Questa pagina descrive in che modo Cloud SQL utilizza i certificati SSL (Secure Socket Layer)/Transport Layer Security(TLS) autogestiti per connettersi in modo sicuro alle istanze Cloud SQL.
Panoramica
Cloud SQL supporta la connessione a un'istanza mediante il protocollo SSL/TLS (Transport Layer Security). I dati in transito all'interno di un confine fisico controllato da Google o per conto di Google sono generalmente autenticati, ma potrebbero non essere criptati per impostazione predefinita. Se ti connetti a un'istanza utilizzando il suo indirizzo IP pubblico, devi applicare i certificati SSL/TLS in modo che i dati siano protetti durante la trasmissione. SSL/TLS è il protocollo standard per la crittografia dei dati inviati su internet. Se i tuoi dati non sono criptati, chiunque può esaminare i tuoi pacchetti e leggere informazioni riservate.
Certificati SSL/TLS
Per le connessioni SSL è richiesto un certificato dell'autorità di certificazione (CA) del server. Cloud SQL crea automaticamente un certificato server quando crei l'istanza. Finché il certificato del server è valido, non è necessario gestire attivamente il certificato del server. Tuttavia, il certificato ha una data di scadenza di 10 anni, dopodiché non sarà più valido e i client non saranno in grado di stabilire una connessione sicura alla tua istanza utilizzando il certificato. Puoi anche crearne uno nuovo manualmente.
Come funziona la rotazione dei certificati server
Cloud SQL offre un modo per ruotare il certificato del server, in modo da poter scambiare senza problemi un nuovo certificato prima della scadenza del certificato precedente.
Circa tre mesi prima della scadenza del certificato del server per un'istanza Cloud SQL, i proprietari del progetto ricevono un'email da Cloud SQL in cui viene indicato che è iniziato il processo di rotazione del certificato per l'istanza. L'email fornisce il nome dell'istanza e informa che Cloud SQL ha aggiunto un nuovo certificato del server al progetto. Il certificato del server esistente continua a funzionare normalmente. In effetti, l'istanza ha due certificati server durante questo periodo.
Prima della scadenza del certificato corrente, scarica il nuovo file server-ca.pem, che contiene le informazioni del certificato del server attuale e di quello nuovo. Aggiorna i client SQL Server in modo che utilizzino il nuovo file copiandolo in tutte le macchine host del client SQL Server per sostituire il file esistente.
Dopo aver aggiornato tutti i client SQL Server, invia un comando all'istanza Cloud SQL per ruotare al nuovo certificato del server. Una volta eseguita questa operazione, il vecchio certificato del server non sarà più riconosciuto e potrà essere utilizzato solo il nuovo certificato del server.
Applicare la crittografia SSL/TLS
L'applicazione di SSL garantisce che tutte le connessioni siano criptate.Usa reti autorizzate
Se l'istanza Cloud SQL utilizza un indirizzo IP pubblico, devi aggiungere gli indirizzi IP dei client SQL Server come reti autorizzate durante la configurazione di SSL/TLS.
In questo caso, i client SQL Server sono autorizzati a connettersi solo se i loro indirizzi IP vengono aggiunti all'elenco. Gli indirizzi IP possono essere limitati a un singolo endpoint o essere costituiti da un intervallo in formato CIDR. Ad esempio:
10.50.51.3 o 10.50.51.0/26.
Scadenza del certificato SSL
I certificati SSL associati alle istanze Cloud SQL hanno un periodo di scadenza di 10 anni. Alla scadenza, esegui la rotazione dei certificati SSL. Puoi anche reimpostare la configurazione SSL dell'istanza Cloud SQL in qualsiasi momento.
Passaggi successivi
Configura SSL/TLS sulla tua istanza Cloud SQL.
Scopri di più su come viene gestita la crittografia in Google Cloud.
- Scopri di più su come SQLServer utilizza le connessioni criptate.
- Gestisci SSL/TLS nella tua istanza Cloud SQL.