Cette page explique comment Cloud SQL utilise des certificats SSL (Secure Socket Layer) et TLS (Transport Layer Security) pour se connecter en toute sécurité aux instances Cloud SQL.
Aperçu
Cloud SQL est compatible avec la connexion à une instance à l'aide du protocole SSL/TLS (Transport Layer Security). Les données en transit se trouvant au sein d'une limite physique contrôlée par ou pour le compte de Google sont généralement authentifiées, mais elles peuvent ne pas être chiffrées par défaut. Si vous vous connectez à une instance à l'aide de son adresse IP publique, vous devez appliquer des certificats SSL/TLS afin que les données soient sécurisées pendant leur transmission. SSL/TLS est le protocole standard de chiffrement des données envoyées sur Internet. Si vos données ne sont pas chiffrées, n'importe qui peut examiner vos paquets et lire des informations confidentielles.
Certificats SSL/TLS
Un certificat CA (autorité de certification) du serveur est obligatoire dans le cadre de connexions SSL. Cloud SQL crée automatiquement un certificat de serveur lors de la création d'une instance. Tant que celui-ci est valide, vous n'avez pas besoin de gérer activement le certificat du serveur. Toutefois, le certificat a une date d'expiration de 10 ans. Après cette date, il n'est plus valide et les clients ne sont plus en mesure d'établir une connexion sécurisée à votre instance à l'aide de ce certificat. Vous pouvez également en créer un manuellement.
Fonctionnement de la rotation des certificats de serveur
Cloud SQL fournit une fonctionnalité de rotation des certificats de serveur. Cela permet de facilement mettre en place un nouveau certificat avant l'expiration de l'ancien.
Environ trois mois avant l'expiration du certificat de serveur d'une instance Cloud SQL, les propriétaires de projet reçoivent un e-mail de Cloud SQL leur indiquant que le processus de rotation des certificats a été démarré pour l'instance concernée. L'e-mail indique le nom de l'instance et informe les propriétaires de projet qu'un nouveau certificat de serveur y a été ajouté par Cloud SQL. Le certificat de serveur existant continue à fonctionner normalement. De fait, l'instance dispose lors de cette période de deux certificats de serveur.
Avant l'expiration du certificat actuel, téléchargez le nouveau fichier server-ca.pem contenant les détails du certificat actuel ainsi que ceux du certificat nouvellement créé. Mettez à jour vos clients SQL Server pour qu'ils utilisent le nouveau fichier. Pour cela, copiez le fichier téléchargé vers vos machines hôtes clientes afin de remplacer le fichier existant.
Une fois tous vos clients SQL Server mis à jour, envoyez à l'instance Cloud SQL une commande déclenchant la rotation vers le nouveau certificat du serveur. Une fois cette opération effectuée, l'ancien certificat du serveur n'est plus reconnu et seul le nouveau certificat du serveur peut être utilisé.
Appliquer le chiffrement SSL/TLS
L'application du protocole SSL garantit que toutes les connexions sont chiffrées.Utiliser des réseaux autorisés
Si votre instance Cloud SQL utilise une adresse IP publique, vous devez ajouter les adresses IP de vos clients SQL Server comme réseaux autorisés lors de la configuration de SSL/TLS.
Dans ce cas, les clients SQL Server ne sont autorisés à se connecter que si leurs adresses IP sont ajoutées à cette liste. Les adresses IP peuvent être limitées à un seul point de terminaison ou consister en une plage au format CIDR. Par exemple, 10.50.51.3 ou 10.50.51.0/26.
Expiration du certificat SSL
Les certificats SSL associés aux instances Cloud SQL ont une période d'expiration de 10 ans. À la date d'expiration, procédez à la rotation des certificats SSL. Vous pouvez également réinitialiser la configuration SSL de votre instance Cloud SQL à tout moment.
Étape suivante
Configurez SSL/TLS sur votre instance Cloud SQL.
Découvrez comment le chiffrement est géré dans Google Cloud.
- En savoir plus sur comment SQL Server utilise les connexions chiffrées.
- Gérez SSL/TLS sur votre instance Cloud SQL.