Cette page explique comment activer l'inspection TLS (Transport Layer Security) pour votre instance de proxy Web sécurisé. Le proxy Web sécurisé propose un service d'inspection TLS qui vous permet d'intercepter le trafic TLS, d'inspecter la requête chiffrée et d'appliquer des règles de sécurité. Pour en savoir plus sur l'inspection TLS, consultez la Présentation de l'inspection TLS.
Avant de commencer
Avant de configurer votre instance de proxy Web sécurisé pour l'inspection TLS, effectuez les tâches décrites dans les sections suivantes.
Activer Certificate Authority Service
Le proxy Web sécurisé utilise Certificate Authority Service pour générer les certificats utilisés pour l'inspection TLS.
Pour activer le service CA, utilisez la commande suivante :
gcloud services enable privateca.googleapis.com
Créer un pool d'autorités de certification
Un pool d'autorités de certification est un ensemble de plusieurs autorités de certification disposant d'une règle d'émission de certificats et d'une stratégie Identity and Access Management (IAM) communes. Les pools d'autorités de certification permettent de faire tourner les chaînes de confiance sans interruption ni temps d'arrêt pour leur charge utile.
Vous devez créer un pool d'autorités de certification avant de pouvoir utiliser CA Service pour créer une autorité de certification. Cette section décrit les autorisations dont vous avez besoin pour effectuer cette tâche, puis explique comment créer un pool d'autorités de certification.
Pour générer des certificats, l'inspection TLS utilise un compte de service distinct pour chaque projet appelé service-[PROJECT_NUMBER]@gcp-sa-certmanager.iam.gserviceaccount.com.
Assurez-vous d'avoir accordé à ce compte de service les autorisations nécessaires pour utiliser votre pool d'autorités de certification. Si cet accès est révoqué, l'inspection TLS cesse de fonctionner.
Pour récupérer le PROJECT_NUMBER à l'aide du PROJECT_ID du projet de pool d'autorités de certification, exécutez la commande suivante:
gcloud projects describe PROJECT_ID
--format="value(projectNumber)"
Pour créer le pool, utilisez la commande gcloud privateca pools create et spécifiez l'ID du pool subordonné, le niveau, l'ID du projet et l'emplacement.
gcloud privateca pools create SUBORDINATE_POOL_ID \
--tier=TIER \
--project=PROJECT_ID \
--location=REGION
Remplacez les éléments suivants :
SUBORDINATE_POOL_ID: nom du pool d'autorités de certificationTIER: niveau de l'autorité de certification,devopsouenterpriseNous vous recommandons de créer le pool d'autorités de certification au niveau
devops, car le suivi des certificats émis individuellement n'est pas nécessaire.PROJECT_ID: ID du projet de pool d'autorités de certificationREGION: emplacement du pool d'autorités de certification
Créer un pool d'autorités de certification subordonnées
Si vous disposez de plusieurs scénarios d'émission de certificat, vous pouvez créer une autorité de certification subordonnée pour chacun d'entre eux. Vous pouvez créer une autorité de certification subordonnée dans un pool d'autorités de certification. L'autorité de certification racine signe toutes les autorités de certification de ce pool. Ces certificats sont utilisés pour signer les certificats de serveur générés pour l'inspection TLS.
Pour créer un pool d'autorités de certification subordonnées, utilisez l'une des méthodes suivantes.
Créer un pool d'autorités de certification subordonnées à l'aide d'une autorité de certification racine existante stockée dans Certificate Authority Service
Pour générer une autorité de certification secondaire, procédez comme suit:
- Créer un pool d'autorités de certification
- Créer des autorités de certification subordonnées dans un pool d'autorités de certification
Créer un pool d'autorités de certification subordonnées à l'aide d'une autorité de certification racine existante détenue en externe
Pour générer une autorité de certification secondaire, procédez comme suit:
- Créer un pool d'autorités de certification
- Créer des autorités de certification subordonnées signées par une autorité de certification racine externe
Créer une autorité de certification racine
Si une autorité de certification racine n'existe pas, vous pouvez en créer une dans CA Service.
Pour créer une autorité de certification racine, procédez comme suit:
- Créer une autorité de certification racine
- Créer un pool d'autorités de certification subordonnées à l'aide d'une autorité de certification racine existante stockée dans CA Service
Créer un compte de service
Un compte de service permet de fournir les autorisations nécessaires pour l'inspection TLS sans compromettre la sécurité de vos comptes utilisateur ni celle de votre instance de proxy Web sécurisé.
Si vous ne possédez pas de compte de service, vous devez en créer un, puis accorder les autorisations requises à ce compte de service.
Créez un compte de service.
gcloud beta services identity create \ --service=networksecurity.googleapis.com \ --project=PROJECT_IDEn réponse, Google Cloud CLI crée un compte de service appelé
service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com.Pour récupérer le
PROJECT_NUMBERà l'aide duPROJECT_IDdu projet de pool d'autorités de certification, exécutez la commande suivante:gcloud projects describe PROJECT_ID --format="value(projectNumber)"Pour le compte de service que vous avez créé, accordez des autorisations pour générer des certificats avec votre pool d'autorités de certification.
gcloud privateca pools add-iam-policy-binding CA_POOL \ --member='serviceAccount:SERVICE_ACCOUNT' \ --role='roles/privateca.certificateManager' \ --location='REGION'
Configurer le proxy Web sécurisé pour l'inspection TLS
Vous ne pouvez effectuer les tâches de cette section qu'après avoir effectué les tâches préalables énumérées dans la section Avant de commencer.
Pour configurer l'inspection TLS, effectuez les tâches décrites dans les sections suivantes.
Créer une règle d'inspection TLS
Console
Dans la console Google Cloud, accédez à la page Règles d'inspection TLS.
