Mengaktifkan pemeriksaan TLS

Halaman ini menjelaskan cara mengaktifkan pemeriksaan Transport Layer Security (TLS) untuk instance Secure Web Proxy Anda.

Sebelum memulai

Sebelum mengonfigurasi Proxy Web Aman untuk pemeriksaan TLS, selesaikan tugas di bagian berikut.

Aktifkan CAS

Secure Web Proxy menggunakan Certificate Authority Service (CAS) untuk menghasilkan sertifikat yang digunakan untuk pemeriksaan TLS.

Untuk mengaktifkan CAS, gunakan perintah berikut:

  gcloud services enable privateca.googleapis.com
  

Membuat kumpulan CA

Anda harus membuat kumpulan certificate authority (CA) sebelum dapat menggunakan CAS untuk membuat CA. Bagian ini akan memandu Anda memahami izin yang diperlukan untuk menyelesaikan tugas ini, lalu menjelaskan cara membuat kumpulan CA.

Untuk membuat sertifikat, pemeriksaan TLS menggunakan akun layanan terpisah bagi setiap project yang bernama service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com. Pastikan Anda telah memberikan izin ke akun layanan ini untuk menggunakan kumpulan CA Anda. Jika akses ini dicabut, pemeriksaan TLS akan berhenti berfungsi.

Untuk membuat kumpulan, gunakan perintah gcloud privateca pools create dan tentukan ID kumpulan subordinat, tingkat, project ID, dan lokasi.

    gcloud privateca pools create SUBORDINATE_POOL_ID
        --tier=TIER
        --project=PROJECT_ID
        --location=REGION
  

Ganti kode berikut:

  • SUBORDINATE_POOL_ID: nama kumpulan CA
  • TIER: tingkat CA, devops atau enterprise

    Sebaiknya buat kumpulan CA di tingkat devops karena melacak sertifikat yang diterbitkan satu per satu tidak diperlukan.

  • PROJECT_ID: ID project kumpulan CA

  • REGION: lokasi kumpulan CA

Membuat kumpulan CA subordinat

Anda dapat membuat kumpulan CA subordinat, dan CA root menandatangani semua CA dalam kumpulan tersebut. Sertifikat ini digunakan untuk menandatangani sertifikat server yang dibuat untuk pemeriksaan TLS.

Untuk membuat kumpulan bawahan, gunakan salah satu metode berikut.

Membuat kumpulan CA subordinat dengan menggunakan CA root yang ada dan disimpan di dalam CAS

Untuk menghasilkan CA subordinat, lakukan hal berikut:

  1. Membuat kumpulan CA.
  2. Membuat CA subordinat dalam kumpulan CA.

Membuat kumpulan CA subordinat menggunakan CA root yang ada yang disimpan secara eksternal

Untuk menghasilkan CA subordinat, lakukan hal berikut:

  1. Membuat kumpulan CA.
  2. Buat CA subordinate yang ditandatangani oleh root CA eksternal.

Membuat root CA

Jika belum memiliki root CA, Anda dapat membuatnya dari dalam CAS. Untuk membuat root CA, lakukan hal berikut:

  1. Buat root CA.
  2. Ikuti langkah-langkah di Membuat kumpulan CA subordinate dengan menggunakan root CA yang ada dan disimpan dalam CAS.

Untuk mengetahui informasi selengkapnya tentang kumpulan CA, lihat dokumentasi Certificate Authority Service.

Membuat akun layanan

Jika tidak memiliki akun layanan, Anda harus membuatnya dan memberikan izin yang diperlukan.

  1. Buat akun layanan:

    gcloud beta services identity create \
        --service=networksecurity.googleapis.com \
        --project=PROJECT_ID
    

    Sebagai respons, Google Cloud CLI akan membuat akun layanan yang disebut service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com.

  2. Untuk akun layanan yang Anda buat, berikan izin untuk membuat sertifikat dengan kumpulan CA Anda:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
        --member='serviceAccount:SERVICE_ACCOUNT' \
        --role='roles/privateca.certificateManager' \
        --location='REGION'
    

Mengonfigurasi Proxy Web Aman untuk pemeriksaan TLS

Anda hanya dapat melanjutkan tugas di bagian ini setelah menyelesaikan tugas prasyarat yang tercantum di bagian Sebelum memulai.

Untuk mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut.

Membuat kebijakan pemeriksaan TLS

  1. Buat file TLS_INSPECTION_FILE.yaml. Ganti TLS_INSPECTION_FILE dengan nama file yang Anda inginkan.

  2. Tambahkan kode berikut ke file YAML untuk mengonfigurasi TlsInspectionPolicy yang diinginkan:

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
    

    Ganti kode berikut:

    • PROJECT_ID: nomor project
    • REGION: wilayah tempat kebijakan dibuat
    • TLS_INSPECTION_NAME: nama kebijakan pemeriksaan Secure Web Proxy TLS
    • CA_POOL: nama kumpulan CA tempat sertifikat dibuat

      Kumpulan CA harus ada dalam region yang sama.

Mengimpor kebijakan pemeriksaan TLS

Impor kebijakan pemeriksaan TLS yang Anda buat di langkah sebelumnya:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
  --source=TLS_INSPECTION_FILE.yaml \
  --location=REGION

Menambahkan kebijakan pemeriksaan TLS ke kebijakan keamanan

Konsol

Membuat kebijakan proxy web

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Kebijakan.

  4. Klik Create a policy.

  5. Masukkan nama untuk kebijakan yang ingin dibuat, seperti myswppolicy.

  6. Masukkan deskripsi kebijakan, seperti My new swp policy.

  7. Dalam daftar Regions, pilih region tempat Anda ingin membuat kebijakan Secure Web Proxy.

  8. Untuk mengonfigurasi pemeriksaan TLS, pilih Konfigurasi pemeriksaan TLS.

  9. Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang Anda buat.

  10. Jika ingin membuat aturan untuk kebijakan Anda, klik Continue, lalu klik Add rule. Untuk mengetahui detailnya, lihat Membuat aturan Proxy Web yang Aman.

  11. Klik Create.

Membuat aturan proxy web

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  4. Klik nama kebijakan Anda.

  5. Klik Tambahkan Aturan.

  6. Isi kolom aturan:

    1. Nama
    2. Deskripsi
    3. Status
    4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 adalah prioritas tertinggi.
    5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
    6. Di bagian Pencocokan Sesi, tentukan kriteria untuk cocok dengan sesi. Untuk mengetahui informasi selengkapnya tentang sintaksis SessionMatcher, lihat referensi bahasa pencocok CEL.
    7. Untuk mengaktifkan pemeriksaan TLS, pilih Aktifkan pemeriksaan TLS.
    8. Di bagian Pencocokan Aplikasi, tentukan kriteria untuk cocok dengan permintaan. Jika Anda tidak mengaktifkan aturan untuk pemeriksaan TLS, permintaan hanya dapat cocok dengan traffic HTTP.
    9. Klik Create.
  7. Klik Add rule untuk menambahkan aturan lain.

  8. Klik Create untuk membuat kebijakan.

Menyiapkan proxy web

  1. Di konsol Google Cloud, buka halaman Network Security.

    Buka Keamanan Jaringan

  2. Klik Secure Web Proxy.

  3. Klik tab Web proxy.

  4. Klik Siapkan proxy web.

  5. Masukkan nama untuk proxy web yang ingin Anda buat, misalnya myswp.

  6. Masukkan deskripsi proxy web, seperti My new swp.

  7. Dalam daftar Regions, pilih wilayah tempat Anda ingin membuat proxy web.

  8. Pada daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  9. Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  10. Masukkan alamat IP proxy web.

  11. Dalam daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  12. Dalam daftar Policy, pilih kebijakan yang Anda buat untuk dikaitkan dengan proxy web.

  13. Klik Create.

Cloud Shell

  1. Buat file policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    
  2. Buat kebijakan Secure Web Proxy:

      gcloud network-security gateway-security-policies import policy1 \
          --source=policy.yaml --location=REGION
    
  3. Buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
      description: Allow example.com
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'example.com'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
    
  4. Buat aturan kebijakan keamanan:

      gcloud network-security gateway-security-policies rules import allow-example-com \
          --source=rule.yaml \
          --location=REGION \
          --gateway-security-policy=policy1
    
  5. Untuk melampirkan kebijakan pemeriksaan TLS ke kebijakan keamanan yang sudah ada, buat file POLICY_FILE.yaml. Ganti POLICY_FILE dengan nama file yang Anda inginkan.

      description: My Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    

Apa langkah selanjutnya?