Mengaktifkan pemeriksaan TLS

Halaman ini menjelaskan cara mengaktifkan pemeriksaan Transport Layer Security (TLS) untuk instance Secure Web Proxy Anda.

Sebelum memulai

Sebelum mengonfigurasi Secure Web Proxy untuk pemeriksaan TLS, selesaikan tugas di bagian berikut ini.

Aktifkan CAS

Secure Web Proxy menggunakan Certificate Authority Service (CAS) untuk membuat sertifikat yang digunakan untuk pemeriksaan TLS.

Untuk mengaktifkan CAS, gunakan perintah berikut:

  gcloud services enable privateca.googleapis.com

Membuat kumpulan CA

Anda harus membuat kumpulan certificate authority (CA) sebelum dapat menggunakan CAS untuk membuat CA. Bagian ini membahas izin yang diperlukan untuk menyelesaikan tugas ini, lalu menjelaskan cara membuat kumpulan CA.

Untuk membuat sertifikat, pemeriksaan TLS menggunakan akun layanan terpisah untuk setiap project yang disebut service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com. Pastikan Anda telah memberikan izin ke akun layanan ini untuk menggunakan kumpulan CA Anda. Jika akses ini dicabut, pemeriksaan TLS akan berhenti berfungsi.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus memiliki izin atau peran IAM berikut.

Izin

networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.delete
networksecurity.tlsInspectionPolicies.update

Peran

Admin Jaringan Compute (roles/compute.networkAdmin)
Editor Pengelola Sertifikat (roles/certificatemanager.editor)
Opsional: Admin Kebijakan Keamanan (roles/compute.orgSecurityPolicyAdmin)

Untuk membuat kumpulan, gunakan perintah gcloud privateca pools create dan tentukan ID, tingkat, ID project, dan lokasi kumpulan subordinat.

    gcloud privateca pools create SUBORDINATE_POOL_ID 

        --tier=TIER 

        --project=PROJECT_ID 

        --location=REGION

Ganti kode berikut:

SUBORDINATE_POOL_ID: nama kumpulan CA
TIER: tingkat CA, devops atau enterprise

Sebaiknya Anda membuat kumpulan CA di tingkat devops karena melacak sertifikat yang diterbitkan satu per satu tidak diperlukan.
PROJECT_ID: ID project kumpulan CA
REGION: lokasi kumpulan CA

Penting: Sertifikat yang dibuat untuk pemeriksaan TLS memiliki masa aktif yang singkat. Setelah diterbitkan, sertifikat tidak dapat diubah atau dicabut melalui layanan CA.

Membuat kumpulan CA subordinat

Anda dapat membuat kumpulan CA subordinat, dan CA root menandatangani semua CA dalam kumpulan tersebut. Sertifikat ini digunakan untuk menandatangani sertifikat server yang dihasilkan untuk pemeriksaan TLS.

Untuk membuat kumpulan subordinat, gunakan salah satu metode berikut.

Membuat kumpulan CA subordinat menggunakan CA root yang ada yang disimpan dalam CAS

Untuk menghasilkan CA subordinat, lakukan hal berikut:

Membuat kumpulan CA subordinat dengan menggunakan CA root yang ada yang disimpan secara eksternal

Untuk menghasilkan CA subordinat, lakukan hal berikut:

Membuat root CA

Jika tidak memiliki CA root, Anda dapat membuatnya dalam CAS. Untuk membuat CA root, lakukan hal berikut:

Buat root CA.
Ikuti langkah-langkah di Membuat kumpulan CA subordinat menggunakan CA root yang ada yang disimpan dalam CAS.

Untuk informasi selengkapnya tentang kumpulan CA, lihat dokumentasi Certificate Authority Service.

Membuat akun layanan

Jika tidak memiliki akun layanan, Anda harus membuatnya dan memberikan izin yang diperlukan.

Buat akun layanan:
```
gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID
```
Sebagai respons, Google Cloud CLI akan membuat akun layanan yang disebut service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com.

Untuk akun layanan yang Anda buat, berikan izin untuk membuat sertifikat dengan kumpulan CA:

gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

Mengonfigurasi Proxy Web Aman untuk pemeriksaan TLS

Anda hanya dapat melanjutkan tugas di bagian ini setelah menyelesaikan tugas prasyarat yang tercantum di bagian Sebelum memulai.

Untuk mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut ini.

Membuat kebijakan pemeriksaan TLS

Buat file TLS_INSPECTION_FILE.yaml. Ganti TLS_INSPECTION_FILE dengan nama file yang Anda inginkan.
Tambahkan kode berikut ke file YAML untuk mengonfigurasi TlsInspectionPolicy yang diinginkan:
```
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
```
Ganti kode berikut:
- PROJECT_ID: nomor project
- REGION: wilayah tempat kebijakan dibuat
- TLS_INSPECTION_NAME: nama kebijakan pemeriksaan Secure Web Proxy TLS
- CA_POOL: nama kumpulan CA untuk membuat sertifikat
  
  Kumpulan CA harus ada dalam region yang sama.

Mengimpor kebijakan pemeriksaan TLS

Impor kebijakan pemeriksaan TLS yang Anda buat di langkah sebelumnya:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
  --source=TLS_INSPECTION_FILE.yaml \
  --location=REGION

Menambahkan kebijakan pemeriksaan TLS ke kebijakan keamanan

Konsol

Membuat kebijakan proxy web

Di konsol Google Cloud, buka halaman Network Security.

Buka Keamanan Jaringan
Klik Secure Web Proxy.
Klik tab Kebijakan.
Klik Create a policy.
Masukkan nama untuk kebijakan yang ingin Anda buat, seperti myswppolicy.
Masukkan deskripsi kebijakan, seperti My new swp policy.
Dalam daftar Regions, pilih region tempat Anda ingin membuat kebijakan Secure Web Proxy.
Untuk mengonfigurasi pemeriksaan TLS, pilih Konfigurasi pemeriksaan TLS.
Dalam daftar Kebijakan pemeriksaan TLS, pilih kebijakan pemeriksaan TLS yang Anda buat.
Jika Anda ingin membuat aturan untuk kebijakan Anda, klik Continue, lalu klik Add rule. Untuk mengetahui detailnya, lihat Membuat aturan Proxy Web yang Aman.
Klik Create.

Membuat aturan proxy web

Di konsol Google Cloud, buka halaman Network Security.

Buka Keamanan Jaringan
Klik Secure Web Proxy.
Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.
Klik nama kebijakan Anda.
Klik Tambahkan Aturan.
Isi kolom aturan:
1. Nama
2. Deskripsi
3. Status
4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi ke terendah dengan 0 sebagai prioritas tertinggi.
5. Di bagian Action, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Allow) atau ditolak (Deny).
6. Di bagian Pencocokan Sesi, tentukan kriteria untuk cocok dengan sesi. Guna mengetahui informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.
7. Untuk mengaktifkan pemeriksaan TLS, pilih Aktifkan pemeriksaan TLS.
8. Di bagian Pencocokan Aplikasi, tentukan kriteria untuk cocok dengan permintaan. Jika Anda tidak mengaktifkan aturan untuk pemeriksaan TLS, permintaan hanya dapat cocok dengan traffic HTTP.
9. Klik Create.
Klik Add rule untuk menambahkan aturan lain.
Klik Create untuk membuat kebijakan.

Menyiapkan proxy web

Di konsol Google Cloud, buka halaman Network Security.

Buka Keamanan Jaringan
Klik Secure Web Proxy.
Klik tab Web proxy.
Klik Siapkan proxy web.
Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.
Masukkan deskripsi proxy web, seperti My new swp.
Dalam daftar Regions, pilih region tempat Anda ingin membuat proxy web.
Dalam daftar Jaringan, pilih jaringan tempat Anda ingin membuat proxy web.
Dalam daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.
Masukkan alamat IP proxy web.
Dalam daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.
Dalam daftar Policy, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.
Klik Create.

Cloud Shell

Buat file policy.yaml:

  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Buat kebijakan Secure Web Proxy:

  gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

Buat file rule.yaml:
```
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true
```
Catatan: Anda harus mengaktifkan pemeriksaan TLS untuk setiap aturan. Untuk mengaktifkan pemeriksaan TLS, tetapkan atribut tlsInspectionEnabled ke true untuk setiap aturan yang menggunakan applicationMatcher agar cocok dengan traffic HTTPS. Pemeriksaan TLS untuk aturan terbatas pada traffic yang cocok dengan atribut sessionMatcher aturan. Untuk informasi selengkapnya, lihat Evaluasi aturan pemeriksaan TLS.

Buat aturan kebijakan keamanan:

  gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

Untuk melampirkan kebijakan pemeriksaan TLS ke kebijakan keamanan yang sudah ada, buat file POLICY_FILE.yaml. Ganti POLICY_FILE dengan nama file yang Anda inginkan.

  description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Apa langkah selanjutnya?

Menggunakan daftar URL untuk membuat kebijakan