Dans le menu de sélection du projet, sélectionnez votre projet.
Cliquez sur Créer une règle d'inspection TLS.
Dans le champ Nom, saisissez un nom.
Facultatif : Dans le champ Description, saisissez une description.
Dans la liste Région, sélectionnez la région pour laquelle vous souhaitez créer la règle d'inspection TLS.
Dans la liste Pool d'autorités de certification, sélectionnez le pool d'autorités de certification à partir duquel vous souhaitez créer les certificats.
Si vous n'avez pas configuré de pool d'autorités de certification, cliquez sur Nouveau pool, puis suivez les instructions de la section Créer un pool d'autorités de certification.
Facultatif : Dans la liste Version TLS minimale, sélectionnez la version TLS minimale compatible avec la règle.
Pour Configuration de l'approbation, sélectionnez une des options suivantes:
- Autorités de certification publiques uniquement: sélectionnez cette option si vous souhaitez approuver des serveurs disposant de certificats signés publiquement.
Autorités de certification privées uniquement: sélectionnez cette option si vous souhaitez approuver des serveurs disposant de certificats signés en mode privé.
Dans la liste Configuration de l'approbation privée, sélectionnez la configuration d'approbation avec le magasin de confiance configuré à utiliser pour approuver les certificats de serveur en amont. Pour savoir comment créer une configuration de confiance, consultez Créer une configuration de confiance.
Autorités de certification publiques et privées: sélectionnez cette option si vous souhaitez utiliser des autorités de certification publiques et privées.
Facultatif : Dans la liste Profil de la suite de chiffrement, sélectionnez le type de profil TLS. Vous pouvez choisir l'une des valeurs suivantes:
- Compatible : autorise l'ensemble le plus vaste de clients, y compris ceux qui n'acceptent que les fonctionnalités TLS obsolètes, à effectuer des négociations TLS.
- Moderne : accepte un large éventail de fonctionnalités TLS, ce qui permet aux clients modernes d'effectuer des négociations TLS.
- Limité : accepte un ensemble réduit de fonctionnalités TLS afin de répondre à des exigences de conformité plus strictes.
Personnalisé : vous permet de sélectionner des fonctionnalités TLS individuellement.
Dans la liste Suites de chiffrement, sélectionnez les suites de chiffrement compatibles avec le profil personnalisé.
Cliquez sur Créer.
gcloud
Créez le fichier
TLS_INSPECTION_FILE.yaml. RemplacezTLS_INSPECTION_FILEpar le nom de fichier requis.Ajoutez le code suivant au fichier YAML pour configurer le paramètre TlsInspectionPolicy requis:
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOLRemplacez les éléments suivants :
PROJECT_ID: ID du projetREGION: région dans laquelle la stratégie doit être crééeTLS_INSPECTION_NAME: nom de la règle d'inspection TLS du proxy Web sécuriséCA_POOL: nom du pool d'autorités de certification à partir duquel les certificats doivent être créés
Le pool d'autorités de certification doit exister dans la même région.
Importer la règle d'inspection TLS
Importez la règle d'inspection TLS que vous avez créée à l'étape précédente:
gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
--source=TLS_INSPECTION_FILE.yaml \
--location=REGION
Ajouter la règle d'inspection TLS à la stratégie de sécurité
Console
Créer la règle de proxy Web
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Règles.
Cliquez sur Create a policy (Créer une règle).
Saisissez un nom pour la stratégie que vous souhaitez créer, par exemple
myswppolicy.Saisissez une description de la stratégie, par exemple
My new swp policy.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle de proxy Web sécurisé.
Pour configurer l'inspection TLS, sélectionnez Configurer l'inspection TLS.
Dans la liste Règle d'inspection TLS, sélectionnez la règle d'inspection TLS que vous avez créée.
Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle. Pour en savoir plus, consultez la section Créer des règles de proxy Web sécurisé.
Cliquez sur Créer.
Créer des règles de proxy Web sécurisé
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Dans le menu de sélection du projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur le nom de votre stratégie.
Cliquez sur Ajouter une règle.
Renseignez les champs de la règle :
- Nom
- Description
- Status
- Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où
0correspond à la priorité la plus élevée. - Dans la section Action, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).
- Dans la section Correspondance de session, spécifiez les critères de correspondance de la session. Pour en savoir plus sur la syntaxe de
SessionMatcher, consultez la documentation de référence sur le langage de correspondance CEL. - Pour activer l'inspection TLS, sélectionnez Activer l'inspection TLS.
- Dans la section Application Match (Correspondance des applications), spécifiez les critères de correspondance de la requête. Si vous n'activez pas la règle pour l'inspection TLS, la requête ne peut correspondre qu'au trafic HTTP.
- Cliquez sur Créer.
Cliquez sur Ajouter une règle pour ajouter une règle.
Cliquez sur Créer pour créer la règle.
Configurer un proxy Web
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Proxys Web.
Cliquez sur Configurer un proxy Web.
Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple
myswp.Saisissez une description du proxy Web, par exemple
My new swp.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.
Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.
Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.
Saisissez l'adresse IP du proxy Web.
Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.
Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.
Cliquez sur Créer.
Cloud Shell
Créez le fichier
policy.yaml:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAMECréez la stratégie de proxy Web sécurisé:
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml --location=REGIONCréez le fichier
rule.yaml:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com description: Allow example.com enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'example.com' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: trueCréez la règle de stratégie de sécurité:
gcloud network-security gateway-security-policies rules import allow-example-com \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1Pour associer une règle d'inspection TLS à une règle de sécurité existante, créez le fichier
POLICY_FILE.yaml. RemplacezPOLICY_FILEpar le nom de votre fichier.description: My Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME