启用 TLS 检查 (original) (raw)

本页介绍了如何为安全 Web 代理实例启用传输层安全协议 (TLS) 检查。安全 Web 代理提供 TLS 检查服务,让您可以拦截 TLS 流量、检查加密请求并强制执行安全政策。如需详细了解 TLS 检查,请参阅 TLS 检查概览

准备工作

在将安全 Web 代理实例配置为进行 TLS 检查之前,请完成以下部分中的任务。

启用 Certificate Authority Service

安全 Web 代理使用 Certificate Authority Service 生成用于 TLS 检查的证书。

如需启用 CA Service,请使用以下命令:

gcloud services enable privateca.googleapis.com

创建 CA 池

证书授权机构 (CA) 池是包含多个 CA 的集合,它具有通用证书颁发政策和 Identity and Access Management (IAM) 政策。CA 池能够轮替信任链,而不中断或停止其负载。

您必须先创建 CA 池,然后才能使用 CA Service 创建 CA。本部分将向您介绍完成此任务所需的权限,然后介绍如何创建 CA 池。

为了生成证书,TLS 检查会为每个项目使用单独的服务账号,该账号名为 service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com。确保您已向此服务账号授予使用 CA 池的权限。如果撤消此访问权限,TLS 检查将停止运行。

如需使用 CA 池项目的 PROJECT_ID 检索 PROJECT_NUMBER,请使用以下命令:

gcloud projects describe <var>PROJECT_ID</var>
    --format="value(projectNumber)"

执行此任务所需的权限

如需执行此任务,您必须已获得以下权限或 IAM 角色。

权限

角色

如需创建该池,请使用 gcloud privateca pools create 命令并指定从属池 ID、层级、项目 ID 和位置。

gcloud privateca pools create SUBORDINATE_POOL_ID
--tier=TIER
--project=PROJECT_ID
--location=REGION

替换以下内容:

创建从属 CA 池

如果您有多个证书颁发场景,可以为每种场景创建一个从属 CA。您可以在 CA 池中创建从属 CA,并且根 CA 会为该 CA 池中的所有 CA 签名。这些证书用于对为 TLS 检查生成的服务器证书进行签名。

如需创建从属 CA 池,请使用以下_一种_方法。

使用存储在 Certificate Authority Service 中的现有根 CA 创建从属 CA 池

如需生成从属 CA,请执行以下操作:

  1. 创建 CA 池
  2. 在 CA 池中创建从属 CA

使用外部持有的现有根 CA 创建从属 CA 池

如需生成从属 CA,请执行以下操作:

  1. 创建 CA 池
  2. 创建由外部根 CA 签名的从属 CA

创建根 CA

如果根 CA 不存在,您可以在 CA Service 中创建一个。

如需创建根 CA,请执行以下操作:

  1. 创建根 CA
  2. 使用 CA Service 中存储的现有根 CA 创建从属 CA 池

创建服务账号

服务账号有助于为 TLS 检查提供必要的权限,而不会影响用户账号或安全 Web 代理实例本身的安全性。

如果您没有服务账号,则必须创建一个服务账号,然后向该服务账号授予所需的权限。

  1. 创建服务账号。
gcloud beta services identity create \  
    --service=networksecurity.googleapis.com \  
    --project=PROJECT_ID

作为回应,Google Cloud CLI 会创建一个名为 service-[PROJECT_NUMBER]@gcp-sa-networksecurity.iam.gserviceaccount.com 的服务账号。
如需使用 CA 池项目的 PROJECT_ID 检索 PROJECT_NUMBER,请使用以下命令: 

gcloud projects describe PROJECT_ID  
    --format="value(projectNumber)"
  1. 为您创建的服务账号授予使用 CA 池生成证书的权限。
gcloud privateca pools add-iam-policy-binding CA_POOL \  
    --member='serviceAccount:SERVICE_ACCOUNT' \  
    --role='roles/privateca.certificateManager' \  
    --location='REGION'

配置安全 Web 代理以进行 TLS 检查

只有在完成准备工作部分中列出的前提条件后,您才能继续执行本部分中的任务。

如需配置 TLS 检查,请完成以下部分中的任务。

创建 TLS 检查政策

执行此任务所需的权限

如需执行此任务,您必须获得以下权限或下列其中一个 IAM 角色。

权限

角色

控制台

  1. 在 Google Cloud 控制台中,前往 TLS 检查政策页面。
    前往 TLS 检查政策
  2. 在项目选择器菜单中,选择您的项目。
  3. 点击创建 TLS 检查政策
  4. 名称部分,输入名称。
  5. 可选:在说明字段中,输入说明。
  6. 区域列表中,选择要为哪个区域创建 TLS 检查政策。
  7. CA 池列表中,选择要在其中创建证书的 CA 池。
    如果您尚未配置 CA 池,请点击新建池,然后按照创建 CA 池中的说明进行操作。
  8. 可选:在最低的 TLS 版本列表中,选择政策支持的最低 TLS 版本。
  9. 对于信任配置,请选择以下任一_选项_:
    • 仅限公共 CA:如果您要信任具有公开签名证书的服务器,请选择此选项。
    • 仅限私有 CA:如果您要信任具有私有签名证书的服务器,请选择此选项。
      私有信任配置列表中,选择配置了受信任证书存储区的信任配置,以用于信任上游服务器证书。如需详细了解如何创建信任配置,请参阅创建信任配置
    • 公共和私有 CA:如果您要同时使用公共和私有 CA,请选择此选项。
  10. 可选:在加密套件配置文件列表中,选择 TLS 配置文件类型。您可以从以下任意_一个_值中进行选择:
  1. 点击创建

