Esta página foi traduzida pela API Cloud Translation.

Ative a inspeção de TLS

Esta página descreve como ativar a inspeção do Transport Layer Security (TLS) para a sua instância do proxy Web seguro. O proxy Web seguro oferece um serviço de inspeção TLS que lhe permite intercetar o tráfego TLS, inspecionar o pedido encriptado e aplicar políticas de segurança. Para mais informações sobre a inspeção TLS, consulte o artigo Vista geral da inspeção TLS.

Antes de começar

Antes de configurar a instância do proxy Web seguro para inspeção TLS, conclua as tarefas nas secções seguintes.

Ative o Certificate Authority Service

O proxy Web seguro usa o serviço de autoridade de certificação para gerar os certificados usados para a inspeção TLS.

Para ativar o serviço de AC, use o seguinte comando:

  gcloud services enable privateca.googleapis.com

Crie um grupo de ACs

Um conjunto de autoridades de certificação (AC) é uma coleção de várias ACs com uma política de emissão de certificados comum e uma política de gestão de identidade e acesso (IAM). Os conjuntos de ACs oferecem a capacidade de rodar as cadeias de confiança sem qualquer interrupção ou tempo de inatividade para os respetivos payloads.

Tem de criar um conjunto de ACs antes de poder usar o serviço de AC para criar uma AC. Esta secção explica as autorizações necessárias para concluir esta tarefa e, em seguida, descreve como criar um conjunto de ACs.

Para gerar certificados, a inspeção TLS usa uma conta de serviço separada para cada projeto denominada service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com. Certifique-se de que concedeu autorizações a esta conta de serviço para usar o seu conjunto de ACs. Se este acesso for revogado, a inspeção TLS deixa de funcionar.

Para obter o PROJECT_NUMBER através do PROJECT_ID do projeto do conjunto de ACs, use o seguinte comando:

gcloud projects describe <var>PROJECT_ID</var>
    --format="value(projectNumber)"

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou funções de IAM.

Autorizações

networksecurity.tlsInspectionPolicies.create
networksecurity.tlsInspectionPolicies.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.delete
networksecurity.tlsInspectionPolicies.update

Funções

Administrador de rede de Calcular (roles/compute.networkAdmin)
Editor do Gestor de certificados (roles/certificatemanager.editor)
Opcional: administrador da política de segurança (roles/compute.orgSecurityPolicyAdmin)

Para criar o conjunto, use o comando gcloud privateca pools create e especifique o ID do conjunto subordinado, o nível, o ID do projeto e a localização.

gcloud privateca pools create SUBORDINATE_POOL_ID \
    --tier=TIER \
    --project=PROJECT_ID \
    --location=REGION

Substitua o seguinte:

SUBORDINATE_POOL_ID: nome do grupo de ACs
TIER: Nível de CA, devops ou enterprise

Recomendamos que crie o conjunto de ACs no nível devops porque não é necessário acompanhar os certificados emitidos individualmente.
PROJECT_ID: ID do projeto do conjunto de CA
REGION: localização do grupo de ACs

Crie um grupo de CAs subordinadas

Se tiver vários cenários de emissão de certificados, pode criar uma AC subordinada para cada um desses cenários. Pode criar uma AC subordinada num conjunto de ACs e a AC de raiz assina todas as ACs nesse conjunto de ACs. Estes certificados são usados para assinar certificados do servidor gerados para a inspeção TLS.

Para criar um conjunto de ACs subordinadas, use um dos seguintes métodos.

Crie um conjunto de ACs subordinadas usando uma AC de raiz existente armazenada no Certificate Authority Service

Para gerar uma AC subordinada, faça o seguinte:

Crie um conjunto de ACs subordinado usando uma AC raiz existente detida externamente

Para gerar uma AC subordinada, faça o seguinte:

Crie uma AC de raiz

Se não existir uma AC raiz, pode criar uma no serviço de AC.

Para criar uma AC raiz, faça o seguinte:

Crie uma AC de raiz
Crie um conjunto de ACs subordinadas através de uma AC raiz existente armazenada no serviço de AC

Criar uma conta de serviço

Uma conta de serviço ajuda a fornecer as autorizações necessárias para a inspeção TLS sem comprometer a segurança das suas contas de utilizador nem a sua própria instância do proxy Web seguro.

