Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Use políticas de SSL para protocolos SSL e TLS

As políticas de SSL especificam o conjunto de funcionalidades SSL que os Trusted Cloud by S3NS equilibradores de carga usam quando negociam SSL com os clientes. Neste documento, o termo SSL refere-se aos protocolos SSL e TLS.

As políticas de SSL são suportadas com os seguintes balanceadores de carga:

Políticas de SSL regionais
- Balanceador de carga de aplicações externo regional
- Balanceador de carga de aplicações interno regional

Para mais informações sobre o funcionamento das políticas de SSL, consulte o artigo Vista geral das políticas de SSL.

Pode criar e gerir políticas de SSL através da Trusted Cloud consola ou da CLI do Google Cloud quando cria um balanceador de carga HTTPS ou SSL, ou em qualquer altura depois de criar o balanceador de carga.

Crie políticas de SSL

Pode criar políticas de SSL com perfis geridos pela Google ou com um perfil personalizado.

Crie uma política SSL com um perfil gerido pela Google

Consola

Política de SSL regional

Para criar uma política SSL regional com um perfil gerido pela Google, faça o seguinte:

Na Trusted Cloud consola, aceda à página Políticas de SSL.

Aceda às políticas de SSL
Clique em Criar política.
Para a política SSL regional, clique no botão Criar junto à mesma. É apresentada a página Criar política.
Introduza um Nome.
Selecione uma região.
Selecione uma versão mínima de TLS.
Para Perfil, selecione Compatível, Moderno ou Restrito. As funcionalidades ativadas e desativadas para o perfil são apresentadas no lado direito da página.
Se existir um equilibrador de carga ao qual quer anexar a política, clique em Aplicar a destinos e selecione uma regra de encaminhamento como destino da política SSL. Se necessário, adicione mais alvos.
Clique em Criar.

gcloud

Política de SSL regional

Segue-se a sintaxe geral para criar uma política de SSL regional com um perfil gerido pela Google:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile COMPATIBLE | MODERN | RESTRICTED \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --region REGION

O comando seguinte cria uma política de SSL regional com o perfil:COMPATIBLE

gcloud compute ssl-policies create my-ssl-policy \
    --profile COMPATIBLE \
    --min-tls-version 1.1 \
    --region us-west1

Crie uma política SSL com um perfil personalizado

Consola

Política de SSL regional

Para criar uma política SSL regional com um perfil personalizado, faça o seguinte:

Na Trusted Cloud consola, aceda à página Políticas de SSL.

Aceda às políticas de SSL
Clique em Criar política.
Para a política SSL regional, clique no botão Criar junto à mesma. É apresentada a página Criar política.
Introduza um Nome.
Selecione uma região.
Selecione uma versão mínima de TLS.
Para Perfil, selecione Personalizado. Todas as funcionalidades são apresentadas como Funcionalidades desativadas no lado direito da página.
Na lista de Funcionalidades, selecione cada conjunto de cifras que quer ativar. Os conjuntos de cifras que ativa são apresentados como Funcionalidades ativadas.
Se existir um equilibrador de carga ao qual quer anexar a política, clique em Aplicar a destinos e selecione uma regra de encaminhamento como destino da política SSL. Se necessário, adicione mais alvos.
Clique em Criar.

gcloud

Quando cria uma política SSL com o perfil PERSONALIZADO, apenas são suportadas as funcionalidades que especificar no comando create. Outras funcionalidades não são suportadas.

Política de SSL regional

Segue-se a sintaxe geral para criar uma política de SSL regional com um perfil personalizado:

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.0 | 1.1 | 1.2 \
    --custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
    --region REGION

O exemplo seguinte cria uma política SSL regional com o perfil CUSTOM com uma versão mínima do TLS de 1.2 e funcionalidades TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

gcloud compute ssl-policies create SSL_POLICY_NAME \
    --profile CUSTOM \
    --min-tls-version 1.2 \
    --custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
    --region us-west1

Indique políticas SSL

Consola

Na Trusted Cloud consola, aceda à página Políticas de SSL.

Aceda às políticas de SSL

Pode ver uma lista de todas as políticas de SSL disponíveis. O campo Âmbito indica se a política SSL é global ou regional.

gcloud

Para listar apenas políticas de SSL regionais, execute o seguinte comando:

  gcloud compute ssl-policies list --regions REGION

Liste as funcionalidades disponíveis numa política de SSL

Consola

Na Trusted Cloud consola, aceda à página Políticas de SSL.

Aceda às políticas de SSL
Clique no nome da política cujas funcionalidades quer ver. Os conjuntos de cifras ativados e desativados são apresentados no lado direito da página.

gcloud

Para listar as funcionalidades disponíveis nas políticas de SSL regionais:

gcloud compute ssl-policies list-available-features \
    --region REGION

Modifique as políticas de SSL

Consola

Para modificar uma política de SSL regional, faça o seguinte:

Na Trusted Cloud consola, aceda à página Políticas de SSL.

Aceda às políticas de SSL
Clique no nome da política que quer modificar.
Clique em Edit.
Faça as alterações que quiser.
Clique em Guardar.

gcloud

Para modificar uma política de SSL existente, transmita qualquer um ou todos os flags correspondentes aos campos que quer atualizar. Os campos não especificados não são atualizados.

Se atualizar as funcionalidades, as funcionalidades ativadas anteriormente são eliminadas e substituídas pelas novas funcionalidades que especificar.

Políticas de SSL regionais

gcloud compute ssl-policies update SSL_POLICY_NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    --min-tls-version 1.0|1.1|1.2 \
    [--custom-features FEATURES \]
    --region REGION

Crie um proxy de destino com uma política SSL

Consola

Pode criar um proxy de destino através da Trusted Cloud consola quando cria ou atualiza o equilibrador de carga, conforme mostrado nos seguintes documentos:

gcloud

Para criar um proxy HTTPS de destino regional com uma política SSL regional:

gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates SSL_CERTIFICATE_NAME \
  --url-map URL_MAP_NAME \
  --url-map-region REGION \
  --ssl-policy SSL_POLICY_NAME \
  --region REGION

Anexe uma política SSL existente a um proxy de destino existente

Consola

gcloud

Use estes comandos para anexar uma política SSL existente a um proxy HTTPS.

Para encontrar todos os projetos na sua organização que tenham proxies HTTPS de destino:

gcloud asset search-all-resources \
    --scope=organizations/ORGANIZATION_ID \
    --asset-types=compute.googleapis.com/TargetHttpsProxy

Para listar todos os proxies HTTPS de destino regionais num projeto, use o método targetHttpsProxies.aggregatedList com o parâmetro de consulta includeAllScopes definido como true. Em seguida, use o parâmetro de consulta filter para pesquisar proxies HTTPS de destino que não referenciam uma política de SSL.
```
curl \
    'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \
    --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
    --header 'Accept: application/json' \
    --compressed
```

Para anexar uma política de SSL regional existente a um proxy HTTPS de destino regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --ssl-policy SSL_POLICY_NAME \
    --region REGION

Se não fornecer a flag --ssl-policy ou a flag --clear-ssl-policy numa atualização do proxy de destino (por exemplo, quando atualiza um certificado SSL), a política SSL permanece inalterada. A flag --clear-ssl-policy é descrita no artigo Elimine uma política SSL de um proxy de destino.

API

Para definir uma política de SSL regional para um proxy de destino regional, use o método regionTargetHttpsProxies.patch.

Elimine uma política SSL de um proxy de destino

Consola

gcloud

Use estes comandos para remover uma política SSL de um proxy HTTPS. Se não anexar uma política SSL diferente ao proxy de destino, o equilibrador de carga usa a política SSL predefinida. A utilização da flag --clear-ssl-policy equivale a substituir uma política SSL pela política SSL predefinida.

Para remover uma política SSL regional de um proxy HTTPS de destino regional:

gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
    --clear-ssl-policy \
    --region REGION

Quando fornece a flag --clear-ssl-policy no comando de atualização, a política SSL é removida do proxy.

Se não fornecer a flag --clear-ssl-policy ou a flag --ssl-policy na atualização do proxy de destino (por exemplo, quando atualiza um certificado SSL), a política SSL permanece inalterada. A flag --ssl-policy é descrita no artigo Anexe uma política de SSL existente a um proxy de destino existente.

Faça a gestão das políticas de SSL

Se usar restrições personalizadas para restringir as capacidades do TLS, verifique manualmente a conformidade com o TLS nas políticas SSL preexistentes anexadas a proxies SSL de destino e proxies HTTPS de destino.

Use os passos de exemplo seguintes para encontrar e atualizar políticas SSL que não cumprem os seus objetivos de segurança.

Para encontrar todos os projetos na sua organização que têm recursos de políticas de SSL:

gcloud asset search-all-resources \
  --scope=organizations/ORGANIZATION_ID \
  --asset-types=compute.googleapis.com/SslPolicy

Para listar todas as políticas de SSL regionais num projeto, use o método sslPolicies.aggregatedList com o parâmetro de consulta includeAllScopes definido como true. Em seguida, use o parâmetro de consulta filter para pesquisar políticas de SSL que não estejam alinhadas com os seus objetivos de segurança.

Por exemplo, para encontrar políticas de SSL com uma versão de TLS inferior a 1.2, use o filtro minTlsVersion="TLS_1_0" OR minTlsVersion="TLS_1_1":
```
curl \

  'https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \
  --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \
  --header 'Accept: application/json' \
  --compressed
```
Para obter a chave da API, consulte o artigo Autentique com chaves da API. Para obter a sua chave de acesso, use o método projects.serviceAccounts.generateAccessToken.

Em seguida, atualize as políticas SSL que não cumprem o requisito mínimo de TLS.

Para atualizar uma política SSL regional, pode usar o seguinte comando:
```
gcloud compute ssl-policies update SSL_POLICY_NAME \
  --min-tls-version=TLS_1_2 \
  --region REGION
```

Limites

Consulte as quotas e os limites do balanceador de carga.

Referência da API

Para ver descrições das propriedades e dos métodos disponíveis quando trabalha com políticas de SSL através da API REST, consulte o seguinte:

Produto	Documentação da API
Balanceador de carga de aplicações externo regional Balanceador de carga de aplicações interno regional	regionSslPolicies

Referência da CLI gcloud

Para a referência da CLI do Google Cloud, consulte o seguinte:

gcloud compute ssl-policies
- Regional: --region=[REGION]

O que se segue?

Para informações conceptuais sobre as políticas de SSL, consulte o artigo Políticas de SSL para protocolos SSL e TLS.

Para obter informações sobre os balanceadores de carga de aplicações externos, consulte a vista geral do balanceador de carga de aplicações externo.