Autoriser avec des certificats SSL/TLS

Cette page explique comment Cloud SQL utilise des certificats SSL/TLS autogérés pour se connecter en toute sécurité aux instances Cloud SQL.

Présentation

Cloud SQL est compatible avec la connexion à une instance à l'aide du protocole SSL/TLS (Transport Layer Security). Si vous vous connectez à une instance à l'aide de son adresse IP publique, utilisez des certificats SSL/TLS afin que les données soient sécurisées pendant leur transmission. SSL/TLS est le protocole standard de chiffrement des données envoyées sur Internet. Si vos données ne sont pas chiffrées, tous les utilisateurs peuvent examiner vos paquets et lire des informations confidentielles.

Certificats SSL/TLS

Un certificat CA (autorité de certification) du serveur est obligatoire dans le cadre de connexions SSL. Cloud SQL crée automatiquement un certificat de serveur lors de la création d'une instance. Tant que celui-ci est valide, vous n'avez pas besoin de gérer activement le certificat du serveur. Toutefois, le certificat a une date d'expiration de 10 ans. Après cette date, il n'est plus valide et les clients ne sont plus en mesure d'établir une connexion sécurisée à votre instance à l'aide de ce certificat. Vous pouvez également en créer un manuellement.

Appliquer le chiffrement SSL/TLS

Configurer une instance Cloud SQL pour accepter les connexions SSL/TLS ne suffit pas à garantir que toutes les connexions non sécurisées seront refusées. Si vous n'appliquez pas SSL/TLS pour toutes les connexions, les problèmes liés à votre configuration SSL/TLS peuvent supprimer silencieusement le chiffrement par défaut pour toutes les connexions. Si vous n'exigez pas SSL/TLS pour toutes les connexions, les clients sans certificat valide restent autorisés à se connecter. Par conséquent, si vous accédez à votre instance à l'aide d'une adresse IP publique, il est fortement recommandé d'appliquer le protocole SSL à toutes les connexions.

Authentification via des réseaux autorisés

Si votre instance Cloud SQL utilise une adresse IP publique, vous devez ajouter les adresses IP de vos clients SQL Server comme réseaux autorisés lors de la configuration de SSL/TLS.

Dans ce cas, les clients SQL Server ne sont autorisés à se connecter que si leurs adresses IP sont ajoutées à cette liste. Les adresses IP peuvent être limitées à un seul point de terminaison ou consister en une plage au format CIDR. Par exemple, 10.50.51.3 ou 10.50.51.0/26.

Expiration du certificat SSL

Les certificats SSL associés aux instances Cloud SQL ont une période d'expiration de 10 ans. À la date d'expiration, procédez à la rotation des certificats SSL. Vous pouvez également réinitialiser la configuration SSL de votre instance Cloud SQL à tout moment.

Étapes suivantes