Las políticas de SSL especifican el conjunto de características de SSL que los Trusted Cloud by S3NS balanceadores de cargas usan cuando negocian SSL con los clientes. En este documento, el término SSL hace referencia a los protocolos SSL y TLS.
Las políticas de SSL son compatibles con los siguientes balanceadores de cargas:
- Políticas de SSL regionales
- Balanceador de cargas de aplicaciones externo regional
- Balanceador de cargas de aplicaciones interno regional
Para obtener más información sobre cómo funcionan las políticas de SSL, consulta Descripción general de las políticas de SSL.
Puedes crear y administrar políticas de SSL con la consola de Trusted Cloud Google Cloud o Google Cloud CLI cuando creas un balanceador de cargas HTTPS o SSL, o en cualquier momento después de crear el balanceador de cargas.
Crea políticas de SSL
Puedes crear políticas de SSL con los perfiles administrados por Google o con un perfil personalizado.
Crea una política de SSL con un perfil administrado por Google
Console
Política de SSL regional
Si quieres crear una política de SSL regional con un perfil administrado por Google, haz lo siguiente:
En la Trusted Cloud consola, ve a la página Políticas de SSL.
Haga clic en Crear política.
En Política de SSL regional, haz clic en el botón Crear junto a ella. Aparecerá la página Crear política.
Ingresa un Nombre.
Selecciona una Región.
Selecciona una Versión mínima de TLS.
En Perfil, selecciona Compatible, Moderno o Restringido. Las características habilitadas y las características inhabilitadas para el perfil se muestran a la derecha de la página.
Si hay un balanceador de cargas al que deseas adjuntar la política, haz clic en Aplicar a los destinos y selecciona una regla de reenvío como destino de la política de SSL. Si es necesario, agrega más destinos.
Haz clic en Crear.
gcloud
Política de SSL regional
La siguiente es la sintaxis general para crear una política de SSL regional con un perfil administrado por Google:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile COMPATIBLE | MODERN | RESTRICTED \
--min-tls-version 1.0 | 1.1 | 1.2 \
--region REGION
Con el siguiente comando, se crea una política de SSL regional con el perfil COMPATIBLE:
gcloud compute ssl-policies create my-ssl-policy \
--profile COMPATIBLE \
--min-tls-version 1.1 \
--region us-west1
Crea una política de SSL con un perfil personalizado
Console
Política de SSL regional
Si quieres crear una política de SSL regional con un perfil personalizado, haz lo siguiente:
En la Trusted Cloud consola, ve a la página Políticas de SSL.
Haga clic en Crear política.
En Política de SSL regional, haz clic en el botón Crear junto a ella. Aparecerá la página Crear política.
Ingresa un Nombre.
Selecciona una Región.
Selecciona una Versión mínima de TLS.
En Perfil, selecciona Personalizado. Todas las características se muestran como Características inhabilitadas a la derecha de la página.
En la lista de Características, selecciona cada conjunto de cifrado que desees habilitar. Los conjuntos de cifrado que habilitas se enumeran como Características habilitadas.
Si hay un balanceador de cargas al que deseas adjuntar la política, haz clic en Aplicar a los destinos y selecciona una regla de reenvío como destino de la política de SSL. Si es necesario, agrega más destinos.
Haz clic en Crear.
gcloud
Cuando creas una política de SSL con el perfil CUSTOM, solo se admiten las características que especificas en el comando create. No se admiten otras características.
Política de SSL regional
La siguiente es la sintaxis general para crear una política de SSL regional con un perfil personalizado:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.0 | 1.1 | 1.2 \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
--region REGION
En el siguiente ejemplo, se crea una política de SSL regional con el perfil CUSTOM y una versión mínima de TLS de 1.2 y las funciones TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 y TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.2 \
--custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
--region us-west1
Mostrar lista de políticas de SSL
Console
En la Trusted Cloud consola, ve a la página Políticas de SSL.
Puedes ver una lista de todas las políticas de SSL disponibles. En el campo Alcance, se indica si la política de SSL es global o regional.
gcloud
Para enumerar solo las políticas de SSL regionales, ejecuta lo siguiente:
gcloud compute ssl-policies list --regions REGION
Enumera las funciones disponibles en una política de SSL
Console
En la Trusted Cloud consola, ve a la página Políticas de SSL.
Haz clic en el nombre de la política cuyas características quieres ver. Los conjuntos de cifrado inhabilitados y habilitados se muestran en el lado derecho de la página.
gcloud
Para enumerar las funciones disponibles en las políticas de SSL regionales, haz lo siguiente:
gcloud compute ssl-policies list-available-features \
--region REGION
Modifica las políticas de SSL
Console
Para modificar regional, haz lo siguiente:
En la Trusted Cloud consola, ve a la página Políticas de SSL.
Haz clic en el nombre de la política que quieres modificar.
Haz clic en Editar.
Aplica los cambios que quieras.
Haz clic en Guardar.
gcloud
Si quieres modificar una política de SSL existente, debes pasar cualquiera o todas las marcas correspondientes a los campos que quieres actualizar. Los campos sin especificar no se actualizan.