Se não tiver uma conta de serviço, tem de criar uma e, em seguida, conceder as autorizações necessárias a essa conta de serviço.

Crie uma conta de serviço.
```
gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID
```
Em resposta, a CLI do Google Cloud cria uma conta de serviço denominada service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com.

Para obter o PROJECT_NUMBER através do PROJECT_ID do projeto do conjunto de ACs, use o seguinte comando:
```
gcloud projects describe PROJECT_ID
    --format="value(projectNumber)"
```

Para a conta de serviço que criou, conceda autorizações para gerar certificados com o seu conjunto de ACs.

gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

Configure o Secure Web Proxy para a inspeção TLS

Só pode avançar com as tarefas desta secção depois de concluir as tarefas de pré-requisitos indicadas na secção Antes de começar.

Para configurar a inspeção TLS, conclua as tarefas nas secções seguintes.

Crie uma política de inspeção TLS

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter recebido as seguintes autorizações ou uma das seguintes funções do IAM.

Autorizações

certificatemanager.trustconfigs.list
certificatemanager.trustconfigs.use
privateca.caPools.list
privateca.caPools.use
privateca.certificateAuthorities.list
networksecurity.operations.get
networksecurity.tlsInspectionPolicies.list
networksecurity.tlsInspectionPolicies.create

Funções

Função de administrador de segurança do Compute (compute.securityAdmin)
Função de administrador de rede de Calcular (compute.networkAdmin)

Consola

Na Google Cloud consola, aceda à página Políticas de inspeção de TLS.

Aceda às políticas de inspeção de TLS
No menu do seletor de projetos, selecione o seu projeto.
Clique em Criar política de inspeção TLS.
Em Nome, introduza um nome.

Aviso: não inclua informações sensíveis, como informações de identificação pessoal ou dados de segurança, no nome da política de inspeção TLS.
Opcional: no campo Descrição, introduza uma descrição.
Na lista Região, selecione a região para a qual quer criar a política de inspeção de TLS.
Na lista CA pool, selecione o CA pool a partir do qual quer criar os certificados.

Se ainda não tiver configurado um conjunto de ACs, clique em Novo conjunto e siga as instruções em Crie um conjunto de ACs.
Opcional: na lista Versão de TLS mínima, selecione a versão de TLS mínima suportada pela política.
Para a Configuração de confiança, selecione uma das seguintes opções:
- Apenas ACs públicas: selecione esta opção se quiser confiar em servidores com certificados assinados publicamente.
- Apenas ACs privadas: selecione esta opção se quiser confiar em servidores com certificados assinados de forma privada.
  
  Na lista Configuração de confiança privada, selecione a configuração de confiança com o repositório de confiança configurado para usar para confiar em certificados de servidor a montante. Para mais informações sobre como criar uma configuração de confiança, consulte o artigo Crie uma configuração de confiança.
- ACs públicas e privadas: selecione esta opção se quiser usar ACs públicas e privadas.
Opcional: na lista Perfil do conjunto de cifras, selecione o tipo de perfil TLS. Pode escolher um dos seguintes valores:
- Compatível: permite que o conjunto mais amplo de clientes, incluindo clientes que suportam apenas funcionalidades TLS desatualizadas, negociem o TLS.
- Moderna: suporta um vasto conjunto de funcionalidades TLS, o que permite aos clientes modernos negociar o TLS.
- Restrito: suporta um conjunto reduzido de funcionalidades TLS destinado a cumprir requisitos de conformidade mais rigorosos.
- Personalizado: permite selecionar as funcionalidades do TLS individualmente.
  
  Na lista Conjuntos de cifras, selecione os conjuntos de cifras suportados pelo perfil personalizado.
Clique em Criar.

gcloud

Crie o ficheiro TLS_INSPECTION_FILE.yaml. Substitua TLS_INSPECTION_FILE pelo nome do ficheiro necessário.
Adicione o código seguinte ao ficheiro YAML para configurar a TlsInspectionPolicy necessária:
```
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
```
Substitua o seguinte:
- PROJECT_ID: ID do projeto
- REGION: região na qual a política vai ser criada
- TLS_INSPECTION_NAME: nome da política de inspeção TLS do proxy Web seguro
- CA_POOL: nome do grupo de ACs a partir do qual os certificados vão ser criados
O conjunto de CA tem de existir na mesma região.

