Como autorizar com certificados SSL/TLS

Nesta página, você verá como o Cloud SQL usa certificados SSL/TLS autogerenciados para se conectar com segurança às instâncias do Cloud SQL.

Visão geral

O Cloud SQL aceita conexão a uma instância usando o protocolo Transport Layer Security (SSL/TLS). Os dados em trânsito dentro de um limite físico controlado pelo Google ou em nome dele costumam ser autenticados, mas não necessariamente criptografados por padrão. Se você quiser se conectar a uma instância usando o endereço IP público dela, utilize os certificados SSL/TLS para proteger os dados durante a transmissão. O SSL/TLS é o protocolo padrão de criptografia dos dados enviados pela Internet. Se os dados não estiverem criptografados, qualquer pessoa poderá examinar os pacotes e ler informações confidenciais.

Certificados SSL/TLS

O certificado de Autoridade de certificação (CA) do servidor é obrigatório em conexões SSL. O Cloud SQL cria um certificado de servidor automaticamente quando você cria a instância. Desde que o certificado do servidor seja válido, não será necessário gerenciá-lo ativamente. No entanto, o certificado tem uma data de validade de 10 anos. Após esse período, ele não será mais válido, e os clientes não poderão usá-lo para estabelecer uma conexão segura com a instância. Também é possível criar um certificado novo manualmente.

Como aplicar a criptografia SSL/TLS

Mesmo que você configure sua instância do Cloud SQL para conexões SSL/TLS, ela ainda poderá aceitar conexões não seguras. Se você não exigir SSL/TLS para todas as conexões, os clientes sem um certificado válido poderão se conectar. Por isso, se você estiver acessando sua instância usando um IP público, é altamente recomendável aplicar SSL a todas as conexões.

Como usar redes autorizadas

Se a instância do Cloud SQL estiver usando um endereço IP público, será necessário adicionar os endereços IP dos clientes do SQL Server como redes autorizadas ao configurar o SSL/TLS.

Nesse caso, os clientes do SQL Server só estarão autorizados a se conectar se os endereços IP deles forem adicionados a essa lista. Os endereços IP podem ser limitados a apenas um endpoint ou consistir em um intervalo no formato CIDR. Por exemplo, 10.50.51.3 ou 10.50.51.0/26.

Vencimento do certificado SSL

Os certificados SSL associados às instâncias do Cloud SQL têm um prazo de validade de 10 anos. Após o vencimento, será preciso rotacionar o certificado SSL. Também é possível redefinir a configuração SSL da instância do Cloud SQL a qualquer momento.

A seguir