Utilizzo dei criteri SSL

I criteri SSL specificano una versione minima di TLS e un insieme di funzionalità TLS che Cloud Load Balancing utilizza durante la negoziazione di SSL con i client. In questo documento, il termine SSL si riferisce sia ai protocolli SSL che TLS.

Le policy SSL sono supportate con i seguenti bilanciatori del carico:

  • Policy SSL globali
    • Bilanciatore del carico delle applicazioni esterno globale
    • Bilanciatore del carico delle applicazioni classico
    • Bilanciatore del carico di rete proxy esterno (con un proxy SSL di destinazione)
    • Bilanciatore del carico delle applicazioni interno tra regioni
  • Policy SSL regionali
    • Bilanciatore del carico delle applicazioni esterno regionale
    • Bilanciatore del carico delle applicazioni interno regionale

Per ulteriori informazioni sul funzionamento delle norme SSL, consulta Norme SSL per i protocolli SSL e TLS.

Puoi creare e gestire le policy SSL utilizzando la console Google Cloud o Google Cloud CLI quando crei un bilanciatore del carico HTTPS o SSL o in qualsiasi momento dopo la creazione del bilanciatore del carico.

Crea policy SSL

Puoi creare criteri SSL con profili predefiniti o con un profilo personalizzato.

Crea una policy SSL con un profilo predefinito

Console

Policy SSL globale

Per creare una policy SSL globale con un profilo predefinito:

  1. Nella console Google Cloud , vai alla pagina Policy SSL.

    Vai a Policy SSL

  2. Fai clic su Crea policy.

  3. Per Policy SSL globale, fai clic sul pulsante Crea accanto. Viene visualizzata la pagina Crea policy.

  4. Inserisci un nome.

  5. In Versione TLS minima, seleziona un valore.

  6. Per Profilo, seleziona Compatibile, Moderno, Limitato o FIPS_202205.

    • Le policy SSL che utilizzano il profilo FIPS_202205 devono utilizzare una versione TLS minima di 1.2.
    • Se imposti la versione TLS minima di una policy SSL su 1.3, la policy deve utilizzare il profilo RESTRICTED.

    Vengono visualizzate le sezioni Funzionalità attivate e Funzionalità disattivate per il profilo.

  7. Se esiste un bilanciatore del carico a cui vuoi collegare la policy, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione della policy SSL. Se necessario, aggiungi altri target.

  8. Fai clic su Crea.

Policy SSL regionale

Per creare una policy SSL regionale con un profilo predefinito:

  1. Nella console Google Cloud , vai alla pagina Policy SSL.

    Vai a Policy SSL

  2. Fai clic su Crea policy.

  3. Per Policy SSL regionale, fai clic sul pulsante Crea accanto. Viene visualizzata la pagina Crea policy.

  4. Inserisci un nome.

  5. In Regione, seleziona una regione.

  6. In Versione TLS minima, seleziona un valore.

  7. Per Profilo, seleziona Compatibile, Moderno, Limitato o FIPS_202205.

    • Le policy SSL che utilizzano il profilo FIPS_202205 devono utilizzare una versione TLS minima di 1.2.
    • Se imposti la versione TLS minima di una policy SSL su 1.3, la policy deve utilizzare il profilo RESTRICTED.

    Vengono visualizzate le sezioni Funzionalità attivate e Funzionalità disattivate per il profilo.

  8. Se esiste un bilanciatore del carico a cui vuoi collegare la policy, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione della policy SSL. Se necessario, aggiungi altri target.

  9. Fai clic su Crea.

gcloud

Policy SSL globale

Di seguito è riportata la sintassi generale per creare una policy SSL globale con un profilo predefinito.

  • Le policy SSL che utilizzano il profilo FIPS_202205 devono utilizzare una versione TLS minima di 1.2.
  • Se imposti la versione TLS minima di una policy SSL su 1.3, la policy deve utilizzare il profilo RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3}

Sostituisci SSL_POLICY_NAME con il nome che hai assegnato alla policy SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client.

Il seguente comando crea una policy SSL globale con il profilo MODERN:

gcloud compute ssl-policies create my-ssl-policy \
    --profile MODERN \
    --min-tls-version 1.0

Policy SSL regionale

Di seguito è riportata la sintassi generale per creare una policy SSL regionale con un profilo predefinito.

