Menggunakan kebijakan SSL

Kebijakan SSL menentukan versi TLS minimum dan serangkaian kemampuan TLS yang digunakan Cloud Load Balancing saat melakukan negosiasi SSL dengan klien. Dalam dokumen ini, istilah SSL mengacu pada protokol SSL dan TLS.

Kebijakan SSL didukung dengan load balancer berikut:

  • Kebijakan SSL global
    • Load Balancer Aplikasi eksternal global
    • Load Balancer Aplikasi klasik
    • Load Balancer Jaringan proxy eksternal (dengan proxy SSL target)
    • Load Balancer Aplikasi internal lintas region
  • Kebijakan SSL regional
    • Load Balancer Aplikasi eksternal regional
    • Load Balancer Aplikasi internal regional

Untuk mengetahui informasi selengkapnya tentang cara kerja kebijakan SSL, lihat Kebijakan SSL untuk protokol SSL dan TLS.

Anda dapat membuat dan mengelola kebijakan SSL menggunakan konsol Google Cloud atau Google Cloud CLI saat membuat load balancer HTTPS atau SSL atau kapan saja setelah membuat load balancer.

Membuat kebijakan SSL

Anda dapat membuat kebijakan SSL dengan profil yang telah ditentukan sebelumnya atau dengan profil kustom.

Membuat kebijakan SSL dengan profil yang telah ditentukan sebelumnya

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil standar, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Global SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Minimum TLS Version, pilih nilai.

  6. Untuk Profile, pilih Compatible, Modern, Restricted, atau FIPS_202205.

    • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
    • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

    Enabled features dan Disabled features untuk profil akan ditampilkan.

  7. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  8. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil yang telah ditentukan sebelumnya, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Region, pilih region.

  6. Untuk Minimum TLS Version, pilih nilai.

  7. Untuk Profile, pilih Compatible, Modern, Restricted, atau FIPS_202205.

    • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
    • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

    Enabled features dan Disabled features untuk profil akan ditampilkan.

  8. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  9. Klik Create.

gcloud

Kebijakan SSL global

Berikut adalah sintaks umum untuk membuat kebijakan SSL global dengan profil yang telah ditentukan sebelumnya.

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3}

Ganti SSL_POLICY_NAME dengan nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien.

Perintah berikut akan membuat kebijakan SSL global dengan profil MODERN:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil yang telah ditentukan sebelumnya.

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • REGION: region untuk kebijakan SSL

Perintah berikut akan membuat kebijakan SSL regional dengan profil COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Membuat kebijakan SSL dengan profil kustom

Konsol

Kebijakan SSL global

Untuk membuat kebijakan SSL global dengan profil kustom, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Global SSL policy, klik tombol Create di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Minimum TLS Version, pilih nilai.

  6. Untuk Profile, pilih Custom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan.

  7. Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Paket cipher yang Anda aktifkan akan dicantumkan sebagai Fitur yang diaktifkan.

  8. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  9. Klik Create.

Kebijakan SSL regional

Untuk membuat kebijakan SSL regional dengan profil kustom, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik Create policy.

  3. Untuk Kebijakan SSL regional, klik tombol Buat di sampingnya. Halaman Create policy akan muncul.

  4. Masukkan nama.

  5. Untuk Region, pilih region.

  6. Untuk Minimum TLS Version, pilih nilai.

  7. Untuk Profile, pilih Custom. Semua fitur ditampilkan sebagai Fitur yang dinonaktifkan.

  8. Dalam daftar Fitur, pilih setiap cipher suite yang ingin Anda aktifkan. Paket cipher yang Anda aktifkan akan dicantumkan sebagai Fitur yang diaktifkan.

  9. Jika ada load balancer yang ingin Anda lampirkan kebijakannya, klik Apply to targets dan pilih aturan penerusan sebagai target kebijakan SSL. Jika perlu, tambahkan target lainnya.

  10. Klik Create.

gcloud

Saat Anda membuat kebijakan SSL dengan profil CUSTOM, hanya fitur yang Anda tentukan dalam perintah create yang didukung. Fitur lainnya tidak didukung.