Si actualizas las características, las que se habilitaron con anterioridad se borran y se reemplazan por las nuevas que especifiques.
Políticas de SSL regionales
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
--min-tls-version 1.0|1.1|1.2 \
[--custom-features FEATURES \]
--region REGION
Crea un proxy de destino con una política de SSL
Console
Puedes crear un proxy de destino con la consola de Trusted Cloud cuando creas o actualizas el balanceador de cargas, como se muestra en los siguientes documentos:
gcloud
Si quieres crear un proxy HTTPS de destino regional con una política de SSL regional:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-certificates SSL_CERTIFICATE_NAME \ --url-map URL_MAP_NAME \ --url-map-region REGION \ --ssl-policy SSL_POLICY_NAME \ --region REGION
Adjunta una política de SSL existente a un proxy de destino existente
Console
gcloud
Usa estos comandos para adjuntar una política de SSL existente a un HTTPS.
Para buscar todos los proyectos de tu organización que tengan proxies HTTPS de destino, haz lo siguiente:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetHttpsProxy
Para enumerar todos los proxies HTTPS de destino regionales en un proyecto, usa el método
targetHttpsProxies.aggregatedListcon el parámetro de consultaincludeAllScopesconfigurado comotrue. Luego, usa el parámetro de consultafilterpara buscar proxies HTTPS de destino que no hagan referencia a una política de SSL.curl \ 'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
Usa este comando para adjuntar una política de SSL regional existente a un proxy HTTPS de destino regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME \ --region REGION
Si no proporcionas las marcas --ssl-policy o --clear-ssl-policy en una actualización de proxy de destino (por ejemplo, cuando actualizas un certificado SSL), la política de SSL no se modifica. La marca --clear-ssl-policy se describe en Borra una política de SSL de un proxy de destino.
API
Si quieres establecer una política de SSL regional para un proxy de destino regional, usa el método regionTargetHttpsProxies.patch.
Borra una política de SSL de un proxy de destino
Console
gcloud
Usa estos comandos para quitar una política de SSL de un proxy HTTPS. Si no conectas una política de SSL diferente al proxy de destino, el balanceador de cargas usará la política de SSL predeterminada. El uso de la marca --clear-ssl-policy equivale a reemplazar una política de SSL por la política de SSL predeterminada.
Usa este comando para quitar una política de SSL regional de un proxy HTTPS de destino regional:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy \
--region REGION
Cuando proporcionas la marca --clear-ssl-policy en el comando update, la política de SSL se quita del proxy.
Si no proporcionas las marcas --clear-ssl-policy o --ssl-policy en la actualización de proxy de destino (por ejemplo, cuando actualizas un certificado SSL), la política de SSL no se modifica. La marca --ssl-policy se describe en Conecta una política de SSL existente a un proxy de destino existente.
Administra las políticas de SSL
Si usas restricciones personalizadas para restringir las capacidades de TLS, verifica de forma manual el cumplimiento de TLS en las políticas de SSL preexistentes que están adjuntas a los proxies SSL y HTTPS de destino.
Sigue estos pasos de muestra para buscar y actualizar las políticas de SSL que no cumplan con tus objetivos de seguridad.
Para buscar todos los proyectos de tu organización que tengan recursos de políticas de SSL, haz lo siguiente:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/SslPolicy
Para enumerar todas las políticas de SSL regionales en un proyecto, usa el método
sslPolicies.aggregatedListcon el parámetro de consultaincludeAllScopesestablecido entrue. Luego, usa el parámetro de consultafilterpara buscar políticas de SSL que no se alineen con tus objetivos de seguridad.Por ejemplo, para encontrar políticas de SSL con una versión de TLS anterior a
1.2, usa el filtrominTlsVersion="TLS_1_0" OR minTlsVersion="TLS_1_1":curl \ 'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
Para obtener tu clave de API, consulta Autentica mediante claves de API. Para obtener tu token de acceso, usa el método
projects.serviceAccounts.generateAccessToken.Luego, actualiza las políticas de SSL que no cumplan con tu requisito mínimo de TLS.
Para actualizar una política de SSL regional, puedes usar el siguiente comando:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --region REGION
Límites
Consulta Cuotas y límites del balanceador de cargas.
Referencia de la API
Para obtener descripciones de las propiedades y los métodos disponibles cuando trabajas con políticas de SSL a través de la API de REST, consulta lo siguiente:
| Producto | Documentación de la API |
|---|---|
|
regionSslPolicies |
Referencia de la CLI de gcloud
Para obtener información sobre Google Cloud CLI, consulta lo siguiente:
-
- Regional:
--region=[REGION]
- Regional:
¿Qué sigue?
- Si deseas obtener información conceptual sobre las políticas de SSL, consulta Políticas de SSL para los protocolos SSL y TLS.
- Para obtener información sobre los balanceadores de cargas de aplicaciones externos, consulta Descripción general de los balanceadores de cargas de aplicaciones externos.