  • Le policy SSL che utilizzano il profilo FIPS_202205 devono utilizzare una versione TLS minima di 1.2.
  • Se imposti la versione TLS minima di una policy SSL su 1.3, la policy deve utilizzare il profilo RESTRICTED.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --region REGION

Sostituisci quanto segue:

  • SSL_POLICY_NAME: il nome che hai assegnato alla policy SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client
  • REGION: la regione per la policy SSL

Il comando seguente crea una policy SSL regionale con il profilo COMPATIBLE:

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Crea una policy SSL con un profilo personalizzato

Console

Policy SSL globale

Per creare una policy SSL globale con un profilo personalizzato:

  1. Nella console Google Cloud , vai alla pagina Policy SSL.

    Vai a Policy SSL

  2. Fai clic su Crea policy.

  3. Per Policy SSL globale, fai clic sul pulsante Crea accanto. Viene visualizzata la pagina Crea policy.

  4. Inserisci un nome.

  5. In Versione TLS minima, seleziona un valore.

  6. In Profilo, seleziona Personalizzato. Tutte le funzionalità vengono visualizzate come Funzionalità disattivate.

  7. Nell'elenco delle funzionalità, seleziona ogni suite di crittografia che vuoi attivare. Le suite di crittografia che attivi sono elencate come Funzionalità attivate.

  8. Se esiste un bilanciatore del carico a cui vuoi collegare la policy, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione della policy SSL. Se necessario, aggiungi altri target.

  9. Fai clic su Crea.

Policy SSL regionale

Per creare una policy SSL regionale con un profilo personalizzato:

  1. Nella console Google Cloud , vai alla pagina Policy SSL.

    Vai a Policy SSL

  2. Fai clic su Crea policy.

  3. Per Policy SSL regionale, fai clic sul pulsante Crea accanto. Viene visualizzata la pagina Crea policy.

  4. Inserisci un nome.

  5. In Regione, seleziona una regione.

  6. In Versione TLS minima, seleziona un valore.

  7. In Profilo, seleziona Personalizzato. Tutte le funzionalità vengono visualizzate come Funzionalità disattivate.

  8. Nell'elenco delle funzionalità, seleziona ogni suite di crittografia che vuoi attivare. Le suite di crittografia che attivi sono elencate come Funzionalità attivate.

  9. Se esiste un bilanciatore del carico a cui vuoi collegare la policy, fai clic su Applica alle destinazioni e seleziona una regola di forwarding come destinazione della policy SSL. Se necessario, aggiungi altri target.

  10. Fai clic su Crea.

gcloud

Quando crei una policy SSL con il profilo CUSTOM, sono supportate solo le funzionalità che specifichi nel comando create. Altre funzionalità non sono supportate.

Policy SSL globale

Di seguito è riportata la sintassi generale per creare una policy SSL globale con un profilo personalizzato:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]

Sostituisci quanto segue:

  • SSL_POLICY_NAME: il nome che hai assegnato al criterio SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client
  • SSL_FEATURE_1 | 2 | 3: le funzionalità personalizzate da applicare

Il seguente esempio crea una policy SSL globale che utilizza il profilo CUSTOM con una versione TLS minima di 1.2 e le funzionalità TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Policy SSL regionale

Di seguito è riportata la sintassi generale per creare una policy SSL regionale con un profilo personalizzato:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version {1.0 | 1.1 | 1.2} \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

Sostituisci quanto segue:

  • SSL_POLICY_NAME: il nome che hai assegnato al criterio SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client
  • SSL_FEATURE_1 | 2 | 3: le funzionalità personalizzate da applicare
  • REGION: la regione in cui applicare la policy SSL

L'esempio seguente crea una policy SSL regionale che utilizza il profilo CUSTOM con una versione TLS minima di 1.2 e le funzionalità TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Elenca criteri SSL

Console

Nella console Google Cloud , vai alla pagina Policy SSL.

Vai a Policy SSL

Puoi visualizzare un elenco di tutte le policy SSL disponibili. Il campo Ambito indica se la policy SSL è globale o regionale.

gcloud

Elenca le policy SSL globali e regionali:

gcloud compute ssl-policies list

Elenca solo le policy SSL globali:

gcloud compute ssl-policies list --global

Elenca solo le policy SSL regionali:

gcloud compute ssl-policies list --regions REGION

Sostituisci REGION con la regione in cui applicare la policy SSL.