Kebijakan SSL global

Berikut adalah sintaks umum untuk membuat kebijakan SSL global dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • SSL_FEATURE_1 | 2 | 3: fitur kustom yang akan diterapkan

Contoh berikut membuat kebijakan SSL global yang menggunakan profil CUSTOM dengan versi TLS minimum 1.2 dan fitur TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dan TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Kebijakan SSL regional

Berikut adalah sintaksis umum untuk membuat kebijakan SSL regional dengan profil kustom:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • SSL_FEATURE_1 | 2 | 3: fitur kustom yang akan diterapkan
  • REGION: region tempat kebijakan SSL diterapkan

Contoh berikut membuat kebijakan SSL regional yang menggunakan profil CUSTOM dengan versi TLS minimum 1.2 dan fitur TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dan TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Membuat daftar kebijakan SSL

Konsol

Di konsol Google Cloud , buka halaman SSL policies.

Buka kebijakan SSL

Anda dapat melihat daftar semua kebijakan SSL yang tersedia. Kolom Cakupan menunjukkan apakah kebijakan SSL bersifat global atau regional.

gcloud

Mencantumkan kebijakan SSL global dan regional:

gcloud compute ssl-policies list

Hanya mencantumkan kebijakan SSL global:

gcloud compute ssl-policies list --global

Hanya mencantumkan kebijakan SSL regional:

gcloud compute ssl-policies list --regions REGION

Ganti REGION dengan region tempat kebijakan SSL akan diterapkan.

Mencantumkan fitur yang tersedia dalam kebijakan SSL

Konsol

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang fiturnya ingin Anda lihat. Cipher suite yang diaktifkan dan dinonaktifkan akan dicantumkan.

gcloud

Mencantumkan fitur yang tersedia dalam kebijakan SSL global:

gcloud compute ssl-policies list-available-features

Mencantumkan fitur yang tersedia dalam kebijakan SSL regional:

gcloud compute ssl-policies list-available-features \
    --region REGION

Ganti REGION dengan region kebijakan SSL yang fiturnya ingin Anda cantumkan.

Mengubah kebijakan SSL

Konsol

Untuk mengubah kebijakan SSL global atau regional, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman SSL policies.

    Buka kebijakan SSL

  2. Klik nama kebijakan yang ingin Anda ubah.

  3. Klik Edit.

  4. Buat perubahan yang Anda inginkan.

  5. Klik Simpan.

gcloud

Untuk mengubah kebijakan SSL yang ada, teruskan salah satu atau semua flag yang sesuai dengan kolom yang ingin Anda perbarui. Kolom yang tidak ditentukan tidak diperbarui.

Jika Anda memperbarui fitur, fitur yang sebelumnya diaktifkan akan dihapus dan diganti dengan fitur baru yang Anda tentukan.

Kebijakan SSL global

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • FEATURES: fitur yang akan diterapkan ke kebijakan SSL

Kebijakan SSL regional

  • Kebijakan SSL yang menggunakan profil FIPS_202205 harus menggunakan versi TLS minimum 1.2.
  • Jika Anda menyetel versi TLS minimum kebijakan SSL ke 1.3, kebijakan harus menggunakan profil RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    [--custom-features FEATURES \]
    --region REGION

Ganti kode berikut:

  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • FEATURES: fitur yang akan diterapkan ke kebijakan SSL
  • REGION: region kebijakan SSL yang fiturnya ingin Anda update

Membuat proxy target dengan kebijakan SSL

Konsol

Anda dapat membuat proxy target menggunakan konsol Google Cloud saat Anda membuat atau memperbarui load balancer seperti yang ditunjukkan dalam dokumen berikut:

gcloud

Untuk membuat proxy SSL target dengan kebijakan SSL global:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --ssl-policy SSL_POLICY_NAME

Ganti kode berikut:

  • TARGET_SSL_PROXY_NAME: nama proxy target
  • BACKEND_SERVICE_NAME: nama layanan backend
  • SSL_CERTIFICATE_NAME: nama sertifikat TLS
  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

Untuk membuat proxy HTTPS target global dengan kebijakan SSL global:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --ssl-policy SSL_POLICY_NAME

Ganti kode berikut:

  • TARGET_HTTPS_PROXY_NAME: nama proxy target
  • SSL_CERTIFICATE_NAME: nama sertifikat TLS
  • URL_MAP_NAME: nama peta URL
  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

