iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 20
1
自我挑戰組

谷哥 Google Cloud Platform 勇者的試煉系列 第 20

GCP 網站憑證安全嗎!有黃袍加身保護你

一般網站走http / https...如果是走憑證加密雖然遠比沒有憑證來的安全許多,但實際上仍有不少SSL上的安全漏洞的風險疑慮,故本次就要透過SSL Policy使你能夠強制SSL Proxy或https負載平衡服務與客戶端做連線間的加密協議

你可以使用SSL Policy配置HTTPS或SSL Proxy負載平衡中啟用的最小TLS版本功能。SSL Policy會影響用戶與HTTPS或SSL Proxy負載平衡之間的連接(圖中連接1)。 SSL Policy不會影響負載平衡和後端間的連接(圖中連接2)。
https://ithelp.ithome.com.tw/upload/images/20181020/20025481MtxubwccTV.png

這次就來給它實測一下吧!一樣是網路下選到SSL安全傳輸政策
https://ithelp.ithome.com.tw/upload/images/20181020/20025481hnaEtiiZa1.png

來建立吧!
https://ithelp.ithome.com.tw/upload/images/20181020/20025481SibVS94oZ6.png

有直接限制最低的TLS版本....
https://ithelp.ithome.com.tw/upload/images/20181020/20025481MnvwCHwnb1.png

另外在資料傳輸部份也有非常多的鑰密支援類型從比較鬆散到嚴謹的
https://ithelp.ithome.com.tw/upload/images/20181020/20025481Cl8jFfHa6q.png

測試就給他選...最硬的@@...又在自找麻煩的概念
https://ithelp.ithome.com.tw/upload/images/20181020/20025481rK9fNuZ4PZ.png

OK,規則設定好了
https://ithelp.ithome.com.tw/upload/images/20181020/20025481PS5nSiz7UM.png

因為安全傳輸政策也是綁在負載平衡上才能運作,我就用中間這組LB來做(因為只有這組後端GCE有開機啦/images/emoticon/emoticon39.gif)
https://ithelp.ithome.com.tw/upload/images/20181020/20025481VtZtiaaeP2.png

直接點進去此LB內編輯它,在前端部份本來都走http如果不要可以移除
https://ithelp.ithome.com.tw/upload/images/20181020/200254810O5iy1GhXZ.png

新增就好啦!可以同時支援80/443的...不過問題來了!我沒有憑證來建立看看
https://ithelp.ithome.com.tw/upload/images/20181020/20025481KE3Z7RL1Vy.png

可以新增自己的第三方公開憑證(我當然是沒有喽!)
https://ithelp.ithome.com.tw/upload/images/20181020/20025481gzi1ckqm8G.png

選擇新增憑證只叫我建立一組網域(應該就是公開能夠查詢到的,設定我GoDaddy上的網域名稱)
https://ithelp.ithome.com.tw/upload/images/20181020/20025481maLL9kH7r7.png

憑證就可以選擇喽!
https://ithelp.ithome.com.tw/upload/images/20181020/200254812gZFjaPyKS.png

有沒有...憑證安全政策就在此設置堡壘
https://ithelp.ithome.com.tw/upload/images/20181020/200254814bhvBYRO0Q.png

QUIC解釋一下:
全名為快速UDP網路連結(Quick UDP Internet Connections),它以UDP (User Datagram Protocol,使用者封包通訊協定)來取代TCP(Transmission Control Protocol,傳輸控制通訊協定),以在傳輸層安全性協定(Transport Layer Security,TLS)上串流各種協定。

自Chrome連結至Google伺服器的流量是藉由QUIC。除了準備讓它成為客戶端程式的預設之外,Google也打算將它提交給網際網路工程工作小組(IETF),以期成為正式的網路標準。
廢話一堆....就還是自動阿!!/images/emoticon/emoticon01.gif
https://ithelp.ithome.com.tw/upload/images/20181020/20025481uUqEallk5m.png

設定好就多了新的一筆前端https端點,直接來更新
https://ithelp.ithome.com.tw/upload/images/20181020/200254819vhj8fTLLN.png

設定完成LB上就多了一筆Public IP記得是要到GoDaddy上的DNS管理多設定一筆A紀錄做對應的
https://ithelp.ithome.com.tw/upload/images/20181020/20025481oaJfU1c6sh.png

在GoDaddy上DNS管理做設定對應
https://ithelp.ithome.com.tw/upload/images/20181020/20025481DZa3JGsBVw.png

疑!連線測試前在我的LB憑證處一直出現此錯誤@@
https://ithelp.ithome.com.tw/upload/images/20181020/200254814iFB6KPC7s.png

查一下這錯誤發現就是憑證是無效的..簡單說就是無法驗證這網域啦@@
https://ithelp.ithome.com.tw/upload/images/20181020/20025481H3h9brb4QH.png

先用IP連線https看一下憑證根本就沒法信任...還過期的@@
https://ithelp.ithome.com.tw/upload/images/20181020/20025481VmD7GUmB54.png

突然靈機一動...申請的憑證不是都有共同名稱...我一直以為是自訂名稱+網域名稱就會是完整憑證名稱...不信邪在申請一次(這次網域改打完整名稱)
https://ithelp.ithome.com.tw/upload/images/20181020/20025481UAakPWCUsa.png

疑!不一樣沒有出現錯誤
https://ithelp.ithome.com.tw/upload/images/20181020/20025481Hp3xB1CPTG.png

等了大概有快20分鐘....耶呼!生效了啦
https://ithelp.ithome.com.tw/upload/images/20181020/20025481CXV47X6FyG.png

憑證OK了
https://ithelp.ithome.com.tw/upload/images/20181020/20025481hKwOaWMYHq.png

這是走非TLS1.2則直接拒絕
https://ithelp.ithome.com.tw/upload/images/20181020/20025481bryJaXAUQK.png

僅允許走TLS1.2安全加密驗證,網頁顯示正常
https://ithelp.ithome.com.tw/upload/images/20181020/200254812NfmCqzwNO.png

以上就是今天對於GCP的SSL Policy初體驗啦!為了憑證卡真久@@......先這樣哩!81


上一篇
抵禦外部攻擊 GCP Cloud Armor 防禦新選擇
下一篇
怕所屬地理區域服務中斷,GCP 網路服務級別提升你的高可用性
系列文
谷哥 Google Cloud Platform 勇者的試煉30

尚未有邦友留言

立即登入留言