Elenca le funzionalità disponibili in un criterio SSL

Console

  1. Nella console Google Cloud , vai alla pagina Policy SSL.

    Vai a Policy SSL

  2. Fai clic sul nome della norma di cui vuoi visualizzare le funzionalità. Vengono elencate le suite di crittografia attivate e disattivate.

gcloud

Elenca le funzionalità disponibili nelle policy SSL globali:

gcloud compute ssl-policies list-available-features

Elenca le funzionalità disponibili nelle policy SSL regionali:

gcloud compute ssl-policies list-available-features \
    --region REGION

Sostituisci REGION con la regione della policy SSL di cui vuoi elencare le funzionalità.

Modifica delle policy SSL

Console

Per modificare una policy SSL globale o regionale:

  1. Nella console Google Cloud , vai alla pagina Policy SSL.

    Vai a Policy SSL

  2. Fai clic sul nome della policy da modificare.

  3. Fai clic su Modifica.

  4. Apporta le modifiche che preferisci.

  5. Fai clic su Salva.

gcloud

Per modificare una policy SSL esistente, trasmetti uno o tutti i flag corrispondenti ai campi che vuoi aggiornare. I campi non specificati non vengono aggiornati.

Se aggiorni le funzionalità, quelle attivate in precedenza vengono eliminate e sostituite con le nuove funzionalità che specifichi.

Policy SSL globali

  • Le policy SSL che utilizzano il profilo FIPS_202205 devono utilizzare una versione TLS minima di 1.2.
  • Se imposti la versione TLS minima di una policy SSL su 1.3, la policy deve utilizzare il profilo RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    --custom-features FEATURES

Sostituisci quanto segue:

  • SSL_POLICY_NAME: il nome che hai assegnato al criterio SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client
  • FEATURES: le funzionalità da applicare alla policy SSL

Policy SSL regionali

  • Le policy SSL che utilizzano il profilo FIPS_202205 devono utilizzare una versione TLS minima di 1.2.
  • Se imposti la versione TLS minima di una policy SSL su 1.3, la policy deve utilizzare il profilo RESTRICTED.

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
    --min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
    [--custom-features FEATURES \]
    --region REGION

Sostituisci quanto segue:

  • SSL_POLICY_NAME: il nome che hai assegnato al criterio SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client
  • FEATURES: le funzionalità da applicare alla policy SSL
  • REGION: la regione della policy SSL di cui vuoi aggiornare le funzionalità

Crea un proxy di destinazione con una policy SSL

Console

Puoi creare un proxy di destinazione utilizzando la console Google Cloud quando crei o aggiorni il bilanciatore del carico, come mostrato nei seguenti documenti:

gcloud

Per creare un proxy SSL di destinazione con una policy SSL globale:

gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --ssl-policy SSL_POLICY_NAME

Sostituisci quanto segue:

  • TARGET_SSL_PROXY_NAME: il nome del proxy di destinazione
  • BACKEND_SERVICE_NAME: il nome del servizio di backend
  • SSL_CERTIFICATE_NAME: il nome del certificato TLS
  • SSL_POLICY_NAME: il nome che hai assegnato al criterio SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client

Per creare un proxy HTTPS di destinazione globale con una policy SSL globale:

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --ssl-policy SSL_POLICY_NAME

Sostituisci quanto segue:

  • TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione
  • SSL_CERTIFICATE_NAME: il nome del certificato TLS
  • URL_MAP_NAME: il nome della mappa URL
  • SSL_POLICY_NAME: il nome che hai assegnato al criterio SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client

Per creare un proxy HTTPS di destinazione regionale con una policy SSL regionale:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    --url-map-region MAP_REGION \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Sostituisci quanto segue:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione
  • SSL_CERTIFICATE_NAME: il nome del certificato TLS
  • URL_MAP_NAME: il nome della mappa URL
  • MAP_REGION: il nome della regione Google Cloud in cui si trova la mappa URL
  • SSL_POLICY_NAME: il nome che hai assegnato al criterio SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client
  • REGION: la regione della policy SSL con cui vuoi creare il proxy HTTPS di destinazione

Collega una policy SSL esistente a un proxy di destinazione esistente

Console

I proxy di destinazione non possono essere modificati nella console Google Cloud . Utilizza gcloud CLI o l'API.

gcloud

Utilizza questi comandi per collegare una policy SSL esistente a un proxy SSL o HTTPS.

  • Per trovare tutti i progetti della tua organizzazione che hanno proxy SSL di destinazione:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetSslProxy

    Sostituisci ORGANIZATION_ID con l'ID dell'organizzazione in cui trovare i proxy SSL di destinazione.

  • Per trovare tutti i progetti della tua organizzazione che hanno proxy HTTPS di destinazione:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

    Sostituisci ORGANIZATION_ID con l'ID dell'organizzazione in cui trovare i proxy HTTPS di destinazione.

  • Per elencare tutti i proxy target SSL globali in un progetto, utilizza il metodo targetSslProxies.aggregatedList. Poi, utilizza il parametro di query filter per cercare i proxy SSL di destinazione che non fanno riferimento a un criterio SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Sostituisci quanto segue:

    • PROJECT_ID: il nome dell'ID progetto
    • YOUR_API_KEY: la tua chiave API
    • YOUR_ACCESS_TOKEN: il tuo token di accesso

  • Per elencare tutti i proxy HTTPS target globali e regionali in un progetto, utilizza il metodo targetHttpsProxies.aggregatedList con il parametro di query includeAllScopes impostato su true. Quindi, utilizza il parametro di query filter per cercare i proxy HTTPS di destinazione che non fanno riferimento a un criterio SSL.

    curl \
    'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Sostituisci quanto segue:

    • PROJECT_ID: il nome dell'ID progetto
    • YOUR_API_KEY: la tua chiave API
    • YOUR_ACCESS_TOKEN: il tuo token di accesso

  • Per collegare una policy SSL globale esistente a un proxy SSL di destinazione:

    gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Sostituisci quanto segue:

    • TARGET_SSL_PROXY_NAME: il nome del proxy di destinazione
    • SSL_POLICY_NAME: il nome che hai assegnato alla policy SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client

  • Per collegare una policy SSL globale esistente a un proxy HTTPS di destinazione globale:

    gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME

    Sostituisci quanto segue:

    • TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione
    • SSL_POLICY_NAME: il nome che hai assegnato alla policy SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client

  • Per collegare una policy SSL regionale esistente a un proxy HTTPS di destinazione regionale:

    gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

    Sostituisci quanto segue:

    • REGIONAL_TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione
    • SSL_POLICY_NAME: il nome che hai assegnato alla policy SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client
    • REGION: la regione della policy SSL che vuoi collegare al proxy HTTPS di destinazione regionale

Se non fornisci il flag --ssl-policy o il flag --clear-ssl-policy in un aggiornamento del proxy di destinazione (ad esempio, quando aggiorni un certificato SSL), la policy SSL rimane invariata. Il flag --clear-ssl-policy è descritto in Elimina una policy SSL da un proxy di destinazione.

API

Per impostare una policy SSL globale per un proxy di destinazione globale, utilizza il metodo targetHttpsProxies.patch.

Per impostare una policy SSL regionale per un proxy di destinazione regionale, utilizza il metodo regionTargetHttpsProxies.patch.

Elimina una policy SSL da un proxy di destinazione

Console

I proxy di destinazione non possono essere modificati nella console Google Cloud . Utilizza gcloud CLI o l'API.

gcloud

Utilizza questi comandi per rimuovere un criterio SSL da un proxy SSL o HTTPS. Se non colleghi un criterio SSL diverso al proxy di destinazione, il bilanciatore del carico utilizza il criterio SSL predefinito. L'utilizzo del flag --clear-ssl-policy equivale a sostituire una policy SSL con la policy SSL predefinita.

Per rimuovere una policy SSL globale da un proxy SSL di destinazione:

gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
    --clear-ssl-policy

Sostituisci TARGET_SSL_PROXY_NAME con il nome del proxy di destinazione.

Per rimuovere una policy SSL globale da un proxy HTTPS di destinazione globale:

gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy

Sostituisci TARGET_HTTPS_PROXY_NAME con il nome del proxy di destinazione.

Per rimuovere una policy SSL regionale da un proxy HTTPS di destinazione regionale:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Sostituisci quanto segue:

  • REGIONAL_TARGET_HTTPS_PROXY_NAME: il nome del proxy di destinazione
  • REGION: la regione della policy SSL che vuoi collegare al proxy HTTPS di destinazione regionale

Quando fornisci il flag --clear-ssl-policy nel comando di aggiornamento, la policy SSL viene rimossa dal proxy.

Se non fornisci il flag --clear-ssl-policy o il flag --ssl-policy nell'aggiornamento del proxy di destinazione (ad esempio, quando aggiorni un certificato SSL), la policy SSL rimane invariata. Il flag --ssl-policy è descritto in Collega una policy SSL esistente a un proxy di destinazione esistente.

Gestisci i criteri SSL

Se utilizzi vincoli personalizzati per limitare le funzionalità TLS, controlla manualmente la conformità TLS nelle policy SSL preesistenti collegate ai proxy target SSL e HTTPS.

Utilizza i seguenti passaggi di esempio per trovare e aggiornare le policy SSL che non soddisfano i tuoi obiettivi di sicurezza.

  • Per trovare tutti i progetti della tua organizzazione che hanno risorse di policy SSL:

    gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/SslPolicy

    Sostituisci ORGANIZATION_ID con l'ID dell'organizzazione in cui trovare tutti i progetti che hanno risorse di policy SSL.

  • Per elencare tutte le policy SSL globali e regionali in un progetto, utilizza il metodo sslPolicies.aggregatedList con il parametro di query includeAllScopes impostato su true. Quindi, utilizza il parametro di query filter per cercare le norme SSL che non sono in linea con i tuoi obiettivi di sicurezza.

    Ad esempio, per trovare le policy SSL con una versione TLS inferiore a 1.2, utilizza il filtro minTlsVersion="TLS_1_0" o minTlsVersion="TLS_1_1":

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed

    Sostituisci quanto segue:

    • PROJECT_ID: il nome dell'ID progetto
    • YOUR_API_KEY: la tua chiave API
    • YOUR_ACCESS_TOKEN: il tuo token di accesso

    Per ottenere la chiave API, consulta Gestire le chiavi API. Per ottenere il token di accesso, utilizza il metodo projects.serviceAccounts.generateAccessToken.

    Poi aggiorna le policy SSL che non soddisfano il requisito TLS minimo.

    Per aggiornare una policy SSL globale, puoi utilizzare il seguente comando:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --global

    Sostituisci SSL_POLICY_NAME con il nome che hai assegnato alla policy SSL che definisce le funzionalità TLS utilizzate dal bilanciatore del carico durante la negoziazione delle connessioni con i client.

    Per aggiornare una policy SSL regionale, puoi utilizzare il seguente comando:

    gcloud compute ssl-policies update SSL_POLICY_NAME \
    --min-tls-version=TLS_1_2 \
    --region REGION

    Sostituisci quanto segue:

    • SSL_POLICY_NAME: il nome della policy SSL
    • REGION: la regione per la policy SSL

  • Per elencare tutti i proxy SSL di destinazione in un progetto che non sono associati a un criterio SSL, esegui questo comando:

    curl \

  'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed

    Sostituisci quanto segue:

    • PROJECT_ID: il nome dell'ID progetto
    • YOUR_API_KEY: la tua chiave API
    • YOUR_ACCESS_TOKEN: il tuo token di accesso

    Per collegare una policy SSL a questi proxy di destinazione, consulta Collegare una policy SSL esistente a un proxy di destinazione esistente.

  • Puoi anche utilizzare Cloud Asset Inventory o Google APIs Explorer per trovare e aggiornare le risorse che non soddisfano i tuoi requisiti di sicurezza.

    Ad esempio, per cercare un elenco di proxy SSL di destinazione non associati a una policy SSL, puoi utilizzare i seguenti passaggi in Cloud Asset Inventory:

    1. Nella console Google Cloud , vai alla pagina Inventario asset.

      Vai all'inventario degli asset

    2. Fai clic su Query asset.

    3. Nel campo Modifica query, inserisci la seguente query e fai clic su Esegui.

      select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL

    4. Per collegare una policy SSL a questi proxy di destinazione, consulta Collegare una policy SSL esistente a un proxy di destinazione esistente.

    5. Esegui la query in Cloud Asset Inventory finché non visualizzi una risposta vuota.

Limiti

Vedi Proxy di destinazione.

Riferimento API

Per le descrizioni delle proprietà e dei metodi disponibili quando lavori con i criteri SSL tramite l'API REST, consulta quanto segue:

Prodotto Documentazione dell'API
  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico
  • Bilanciatore del carico delle applicazioni interno tra regioni
  • Bilanciatore del carico di rete proxy esterno globale
  • Bilanciatore del carico di rete proxy classico
 sslPolicies
  • Bilanciatore del carico delle applicazioni esterno regionale
  • Bilanciatore del carico delle applicazioni interno regionale
 regionSslPolicies

Riferimento per gcloud CLI

Per il riferimento a Google Cloud CLI, consulta quanto segue:

Passaggi successivi