Enkripsi di semua region Google Cloud
Semua traffic VM-ke-VM dalam jaringan VPC dan jaringan VPC yang di-peering dienkripsi. Ini termasuk traffic VM-ke-VM dalam batas fisik (yaitu, traffic intra-cluster).
Enkripsi antara load balancer proxy dan backend
Untuk beberapa load balancer proxy (lihat tabel 1), Google secara otomatis mengenkripsi traffic ke backend yang berada dalam jaringan VPC Google Cloud. Hal ini disebut enkripsi tingkat jaringan otomatis. Enkripsi tingkat jaringan otomatis hanya berlaku untuk komunikasi dengan jenis backend berikut:
- Grup instance
- NEG Zona (
GCE_VM_IP_PORTendpoint)
Selain itu, Google Cloud menyediakan opsi protokol aman untuk mengenkripsi komunikasi dengan layanan backend.
Beberapa load balancer Google Cloud menggunakan Google Front Ends (GFE) sebagai klien untuk backend. Yang lainnya menggunakan proxy Envoy open source. Dalam semua kasus, load balancer mendukung cipher suite yang tercantum dalam RFC 8446, bagian 9.1.
Tabel berikut memberikan ringkasan.
| Load balancer proxy | Proxy (klien ke backend) | Enkripsi tingkat jaringan otomatis | Opsi protokol layanan backend |
|---|---|---|---|
| Load Balancer Aplikasi eksternal global | GFE (dengan software Envoy untuk fitur pemilihan rute lanjutan) | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit saat transit ke backend. |
|
| Load Balancer Aplikasi Klasik | GFE | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit saat transit ke backend. |
|
| Load Balancer Aplikasi eksternal regional | Proxy Envoy | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit saat transit ke backend. |
|
| Load Balancer Jaringan proxy eksternal | GFE | SSL atau TCP Pilih SSL untuk protokol layanan backend jika Anda memerlukan enkripsi yang dapat diaudit saat dikirim ke backend. |
|
| Load Balancer Aplikasi internal | Proxy Envoy | HTTP, HTTPS, dan HTTP/2 Pilih HTTPS atau HTTP/2 jika Anda memerlukan enkripsi yang dapat diaudit saat transit ke backend. |
|
| Load Balancer Jaringan proxy internal regional | Proxy Envoy | TCP | |
| Traffic Director | Proxy sisi klien | HTTPS dan HTTP/2 |
Kasus penggunaan protokol backend yang aman
Protokol aman untuk terhubung ke backend instance direkomendasikan dalam kasus berikut:
Saat Anda memerlukan koneksi yang dapat diaudit dan dienkripsi dari load balancer (atau Traffic Director) ke backend instance.
Saat load balancer terhubung ke backend instance yang berada di luar Google Cloud (dengan NEG internet). Komunikasi ke backend NEG internet mungkin transit internet publik. Saat load balancer terhubung ke NEG internet, sertifikat yang ditandatangani CA publik harus memenuhi persyaratan validasi.
Pertimbangan protokol backend yang aman
Saat menggunakan protokol layanan backend yang aman, perhatikan hal berikut:
Endpoint atau instance backend load balancer Anda harus disalurkan menggunakan protokol yang sama dengan layanan backend. Misalnya, jika protokol layanan backend adalah HTTPS, backend harus berupa server HTTPS.
Jika protokol layanan backend adalah HTTP/2, backend Anda harus menggunakan TLS. Untuk mengetahui petunjuk konfigurasi, baca dokumentasi untuk software yang berjalan di instance backend atau endpoint Anda.
Anda harus menginstal kunci pribadi dan sertifikat pada instance backend atau endpoint agar dapat berfungsi sebagai server HTTPS atau SSL. Sertifikat ini tidak perlu cocok dengan sertifikat SSL frontend load balancer. Untuk mengetahui petunjuk penginstalan, baca dokumentasi untuk software yang berjalan di endpoint atau endpoint backend Anda.
Dengan pengecualian load balancer HTTPS dengan backend Internet NEG, GFE tidak menggunakan ekstensi Server Name Indication (SNI) untuk koneksi ke backend.
Saat GFE terhubung ke backend yang ada dalam Google Cloud, GFE akan menerima sertifikat apa pun yang diberikan backend Anda. GFE tidak melakukan validasi sertifikat. Misalnya, sertifikat dianggap valid bahkan dalam keadaan berikut:
- Sertifikat ditandatangani sendiri.
- Sertifikat ditandatangani oleh certificate authority (CA) yang tidak dikenal.
- Sertifikat telah kedaluwarsa atau belum valid.
- Atribut
CNdansubjectAlternativeNametidak cocok dengan headerHostatau data PTR DNS.
Protokol frontend yang aman
Jika Anda menggunakan HTTPS target atau menargetkan proxy SSL sebagai bagian dari konfigurasi Anda, Google Cloud akan menggunakan protokol frontend yang aman.
Load Balancer Aplikasi Eksternal dan Load Balancer Jaringan proxy eksternal menggunakan library BoringCrypto Google. Untuk detail FIPS 140-2, lihat Sertifikat Program Validasi Modul Kriptografi NIST #3678.
Load Balancer Aplikasi Internal menggunakan library BoringSSL Google. Untuk detail FIPS 140-2, lihat dokumentasi Envoy. Google membuat proxy Envoy untuk Load Balancer Aplikasi internal dalam mode yang mematuhi FIPS.
Traffic Director mendukung proxy Envoy yang di-build dalam mode yang mematuhi FIPS.