Importe a política de inspeção TLS

Importe a política de inspeção de TLS que criou no passo anterior:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
    --source=TLS_INSPECTION_FILE.yaml \
    --location=REGION

Adicione a política de inspeção TLS à política de segurança

Consola

Crie a política de proxy Web

Na Google Cloud consola, aceda à página Políticas de SWP.

Aceda às políticas de SWP
Clique em Criar uma política.
Introduza um nome para a política que quer criar, como myswppolicy.
Introduza uma descrição da política, como My new swp policy.
Na lista Regiões, selecione a região onde quer criar a política de proxy Web seguro.
Para configurar a inspeção de TLS, selecione Configurar inspeção de TLS.
Na lista Política de inspeção TLS, selecione a política de inspeção TLS que criou.
Se quiser criar regras para a sua política, clique em Continuar e, de seguida, em Adicionar regra. Para ver detalhes, consulte o artigo Crie regras de proxy Web seguro.
Clique em Criar.

Crie regras do Secure Web Proxy

Na Google Cloud consola, aceda à página Políticas de SWP.

Aceda às políticas de SWP
No menu do seletor de projetos, selecione o ID da sua organização ou a pasta que contém a sua política.
Clique no nome da política.
Clique em Adicionar regra.
Preencha os campos da regra:
1. Nome
2. Descrição
3. Estado
4. Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais elevada para a mais baixa, em que 0 é a prioridade mais elevada.
5. Na secção Ação, especifique se as ligações que correspondem à regra são permitidas (Permitir) ou recusadas (Recusar).
6. Na secção Correspondência de sessão, especifique os critérios para fazer corresponder a sessão. Para mais informações sobre a sintaxe de SessionMatcher, consulte a referência do idioma do motor de correspondência do IEC.
7. Para ativar a inspeção TLS, selecione Ativar inspeção TLS.
8. Na secção Correspondência da aplicação, especifique os critérios para fazer corresponder o pedido. Se não ativar a regra para inspeção de TLS, o pedido só pode corresponder ao tráfego HTTP.
9. Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.
Clique em Criar para criar a política.

Configure um proxy Web

Na Google Cloud consola, aceda à página Proxies Web.

Aceda a Proxies Web
Clique em Criar um proxy Web seguro.
Introduza um nome para o proxy Web que quer criar, como myswp.
Introduza uma descrição do proxy Web, como My new swp.
Na lista Regiões, selecione a região onde quer criar o proxy Web.
Na lista Rede, selecione a rede onde quer criar o proxy Web.
Na lista Sub-rede, selecione a sub-rede onde quer criar o proxy Web.
Opcional: introduza o endereço IP do proxy Web seguro. Pode introduzir um endereço IP do intervalo de endereços IP do proxy Web seguro que reside na sub-rede que criou no passo anterior. Se não introduzir o endereço IP, a instância do proxy Web seguro escolhe automaticamente um endereço IP da sub-rede selecionada.
Na lista Certificado, selecione o certificado que quer usar para criar o proxy Web.
Na lista Política, selecione a política que criou para associar ao proxy Web.
Clique em Criar.

Cloud Shell

Crie o ficheiro policy.yaml:

  description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Crie a política de Secure Web Proxy:

  gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

Crie o ficheiro rule.yaml:
```
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true
```
Nota: tem de ativar a inspeção TLS para cada regra. Para ativar a inspeção TLS, defina o atributo tlsInspectionEnabled como true para cada regra que use applicationMatcher para corresponder ao tráfego HTTPS. A inspeção TLS para a regra está limitada ao tráfego que corresponde ao atributo sessionMatcher da regra. Para mais informações, consulte o artigo Avaliação da regra de inspeção TLS.

Crie a regra da política de segurança.

  gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

Para anexar uma política de inspeção TLS a uma política de segurança existente, crie o ficheiro POLICY_FILE.yaml. Substitua POLICY_FILE pelo nome do ficheiro.

  description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

O que se segue?

Use uma lista de URLs para criar políticas