Untuk membuat proxy HTTPS target regional dengan kebijakan SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Ganti kode berikut:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: nama proxy target
  • SSL_CERTIFICATE_NAME: nama sertifikat TLS
  • URL_MAP_NAME: nama peta URL
  • MAP_REGION: nama wilayah Google Cloud tempat peta URL berada
  • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
  • REGION: region kebijakan SSL yang ingin Anda gunakan untuk membuat proxy HTTPS target

Melampirkan kebijakan SSL yang ada ke proxy target yang ada

Konsol

Proxy target tidak dapat diubah di konsol Google Cloud . Gunakan gcloud CLI atau API sebagai gantinya.

gcloud

Gunakan perintah ini untuk melampirkan kebijakan SSL yang ada ke proxy SSL atau proxy HTTPS.

  • Untuk menemukan semua project di organisasi Anda yang memiliki proxy SSL target:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetSslProxy

    Ganti ORGANIZATION_ID dengan ID organisasi tempat untuk menemukan proxy SSL target.

  • Untuk menemukan semua project di organisasi Anda yang memiliki proxy HTTPS target:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

    Ganti ORGANIZATION_ID dengan ID organisasi tempat menemukan proxy HTTPS target.

  • Untuk mencantumkan semua proxy SSL target global dalam project, gunakan metode targetSslProxies.aggregatedList. Kemudian, gunakan parameter kueri filter untuk menelusuri proxy SSL target yang tidak mereferensikan kebijakan SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

  • Untuk mencantumkan semua proxy HTTPS target global dan regional dalam project, gunakan metode targetHttpsProxies.aggregatedList dengan parameter kueri includeAllScopes yang ditetapkan ke true. Kemudian, gunakan parameter kueri filter untuk menelusuri proxy HTTPS target yang tidak mereferensikan kebijakan SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

  • Untuk melampirkan kebijakan SSL global yang ada ke proxy SSL target:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Ganti kode berikut:

    • TARGET_SSL_PROXY_NAME: nama proxy target
    • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

  • Untuk melampirkan kebijakan SSL global yang ada ke proxy HTTPS target global:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Ganti kode berikut:

    • TARGET_HTTPS_PROXY_NAME: nama proxy target
    • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien

  • Untuk melampirkan kebijakan SSL regional yang ada ke proxy HTTPS target regional:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

    Ganti kode berikut:

    • REGIONAL_TARGET_HTTPS_PROXY_NAME: nama proxy target
    • SSL_POLICY_NAME: nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien
    • REGION: region kebijakan SSL yang ingin Anda lampirkan ke proxy HTTPS target regional

Jika Anda tidak memberikan tanda --ssl-policy atau tanda --clear-ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --clear-ssl-policy dijelaskan dalam Menghapus kebijakan SSL dari proxy target.

API

Untuk menetapkan kebijakan SSL global untuk proxy target global, gunakan metode targetHttpsProxies.patch.

Untuk menetapkan kebijakan SSL regional untuk proxy target regional, gunakan metode regionTargetHttpsProxies.patch.

Menghapus kebijakan SSL dari proxy target

Konsol

Proxy target tidak dapat diubah di konsol Google Cloud . Gunakan gcloud CLI atau API sebagai gantinya.

gcloud

Gunakan perintah ini untuk menghapus kebijakan SSL dari proxy SSL atau proxy HTTPS. Jika Anda tidak melampirkan kebijakan SSL lain ke proxy target, load balancer akan menggunakan kebijakan SSL default. Menggunakan tanda --clear-ssl-policy sama dengan mengganti kebijakan SSL dengan kebijakan SSL default.

Untuk menghapus kebijakan SSL global dari proxy SSL target:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Ganti TARGET_SSL_PROXY_NAME dengan nama proxy target.

Untuk menghapus kebijakan SSL global dari proxy HTTPS target global:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Ganti TARGET_HTTPS_PROXY_NAME dengan nama proxy target.

Untuk menghapus kebijakan SSL regional dari proxy HTTPS target regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Ganti kode berikut:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: nama proxy target
  • REGION: region kebijakan SSL yang ingin Anda lampirkan ke proxy HTTPS target regional

Jika Anda memberikan tanda --clear-ssl-policy dalam perintah update, kebijakan SSL akan dihapus dari proxy.

