Halaman ini menjelaskan cara Cloud SQL menggunakan sertifikat Secure Socket Layer (SSL)/Transport Layer Security(TLS) yang dikelola sendiri untuk terhubung dengan aman ke instance Cloud SQL.
Ringkasan
Cloud SQL mendukung koneksi ke instance menggunakan protokol Transport Layer Security (SSL/TLS). Data dalam pengiriman di dalam batas fisik yang dikontrol oleh atau atas nama Google umumnya diautentikasi, tetapi mungkin tidak dienkripsi secara default. Jika terhubung ke instance menggunakan alamat IP publiknya, Anda harus menerapkan sertifikat SSL/TLS agar data aman selama transmisi. SSL/TLS adalah protokol standar untuk enkripsi data yang dikirim melalui internet. Jika data Anda tidak dienkripsi, siapa pun dapat memeriksa paket Anda dan membaca informasi rahasia.
Sertifikat SSL/TLS
Sertifikat Certificate Authority (CA) server diperlukan dalam koneksi SSL. Cloud SQL membuat sertifikat server secara otomatis saat Anda membuat instance. Selama sertifikat server valid, Anda tidak perlu mengelola sertifikat server secara aktif. Namun, sertifikat tersebut memiliki tenggat masa berlaku selama 10 tahun; setelah tenggat tersebut, sertifikat tidak lagi valid, dan klien tidak dapat membuat koneksi yang aman ke instance Anda menggunakan sertifikat tersebut. Anda juga dapat membuat yang baru secara manual.
Cara kerja rotasi sertifikat server
Cloud SQL menyediakan cara untuk merotasi sertifikat server Anda, sehingga sertifikat baru dapat ditukar dengan lancar sebelum sertifikat lama berakhir. expires.
Sekitar tiga bulan sebelum masa berlaku sertifikat server untuk instance Cloud SQL berakhir, pemilik project akan menerima email dari Cloud SQL, yang menyatakan bahwa proses rotasi sertifikat untuk instance tersebut telah dimulai. Email tersebut memberikan nama instance, dan mengatakan bahwa Cloud SQL telah menambahkan sertifikat server baru ke project. Sertifikat server yang ada terus berfungsi secara normal. Akibatnya, instance memiliki dua sertifikat server selama periode ini.
Sebelum masa berlaku sertifikat saat ini berakhir, download file server-ca.pem
baru,
yang berisi informasi sertifikat untuk sertifikat server saat ini dan
baru. Update klien SQL Server Anda untuk menggunakan file
baru, dengan menyalinnya ke semua mesin host klien SQL Server Anda, yang akan menggantikan
file yang sudah ada.
Setelah semua klien SQL Server Anda diupdate, kirim perintah ke instance Cloud SQL untuk merotasi sertifikat server yang baru. Setelah selesai, sertifikat server lama tidak akan lagi dikenali, dan hanya sertifikat server baru yang dapat digunakan.
Menerapkan enkripsi SSL/TLS
Menerapkan SSL akan memastikan bahwa semua koneksi dienkripsi.Gunakan jaringan yang diizinkan
Jika instance Cloud SQL Anda menggunakan alamat IP publik, Anda harus menambahkan alamat IP klien SQL Server sebagai jaringan yang diizinkan saat mengonfigurasi SSL/TLS.
Dalam hal ini, klien SQL Server hanya diizinkan untuk terhubung jika alamat IP mereka ditambahkan ke daftar ini. Alamat IP dapat dibatasi pada satu endpoint atau terdiri dari rentang dalam format CIDR. Misalnya:
10.50.51.3
atau 10.50.51.0/26
.
Masa berlaku sertifikat SSL berakhir
Sertifikat SSL yang terkait dengan instance Cloud SQL memiliki masa berlaku selama 10 tahun. Saat masa berlaku habis, lakukan rotasi sertifikat SSL. Anda juga dapat mereset konfigurasi SSL instance Cloud SQL Anda kapan saja.
Langkah selanjutnya
Konfigurasikan SSL/TLS pada instance Cloud SQL.
Pelajari lebih lanjut cara penanganan enkripsi di Google Cloud.
- Pelajari lebih lanjut cara SQLServer menggunakan koneksi terenkripsi.
- Mengelola SSL/TLS di instance Cloud SQL.