezioni seguenti.
Attiva CAS
Secure Web Proxy utilizza Certificate Authority Service (CAS) per generare i certificati utilizzati per l'ispezione TLS.
Per attivare la CAS, utilizza il seguente comando:
gcloud services enable privateca.googleapis.com
Crea un pool di CA
Devi creare un pool di autorità di certificazione (CA) prima di poter utilizzare CAS per creare una CA. Questa sezione illustra le autorizzazioni necessarie per completare questa attività e descrive come creare un pool di CA.
Per generare i certificati, l'ispezione TLS utilizza un account di servizio separato per ogni progetto chiamato service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com
.
Assicurati di aver concesso a questo account di servizio le autorizzazioni per utilizzare il pool CA. Se questo accesso viene revocato, l'ispezione TLS non funziona più.
Per creare il pool, utilizza il comando gcloud privateca pools create
e
specifica l'ID pool secondario, il livello, l'ID progetto e la località.
gcloud privateca pools create SUBORDINATE_POOL_ID \ --tier=TIER \ --project=PROJECT_ID \ --location=REGION
Sostituisci quanto segue:
SUBORDINATE_POOL_ID
: il nome del pool di CATIER
: il livello CA,devops
oenterprise
Ti consigliamo di creare il pool di CA nel livello
devops
perché il monitoraggio dei certificati emessi singolarmente non è necessario.PROJECT_ID
: l'ID del progetto del pool di CAREGION
: la posizione del pool di CA
Crea un pool di CA subordinate
Puoi creare un pool di CA subordinate e la CA radice firma tutte le CA nel pool. Questi certificati vengono utilizzati per firmare i certificati del server generati per l'ispezione TLS.
Per creare un pool secondario, utilizza uno dei seguenti metodi.
Crea un pool di CA secondarie utilizzando una CA radice esistente archiviata in CAS
Per generare una CA subordinata:
Crea un pool di CA subordinate utilizzando una CA radice esistente gestita esternamente
Per generare una CA subordinata:
Crea una CA radice
Se non hai già un'autorità di certificazione principale, puoi crearne una in CAS. Per creare una CA radice:
- Crea una CA radice.
- Segui la procedura descritta in Creare un pool di CA secondarie utilizzando una CA radice esistente archiviata in CAS.
Per ulteriori informazioni sui pool di CA, consulta la documentazione di Certificate Authority Service.
Crea un account di servizio
Se non hai un account di servizio, devi crearne uno e concedere le autorizzazioni richieste.
Crea un account di servizio:
gcloud beta services identity create \ --service=networksecurity.googleapis.com \ --project=PROJECT_ID
In risposta, Google Cloud CLI crea un account di servizio chiamato
service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com
.Per l'account di servizio che hai creato, concedi le autorizzazioni per generare certificati con il pool di CA:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --member='serviceAccount:SERVICE_ACCOUNT' \ --role='roles/privateca.certificateManager' \ --location='REGION'
Configurare Secure Web Proxy per l'ispezione TLS
Puoi procedere con le attività in questa sezione solo dopo aver completato le attività preliminari elencate nella sezione Prima di iniziare.
Per configurare l'ispezione TLS, completa le attività nelle sezioni seguenti.
Crea una policy di ispezione TLS
Crea il file
TLS_INSPECTION_FILE
.yaml. SostituisciTLS_INSPECTION_FILE
con il nome file che preferisci.Aggiungi il seguente codice al file YAML per configurare il valore TlsInspectionPolicy desiderato:
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
Sostituisci quanto segue:
PROJECT_ID
: il numero del progettoREGION
: la regione in cui creare il criterioTLS_INSPECTION_NAME
: il nome del criterio di ispezione TLS di Secure Web ProxyCA_POOL
: il nome del pool di CA da cui creare i certificatiIl pool di CA deve esistere nella stessa regione.
