Mengaktifkan pemeriksaan TLS

Halaman ini menjelaskan cara mengaktifkan pemeriksaan Transport Layer Security (TLS) untuk instance Secure Web Proxy Anda. Secure Web Proxy menawarkan layanan pemeriksaan TLS yang memungkinkan Anda mencegat traffic TLS, memeriksa permintaan terenkripsi, dan menerapkan kebijakan keamanan. Untuk mengetahui informasi selengkapnya tentang pemeriksaan TLS, lihat Ringkasan pemeriksaan TLS.

Sebelum memulai

Sebelum mengonfigurasi instance Secure Web Proxy untuk pemeriksaan TLS, selesaikan tugas di bagian berikut.

Aktifkan Certificate Authority Service

Secure Web Proxy menggunakan Certificate Authority Service untuk membuat sertifikat yang digunakan untuk pemeriksaan TLS.

Untuk mengaktifkan Layanan CA, gunakan perintah berikut:

  gcloud services enable privateca.googleapis.com

Membuat kumpulan CA

Kumpulan certificate authority (CA) adalah kumpulan beberapa CA dengan kebijakan penerbitan sertifikat umum dan kebijakan Identity and Access Management (IAM). Kumpulan CA memberikan kemampuan untuk merotasi rantai kepercayaan tanpa gangguan atau periode nonaktif untuk payload-nya.

Anda harus membuat kumpulan CA sebelum dapat menggunakan CA Service untuk membuat CA. Bagian ini memandu Anda memahami izin yang diperlukan untuk menyelesaikan tugas ini, lalu menjelaskan cara membuat kumpulan CA.

Untuk membuat sertifikat, pemeriksaan TLS menggunakan akun layanan terpisah untuk setiap project yang disebut service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com. Pastikan Anda telah memberikan izin ke akun layanan ini untuk menggunakan kumpulan CA Anda. Jika akses ini dicabut, pemeriksaan TLS akan berhenti berfungsi.

Untuk mengambil PROJECT_NUMBER menggunakan PROJECT_ID project kumpulan CA, gunakan perintah berikut:

gcloud projects describe <var>PROJECT_ID</var>
    --format="value(projectNumber)"

Untuk membuat pool, gunakan perintah gcloud privateca pools create dan tentukan ID pool subordinat, tingkat, project ID, dan lokasi.

gcloud privateca pools create SUBORDINATE_POOL_ID \
    --tier=TIER \
    --project=PROJECT_ID \
    --location=REGION

Ganti kode berikut:

  • SUBORDINATE_POOL_ID: nama pool CA

  • TIER: Tingkat CA, devops atau enterprise

    Sebaiknya buat kumpulan CA di tingkat devops karena tidak perlu melacak sertifikat yang dikeluarkan satu per satu.

  • PROJECT_ID: ID project CA pool

  • REGION: lokasi pool CA

Membuat kumpulan CA subordinat

Jika Anda memiliki beberapa skenario penerbitan sertifikat, Anda dapat membuat CA subordinat untuk setiap skenario tersebut. Anda dapat membuat CA subordinat di kumpulan CA, dan CA root menandatangani semua CA di kumpulan CA tersebut. Sertifikat ini digunakan untuk menandatangani sertifikat server yang dibuat untuk pemeriksaan TLS.

Untuk membuat kumpulan CA subordinat, gunakan salah satu metode berikut.

Membuat kumpulan CA subordinat dengan menggunakan CA root yang ada dan disimpan dalam Certificate Authority Service

Untuk membuat CA subordinat, lakukan hal berikut:

  1. Buat kumpulan CA
  2. Membuat subordinate CA dalam kumpulan CA

Membuat kumpulan CA subordinat menggunakan CA root yang ada dan disimpan secara eksternal

Untuk membuat CA subordinat, lakukan hal berikut:

  1. Buat kumpulan CA
  2. Membuat subordinate CA yang ditandatangani oleh CA root eksternal

Membuat CA root

Jika CA root tidak ada, Anda dapat membuatnya dalam Layanan CA.

Untuk membuat CA root, lakukan hal berikut:

  1. Membuat CA root
  2. Membuat kumpulan CA subordinat dengan menggunakan root CA yang ada yang disimpan dalam CA Service

Membuat akun layanan

Akun layanan membantu memberikan izin yang diperlukan untuk pemeriksaan TLS tanpa mengorbankan keamanan akun pengguna Anda atau instance Secure Web Proxy itu sendiri.

Jika tidak memiliki akun layanan, Anda harus membuatnya terlebih dahulu, lalu memberikan izin yang diperlukan ke akun layanan tersebut.

  1. Membuat akun layanan.

    gcloud beta services identity create \
    --service=networksecurity.googleapis.com \
    --project=PROJECT_ID

    Sebagai respons, Google Cloud CLI akan membuat akun layanan yang disebut service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com.

    Untuk mengambil PROJECT_NUMBER menggunakan PROJECT_ID project kumpulan CA, gunakan perintah berikut:

    gcloud projects describe PROJECT_ID
    --format="value(projectNumber)"

  2. Untuk akun layanan yang Anda buat, berikan izin untuk membuat sertifikat dengan kumpulan CA Anda.

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --member='serviceAccount:SERVICE_ACCOUNT' \
    --role='roles/privateca.certificateManager' \
    --location='REGION'

Mengonfigurasi Secure Web Proxy untuk pemeriksaan TLS

Anda dapat melanjutkan tugas di bagian ini hanya setelah menyelesaikan tugas prasyarat yang tercantum di bagian Sebelum memulai.

Untuk mengonfigurasi pemeriksaan TLS, selesaikan tugas di bagian berikut.

Membuat kebijakan pemeriksaan TLS

Konsol

  1. Di konsol Google Cloud , buka halaman TLS inspection policies.

    Buka kebijakan pemeriksaan TLS

  2. Di menu pemilih project, pilih project Anda.

  3. Klik Create TLS inspection policy.

  4. Di kolom Name, masukkan nama untuk kebijakan.

  5. Opsional: Di kolom Description, masukkan deskripsi untuk kebijakan.

  6. Dalam daftar Region, pilih region tempat Anda ingin membuat kebijakan.

  7. Di daftar CA pool, pilih CA pool tempat Anda ingin membuat sertifikat.

    Jika Anda belum mengonfigurasi kumpulan CA, klik Kumpulan Baru, lalu ikuti petunjuk di bagian Membuat kumpulan CA.

  8. Klik Create.

gcloud

  1. Buat file TLS_INSPECTION_FILE.yaml. Ganti TLS_INSPECTION_FILE dengan nama file yang diperlukan.

  2. Tambahkan kode berikut ke file YAML untuk mengonfigurasi TlsInspectionPolicy yang diperlukan:

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL

    Ganti kode berikut:

    • PROJECT_ID: ID project
    • REGION: region tempat kebijakan akan dibuat
    • TLS_INSPECTION_NAME: nama kebijakan pemeriksaan TLS Secure Web Proxy
    • CA_POOL: nama pool CA tempat sertifikat akan dibuat

    Pool CA harus ada dalam region yang sama.

Mengimpor kebijakan pemeriksaan TLS

Impor kebijakan pemeriksaan TLS yang Anda buat pada langkah sebelumnya:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
    --source=TLS_INSPECTION_FILE.yaml \
    --location=REGION

Tambahkan kebijakan pemeriksaan TLS ke kebijakan keamanan

Konsol

Buat kebijakan proxy web

  1. Di konsol Google Cloud , buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Klik Buat kebijakan.

  3. Masukkan nama untuk kebijakan yang ingin Anda buat, seperti myswppolicy.

  4. Masukkan deskripsi kebijakan, seperti My new swp policy.

  5. Dalam daftar Regions, pilih region tempat Anda ingin membuat kebijakan Secure Web Proxy.

  6. Untuk mengonfigurasi pemeriksaan TLS, pilih Konfigurasi pemeriksaan TLS.

  7. Di daftar TLS inspection policy, pilih kebijakan pemeriksaan TLS yang Anda buat.

  8. Jika Anda ingin membuat aturan untuk kebijakan, klik Lanjutkan, lalu klik Tambahkan aturan. Untuk mengetahui detailnya, lihat Membuat aturan Secure Web Proxy.

  9. Klik Create.

Membuat aturan Secure Web Proxy

  1. Di konsol Google Cloud , buka halaman SWP Policies.

    Buka Kebijakan SWP

  2. Di menu pemilih project, pilih ID organisasi atau folder yang berisi kebijakan Anda.

  3. Klik nama kebijakan Anda.

  4. Klik Tambahkan aturan.

  5. Isi kolom aturan:

    1. Nama
    2. Deskripsi
    3. Status
    4. Prioritas: urutan evaluasi numerik aturan. Aturan dievaluasi dari prioritas tertinggi hingga terendah, dengan 0 sebagai prioritas tertinggi.
    5. Di bagian Tindakan, tentukan apakah koneksi yang cocok dengan aturan diizinkan (Izinkan) atau ditolak (Tolak).
    6. Di bagian Pencocokan Sesi, tentukan kriteria untuk mencocokkan sesi. Untuk mengetahui informasi selengkapnya tentang sintaksis untuk SessionMatcher, lihat referensi bahasa pencocok CEL.
    7. Untuk mengaktifkan pemeriksaan TLS, pilih Aktifkan pemeriksaan TLS.
    8. Di bagian Pencocokan Aplikasi, tentukan kriteria untuk mencocokkan permintaan. Jika Anda tidak mengaktifkan aturan untuk inspeksi TLS, permintaan hanya dapat cocok dengan traffic HTTP.
    9. Klik Create.

  6. Klik Tambahkan aturan untuk menambahkan aturan lain.

  7. Klik Buat untuk membuat kebijakan.

Menyiapkan proxy web

  1. Di konsol Google Cloud , buka halaman Web Proxies.

    Buka Web Proxy

  2. Klik Buat proxy web yang aman.

  3. Masukkan nama untuk proxy web yang ingin Anda buat, seperti myswp.

  4. Masukkan deskripsi proxy web, seperti My new swp.

  5. Di daftar Regions, pilih region tempat Anda ingin membuat proxy web.

  6. Di daftar Network, pilih jaringan tempat Anda ingin membuat proxy web.

  7. Di daftar Subnetwork, pilih subnetwork tempat Anda ingin membuat proxy web.

  8. Opsional: Masukkan alamat IP Secure Web Proxy. Anda dapat memasukkan alamat IP dari rentang alamat IP Secure Web Proxy yang berada di subnetwork yang Anda buat pada langkah sebelumnya. Jika Anda tidak memasukkan alamat IP, instance Secure Web Proxy Anda akan otomatis memilih alamat IP dari subnetwork yang dipilih.

  9. Di daftar Certificate, pilih sertifikat yang ingin Anda gunakan untuk membuat proxy web.

  10. Di daftar Policy, pilih kebijakan yang Anda buat untuk mengaitkan proxy web.

  11. Klik Create.

Cloud Shell

  1. Buat file policy.yaml:

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

  2. Buat kebijakan Secure Web Proxy:

      gcloud network-security gateway-security-policies import policy1 \
      --source=policy.yaml --location=REGION

  3. Buat file rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
  description: Allow example.com
  enabled: true
  priority: 1
  basicProfile: ALLOW
  sessionMatcher: host() == 'example.com'
  applicationMatcher: request.path.contains('index.html')
  tlsInspectionEnabled: true

  4. Buat aturan kebijakan keamanan.

      gcloud network-security gateway-security-policies rules import allow-example-com \
      --source=rule.yaml \
      --location=REGION \
      --gateway-security-policy=policy1

  5. Untuk melampirkan kebijakan pemeriksaan TLS ke kebijakan keamanan yang ada, buat file POLICY_FILE.yaml. Ganti POLICY_FILE dengan nama file Anda.

      description: My Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

Apa langkah selanjutnya?