Jika Anda tidak memberikan flag --clear-ssl-policy atau flag--ssl-policy dalam update proxy target (misalnya, saat mengupdate sertifikat SSL), kebijakan SSL tidak akan berubah. Flag --ssl-policy dijelaskan di Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

Mengelola kebijakan SSL

Jika Anda menggunakan batasan kustom untuk membatasi kemampuan TLS, periksa secara manual kepatuhan TLS dalam kebijakan SSL yang sudah ada dan terlampir ke proxy SSL target dan proxy HTTPS target.

Gunakan langkah-langkah contoh berikut untuk menemukan dan memperbarui kebijakan SSL yang tidak memenuhi sasaran keamanan Anda.

  • Untuk menemukan semua project di organisasi Anda yang memiliki resource kebijakan SSL:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy

    Ganti ORGANIZATION_ID dengan ID organisasi tempat menemukan semua project yang memiliki resource kebijakan SSL.

  • Untuk mencantumkan semua kebijakan SSL global dan regional dalam project, gunakan metode sslPolicies.aggregatedList dengan parameter kueri includeAllScopes yang ditetapkan ke true. Kemudian, gunakan parameter kueri filter untuk menelusuri kebijakan SSL yang tidak sesuai dengan sasaran keamanan Anda.

    Misalnya, untuk menemukan kebijakan SSL dengan versi TLS yang lebih rendah dari 1.2, gunakan filter minTlsVersion="TLS_1_0" atau minTlsVersion="TLS_1_1":

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

    Untuk mendapatkan kunci API, lihat Mengelola kunci API. Untuk mendapatkan token akses, gunakan metode projects.serviceAccounts.generateAccessToken.

    Kemudian, perbarui kebijakan SSL yang tidak memenuhi persyaratan TLS minimum Anda.

    Untuk memperbarui kebijakan SSL global, Anda dapat menggunakan perintah berikut:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --global

    Ganti SSL_POLICY_NAME dengan nama yang Anda tetapkan ke kebijakan SSL yang menentukan kemampuan TLS yang digunakan load balancer saat melakukan negosiasi koneksi dengan klien.

    Untuk memperbarui kebijakan SSL regional, Anda dapat menggunakan perintah berikut:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region REGION

    Ganti kode berikut:

    • SSL_POLICY_NAME: nama kebijakan SSL
    • REGION: region untuk kebijakan SSL

  • Untuk mencantumkan semua proxy SSL target dalam project yang tidak terkait dengan kebijakan SSL, jalankan perintah berikut:

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Ganti kode berikut:

    • PROJECT_ID: nama project ID
    • YOUR_API_KEY: Kunci API Anda
    • YOUR_ACCESS_TOKEN: token akses Anda

    Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

  • Anda juga dapat menggunakan Cloud Asset Inventory atau Google APIs Explorer untuk menemukan dan memperbarui resource yang tidak memenuhi persyaratan keamanan Anda.

    Misalnya, untuk mencari daftar proxy SSL target yang tidak terkait dengan kebijakan SSL, Anda dapat menggunakan langkah-langkah berikut di Inventaris Aset Cloud:

    1. Di konsol Google Cloud , buka halaman Inventaris aset.

      Buka Inventaris aset

    2. Klik Kueri aset.

    3. Di kolom Edit query, masukkan kueri berikut, lalu klik Run.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL

    4. Untuk melampirkan kebijakan SSL ke proxy target ini, lihat Melampirkan kebijakan SSL yang ada ke proxy target yang ada.

    5. Jalankan kueri di Inventaris Aset Cloud hingga Anda melihat respons kosong.

Batas

Lihat Proxy target.

Referensi API

Untuk deskripsi properti dan metode yang tersedia bagi Anda saat menggunakan kebijakan SSL melalui REST API, lihat bagian berikut:

Produk Dokumentasi API
  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi klasik
  • Load Balancer Aplikasi internal lintas region
  • Load Balancer Jaringan proxy eksternal global
  • Load Balancer Jaringan proxy klasik
 sslPolicies
  • Load Balancer Aplikasi eksternal regional
  • Load Balancer Aplikasi internal regional
 regionSslPolicies

Referensi gcloud CLI

Untuk referensi Google Cloud CLI, lihat berikut ini:

Langkah berikutnya