Importa il criterio di ispezione TLS
Importa il criterio di ispezione TLS creato nel passaggio precedente:
gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
--source=TLS_INSPECTION_FILE.yaml \
--location=REGION
Aggiungi il criterio di ispezione TLS al criterio di sicurezza
Console
Crea il criterio del proxy web
Nella console Google Cloud, vai alla pagina Sicurezza di rete.
Fai clic su Secure Web Proxy (Proxy web sicuro).
Fai clic sulla scheda Norme.
Fai clic su Crea un criterio.
Inserisci un nome per il criterio che vuoi creare, ad esempio
myswppolicy
.Inserisci una descrizione della norma, ad esempio
My new swp policy
.Nell'elenco Regioni, seleziona la regione in cui vuoi creare il criterio del proxy web sicuro.
Per configurare l'ispezione TLS, seleziona Configura l'ispezione TLS.
Nell'elenco Criterio di ispezione TLS, seleziona il criterio di ispezione TLS che hai creato.
Se vuoi creare regole per il criterio, fai clic su Continua e poi su Aggiungi regola. Per maggiori dettagli, consulta Creare regole di Secure Web Proxy.
Fai clic su Crea.
Crea le regole del proxy web
Nella console Google Cloud, vai alla pagina Sicurezza di rete.
Fai clic su Secure Web Proxy (Proxy web sicuro).
Nel menu di selezione del progetto, seleziona l'ID dell'organizzazione o la cartella contenente il criterio.
Fai clic sul nome del criterio.
Fai clic su Aggiungi regola.
Compila i campi della regola:
- Nome
- Descrizione
- Stato
- Priorità: l'ordine di valutazione numerico della regola. Le regole vengono valutate dalla priorità più alta a quella più bassa, dove
0
è la priorità più alta. - Nella sezione Azione, specifica se le connessioni che corrispondono alla regola sono consentite (Consenti) o negate (Nega).
- Nella sezione Corrispondenza sessione, specifica i criteri per la corrispondenza della sessione. Per ulteriori informazioni sulla sintassi di
SessionMatcher
, consulta il riferimento al linguaggio dei corrispondenti CEL. - Per attivare l'ispezione TLS, seleziona Attiva ispezione TLS.
- Nella sezione Corrispondenza delle applicazioni, specifica i criteri per la corrispondenza della richiesta. Se non attivi la regola per l'ispezione TLS, la richiesta può corrispondere solo al traffico HTTP.
- Fai clic su Crea.
Fai clic su Aggiungi regola per aggiungere un'altra regola.
Fai clic su Crea per creare il criterio.
Configurare un proxy web
Nella console Google Cloud, vai alla pagina Sicurezza di rete.
Fai clic su Secure Web Proxy (Proxy web sicuro).
Fai clic sulla scheda Proxy web.
Fai clic su Configura un proxy web.
Inserisci un nome per il proxy web che vuoi creare, ad esempio
myswp
.Inserisci una descrizione del proxy web, ad esempio
My new swp
.Nell'elenco Regioni, seleziona la regione in cui vuoi creare il proxy web.
Nell'elenco Rete, seleziona la rete in cui vuoi creare il proxy web.
Nell'elenco Subnet, seleziona la subnet in cui vuoi creare il proxy web.
Inserisci l'indirizzo IP del proxy web.
Nell'elenco Certificato, seleziona il certificato da utilizzare per creare il proxy web.
Nell'elenco Norma, seleziona la norma che hai creato per associare il proxy web.
Fai clic su Crea.
Cloud Shell
Crea il file
policy.yaml
:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
Crea il criterio Secure Web Proxy:
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml --location=REGION
Crea il file
rule.yaml
:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com description: Allow example.com enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'example.com' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Crea la regola del criterio di sicurezza:
gcloud network-security gateway-security-policies rules import allow-example-com \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Per collegare un criterio di ispezione TLS a un criterio di sicurezza esistente, crea il file
POLICY_FILE
.yaml. SostituisciPOLICY_FILE
con il nome file che preferisci.description: My Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME