Nesta página, você verá como o Cloud SQL usa certificados autogerenciados do Secure Socket Layer (SSL)/Transport Layer Security(TLS) para se conectar com segurança às instâncias do Cloud SQL.
Visão geral
O Cloud SQL aceita conexão a uma instância usando o protocolo Transport Layer Security (SSL/TLS). Os dados em trânsito dentro de um limite físico controlado pelo Google ou em nome dele costumam ser autenticados, mas não necessariamente criptografados por padrão. Se você se conectar a uma instância usando o endereço IP público dela, será necessário aplicar certificados SSL/TLS para que os dados estejam seguros durante a transmissão. O SSL/TLS é o protocolo padrão de criptografia dos dados enviados pela Internet. Se os dados não estiverem criptografados, qualquer pessoa poderá examinar os pacotes e ler informações confidenciais.
Certificados SSL/TLS
O certificado de Autoridade de certificação (CA) do servidor é obrigatório em conexões SSL. O Cloud SQL cria um certificado de servidor automaticamente quando você cria a instância. Desde que o certificado do servidor seja válido, não será necessário gerenciá-lo ativamente. No entanto, o certificado tem uma data de validade de 10 anos. Após esse período, ele não será mais válido, e os clientes não poderão usá-lo para estabelecer uma conexão segura com a instância. Também é possível criar um novo manualmente.
Como funciona a rotação de certificados do servidor
O Cloud SQL fornece uma maneira de alternar o certificado do servidor para que um novo seja criado antes que o antigo expire.
Cerca de três meses antes do vencimento do certificado do servidor em uma instância do Cloud SQL, os proprietários do projeto recebem um e-mail informando que o processo de mudança do certificado foi iniciado para aquela instância. O e-mail inclui o nome da instância e informa que o Cloud SQL adicionou um novo certificado do servidor ao projeto. O certificado do servidor continua funcionando normalmente. Na verdade, a instância tem dois certificados do servidor durante esse período.
Antes que o atual expire, faça o download do novo arquivo server-ca.pem,
que contém as informações do certificado de servidor atual e do
novo. Para que seus clientes do SQL Server usem o novo arquivo, ele deve ser
copiado em todas as máquinas host do cliente SQL Server, substituindo
o arquivo atual.
Depois que todos os clientes do SQL Server forem atualizados, envie um comando para que a instância do Cloud SQL use somente o novo certificado do servidor. Depois disso, o certificado antigo não será mais reconhecido e somente o novo poderá ser usado.
Aplicar criptografia SSL/TLS
A aplicação do SSL garante que todas as conexões sejam criptografadas.Usar redes autorizadas
Se a instância do Cloud SQL estiver usando um endereço IP público, será necessário adicionar os endereços IP dos clientes do SQL Server como redes autorizadas ao configurar o SSL/TLS.
Nesse caso, os clientes do SQL Server só estarão autorizados a se conectar se os endereços IP deles
forem adicionados a essa lista. Os endereços IP podem ser limitados a apenas um
endpoint ou consistir em um intervalo no formato CIDR. Por exemplo,
10.50.51.3 ou 10.50.51.0/26.
Vencimento do certificado SSL
Os certificados SSL associados às instâncias do Cloud SQL têm um prazo de validade de 10 anos. Após o vencimento, será preciso rotacionar o certificado SSL. Também é possível redefinir a configuração SSL da instância do Cloud SQL a qualquer momento.
A seguir
Configure o SSL/TLS na instância do Cloud SQL.
Saiba mais sobre como a criptografia é gerenciada no Google Cloud.
- Saiba mais sobre como o SQLServer usa conexões criptografadas.
- Gerencie o SSL/TLS na instância do Cloud SQL.