Questa pagina descrive come configurare l'ispezione TLS (Transport Layer Security) per Cloud Next Generation Firewall.
Prima di iniziare
Prima di configurare l'ispezione TLS, completa le attività nelle seguenti sezioni.
Attiva il servizio dell'autorità di certificazione
Cloud NGFW utilizza Certificate Authority Service per generare autorità di certificazione (CA) intermedie. Cloud NGFW utilizza queste CA intermedie per generare i certificati utilizzati per l'ispezione TLS.
Puoi abilitare l'API CA Service utilizzando la console Google Cloud:
Per attivare il servizio CA utilizzando Google Cloud CLI, utilizza il seguente comando:
gcloud services enable privateca.googleapis.com
Abilita Gestione certificati
Cloud NGFW utilizza Certificate Manager per creare configurazioni attendibili. Se non vuoi utilizzare le configurazioni di attendibilità, salta questo passaggio.
Puoi attivare l'API Certificate Manager utilizzando la console Google Cloud:
Per attivare Certificate Manager utilizzando Google Cloud CLI, utilizza il seguente comando:
gcloud services enable certificatemanager.googleapis.com
Crea una configurazione di attendibilità
Questo passaggio è facoltativo. Per creare un file trust config, segui i passaggi descritti in questa sezione.
-
Il pool di CA creato in questo passaggio è diverso da quello creato per la configurazione del criterio di ispezione TLS.
Crea una CA radice utilizzando il pool di CA creato in precedenza.
Crea un certificato utilizzando una chiave generata automaticamente. Utilizza lo stesso nome del pool di CA creato in precedenza.
Recupera il certificato pubblico dell'autorità di certificazione dal certificato creato.
$PEM-CERT=$(gcloud privateca roots describe ROOT_CA_NAME \ --location LOCATION \ --project PROJECT_ID \ --pool CA_POOL \ --format "value(pemCaCertificates)")
Sostituisci quanto segue:
ROOT_CA_NAME: il nome della CA radiceLOCATION: la posizione della CA radicePROJECT_ID: l'ID progetto della CA radiceCA_POOL: il nome del pool di CA da cui creare i certificati
Crea e importa un file di configurazione della attendibilità utilizzando il file
PEM-CERTottenuto nel passaggio precedente. Se utilizzi la tua CA, utilizza il certificato pubblico ottenuto dalla tua CA.
Utilizza questa configurazione di attendibilità per creare un criterio di ispezione TLS.
Crea un pool di CA
Devi creare un pool di CA prima di poter utilizzare il servizio CA per creare una CA. Per creare un pool di CA, segui le istruzioni riportate in Creazione di pool di CA.
Utilizza questo pool di CA per creare un criterio di ispezione TLS.
Crea una CA radice
Se non hai una CA principale esistente, puoi crearne una nel servizio CA. Per creare una CA radice, segui le istruzioni riportate in Creare una CA radice e utilizza lo stesso pool di CA creato in precedenza (vedi la sezione Creare un pool di CA).
Crea un account di servizio
Se non hai un account di servizio, devi crearne uno e concedere le autorizzazioni richieste.
Crea un account di servizio:
gcloud beta services identity create \ --service networksecurity.googleapis.com \ --project PROJECT_IDSostituisci
PROJECT_IDcon l'ID progetto dell'account servizio.Google Cloud CLI crea un account di servizio chiamato
service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com. Qui,PROJECT_NUMBERè l'identificatore univoco delPROJECT_IDche hai fornito nel comando precedente.Concedi all'account di servizio l'autorizzazione per generare i certificati che utilizzano il pool di CA:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --member 'serviceAccount:SERVICE_ACCOUNT' \ --role 'roles/privateca.certificateRequester' \ --location REGIONSostituisci quanto segue:
CA_POOL: il nome del pool di CA da cui creare i certificatiSERVICE_ACCOUNT: il nome dell'account di servizio creato nel passaggio precedenteLOCATION: la regione del pool di CA
Configura l'ispezione TLS
Prima di procedere con le attività in questa sezione, assicurati di aver configurato i certificati o di aver completato le attività di prerequisiti elencate nella sezione Prima di iniziare.
Per configurare l'ispezione TLS, completa le attività nelle sezioni seguenti.
Crea una policy di ispezione TLS
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il progetto.
Fai clic su Crea criterio di ispezione TLS.
In Nome, inserisci un nome.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione.
Nell'elenco Regione, seleziona la regione in cui vuoi creare la policy di ispezione TLS.
Nell'elenco Pool di CA, seleziona il pool di CA da cui vuoi creare i certificati.
Se non hai configurato un pool di CA, fai clic su Nuovo pool e segui le istruzioni riportate in Creare un pool di CA.
(Facoltativo) Nell'elenco Versione TLS minima, seleziona la versione TLS minima supportata dal criterio.
Per la Configurazione attendibile, seleziona una delle seguenti opzioni:
- Solo CA pubbliche:seleziona questa opzione se vuoi considerare attendibili i server con certificati firmati pubblicamente.
Solo CA private:seleziona questa opzione se vuoi considerare attendibili i server con certificati firmati privatamente.
Nell'elenco Configurazione attendibilità privata, seleziona la configurazione attendibilità con il repo attendibilità configurato da utilizzare per considerare attendibili i certificati del server a monte. Per ulteriori informazioni su come creare una configurazione attendibilità, consulta Creare una configurazione attendibilità.
CA pubbliche e private:seleziona questa opzione se vuoi utilizzare sia le CA pubbliche sia quelle private.
(Facoltativo) Nell'elenco Profilo della suite di crittografia, seleziona il tipo di profilo TLS. Puoi scegliere uno dei seguenti valori:
- Compatibile: consente al set più ampio di client, inclusi i client che supportano solo funzionalità TLS obsolete, di negoziare TLS.
- Moderno: supporta un'ampia gamma di funzionalità TLS, consentendo ai client moderni di negoziare TLS.
- Con restrizioni: supporta un insieme ridotto di funzionalità TLS inteso a soddisfare requisiti di conformità più rigidi.
Personalizzato: ti consente di selezionare singolarmente le funzionalità TLS.
Nell'elenco Suite di crittografia, seleziona il nome delle suite di crittografia supportate dal profilo personalizzato.
Fai clic su Crea.
gcloud
Crea un file YAML
TLS_INSPECTION_FILE.yaml. SostituisciTLS_INSPECTION_FILEcon un nome file a tua scelta.Aggiungi il seguente codice al file YAML per configurare il criterio di ispezione TLS.
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL minTlsVersion: TLS_VERSION tlsFeatureProfile: PROFILE_TYPECIPHER_NAME excludePublicCaSet: `TRUE`|`FALSE` trustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAMESostituisci quanto segue:
PROJECT_ID: l'ID progetto del criterio di ispezione TLSREGION: la regione in cui viene creato il criterio di ispezione TLSTLS_INSPECTION_NAME: il nome della policy di ispezione TLSCA_POOL: il nome del pool di CA da cui creare i certificatiIl pool di CA deve esistere nella stessa regione.
TLS_VERSION: un argomento facoltativo che specifica la versione TLS minima supportata da Cloud NGFWPuoi scegliere uno dei seguenti valori:
TLS_1_0TLS_1_1TLS_1_2
PROFILE_TYPE: un argomento facoltativo che specifica il tipo di profilo TLSPuoi scegliere uno dei seguenti valori:
PROFILE_COMPATIBLE: consente al set più ampio di client, inclusi quelli che supportano solo le funzionalità TLS obsolete, di negoziare TLS.PROFILE_MODERN: supporta un'ampia gamma di funzionalità TLS, consentendo ai client moderni di negoziare TLS.PROFILE_RESTRICTED: supporta un insieme ridotto di funzionalità TLS intese a soddisfare requisiti di conformità più rigidi.PROFILE_CUSTOM: consente di selezionare le funzionalità TLS singolarmente.