gcloud

  1. 创建 TLS_INSPECTION_FILE.yaml 文件。将 TLS_INSPECTION_FILE 替换为所需的文件名。
  2. 将以下代码添加到 YAML 文件中以配置所需的 TlsInspectionPolicy:
name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME  
caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL

替换以下内容:

导入 TLS 检查政策

导入您在上一步中创建的 TLS 检查政策:

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
    --source=TLS_INSPECTION_FILE.yaml \
    --location=REGION

将 TLS 检查政策添加到安全政策

控制台

创建 Web 代理政策

  1. 在 Google Cloud 控制台中,前往 SWP 政策页面。
    前往“SWP 政策”页面
  2. 点击 创建政策
  3. 输入您要创建的政策的名称,例如 myswppolicy
  4. 输入政策的说明,例如 My new swp policy
  5. 区域列表中,选择要创建安全 Web 代理政策的区域。
  6. 如需配置 TLS 检查,请选择配置 TLS 检查
  7. TLS 检查政策列表中,选择您创建的 TLS 检查政策。
  8. 如果要为政策创建规则,请点击继续,然后点击添加规则。如需了解详情,请参阅创建安全 Web 代理规则
  9. 点击创建

创建安全 Web 代理规则

  1. 在 Google Cloud 控制台中,前往 SWP 政策页面。
    前往“SWP 政策”页面
  2. 在项目选择器菜单中,选择您的组织 ID 或包含政策的文件夹。
  3. 点击您的政策名称。
  4. 点击 添加规则
  5. 填充规则字段:
    1. 名称
    2. 说明
    3. 状态
    4. 优先级:规则的数字评估顺序。这些规则按照从最高到最低的优先级进行评估,其中 0 是最高优先级。
    5. 操作部分中,指定是允许(允许)还是拒绝(拒绝)与规则匹配的连接。
    6. 会话匹配部分,指定用于匹配会话的条件。如需详细了解 SessionMatcher 的语法,请参阅 CEL 匹配器语言参考文档
    7. 如需启用 TLS 检查,请选择启用 TLS 检查
    8. 应用匹配部分中,指定与请求匹配的条件。如果您未为 TLS 检查启用规则,则请求只能匹配 HTTP 流量。
    9. 点击创建
  6. 点击添加规则以添加其他规则。
  7. 点击创建以创建该政策。

设置 Web 代理

  1. 在 Google Cloud 控制台中,前往网站代理页面。
    前往“Web 代理”页面
  2. 点击 创建安全 Web 代理
  3. 输入您要创建的网络代理的名称,例如 myswp
  4. 输入 Web 代理的说明,例如 My new swp
  5. 区域列表中,选择要创建网站代理的区域。
  6. 网络列表中,选择要创建 Web 代理的网络。
  7. 子网列表中,选择要创建 Web 代理的子网。
  8. 可选:输入安全 Web 代理 IP 地址。您可以输入位于您在上一步中创建的子网中的安全 Web 代理 IP 地址范围内的 IP 地址。如果您未输入 IP 地址,安全 Web 代理实例会自动从所选子网中选择一个 IP 地址。
  9. 证书列表中,选择要用于创建网站代理的证书。
  10. 政策列表中,选择要与网站代理关联的政策。
  11. 点击创建

Cloud Shell

  1. 创建 policy.yaml 文件:
  description: basic Secure Web Proxy policy  
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1  
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
  1. 创建安全 Web 代理政策:
  gcloud network-security gateway-security-policies import policy1 \  
      --source=policy.yaml --location=REGION
  1. 创建 rule.yaml 文件:
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com  
  description: Allow example.com  
  enabled: true  
  priority: 1  
  basicProfile: ALLOW  
  sessionMatcher: host() == 'example.com'  
  applicationMatcher: request.path.contains('index.html')  
  tlsInspectionEnabled: true
  1. 创建安全政策规则。
  gcloud network-security gateway-security-policies rules import allow-example-com \  
      --source=rule.yaml \  
      --location=REGION \  
      --gateway-security-policy=policy1
  1. 如需将 TLS 检查政策附加到现有安全政策,请创建 POLICY_FILE.yaml 文件。将 POLICY_FILE 替换为您的文件名。
  description: My Secure Web Proxy policy  
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME  
  tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME

后续步骤