CIPHER_NAME: un argomento facoltativo per specificare il nome della suite di crittografia supportata dal profilo personalizzatoSpecifica questo argomento solo quando il tipo di profilo è impostato su
PROFILE_CUSTOM.excludePublicCaSet: un flag facoltativo per includere o escludere un insieme di CA pubbliche. Per impostazione predefinita, questo flag è impostato su false. Quando questo flag è impostato su true, le connessioni TLS non ritengono attendibili i server CA pubblici. In questo caso, Cloud NGFW può effettuare connessioni TLS solo ai server con certificati firmati dalle CA nella configurazione di attendibilità.TRUST_CONFIG_NAME: un argomento facoltativo per specificare il nome della risorsa della configurazione dell'attendibilità
Importa il criterio di ispezione TLS che hai creato nella sezione Creare una policy di ispezione TLS
gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \ --source TLS_INSPECTION_FILE.yaml \ --location REGIONSostituisci quanto segue:
TLS_INSPECTION_NAME: il nome della policy di ispezione TLSTLS_INSPECTION_FILE: il nome del file YAML del criterio di ispezione TLS
Visualizzare i dettagli di una policy di ispezione TLS
Puoi visualizzare le informazioni sul criterio di ispezione TLS che hai creato nel tuo progetto.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
Per visualizzare i dettagli, fai clic sul nome della policy di ispezione TLS.
Aggiungere un criterio di ispezione TLS a un'associazione di endpoint firewall
Per aggiungere il criterio di ispezione TLS a un'associazione di endpoint firewall, segui i passaggi descritti in Creare associazioni di endpoint firewall.
Configura le regole delle policy del firewall con l'ispezione TLS
Per attivare l'ispezione TLS per la tua rete Virtual Private Cloud (VPC), imposta il flag --tls-inspect nella regola del criterio firewall. Questo flag indica che l'ispezione TLS può essere eseguita quando viene applicato il gruppo di profili di sicurezza.
Per scoprire di più su come attivare il flag --tls-inspect nelle regole dei criteri firewall gerarchici, consulta Creare regole firewall.
Per scoprire di più su come attivare il flag --tls-inspect nelle regole del criterio del firewall di rete globale, consulta Creare regole del firewall di rete globale.
Gestire la policy di ispezione TLS
Puoi elencare, aggiornare ed eliminare le policy di ispezione TLS nel tuo progetto.
Elenca tutte le policy di ispezione TLS
Puoi elencare tutte le policy di ispezione TLS in un progetto.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
gcloud
Per elencare tutti i criteri di ispezione TLS, utilizza il
comando gcloud network-security tls-inspection-policies list:
gcloud network-security tls-inspection-policies list \
--project PROJECT_ID \
--location REGION
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto per il criterio di ispezione TLSREGION: il nome della regione per la quale vuoi elencare il criterio di ispezione TLS
Modificare una policy di ispezione TLS
Puoi modificare una policy di ispezione TLS esistente nel tuo progetto.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
Per modificare un criterio, fai clic sul nome del criterio di ispezione TLS.
Fai clic su Modifica.
Modifica i campi obbligatori. Per ulteriori informazioni su ciascun campo, consulta Creare una policy di ispezione TLS.
Fai clic su Salva.
Eliminare una policy di ispezione TLS
Puoi eliminare una policy di ispezione TLS dal tuo progetto. Tuttavia, se il criterio di ispezione TLS fa riferimento a un'associazione di endpoint firewall, non è possibile eliminarlo.
Console
Nella console Google Cloud, vai alla pagina Criteri di ispezione TLS.
Nel menu del selettore dei progetti, seleziona il progetto.
I criteri di ispezione TLS sono elencati nella sezione Ispezioni TLS.
Per eliminare un criterio di ispezione TLS, seleziona la casella di controllo accanto al nome.
Fai clic su Elimina.
Fai di nuovo clic su Elimina.
gcloud
Per eliminare un criterio di ispezione TLS, utilizza il
comando gcloud network-security tls-inspection-policies delete:
gcloud network-security tls-inspection-policies delete \
projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME \
--location REGION
Sostituisci quanto segue:
PROJECT_ID: l'ID progetto del criterio di ispezione TLSTLS_INSPECTION_NAME: il nome dell'ispezione TLSREGION: la regione in cui viene creato il criterio di ispezione TLS