GCPのロードバランサでTLSバージョンや暗号スイートを確認する

こんにちは。GMOアドマーケティングのH.Tと申します。

担当しているプロダクトでセキュリティチェックの一環として現在受け付けているリクエストのTLSバージョンや暗号スイートを洗い出す必要がありました。
GCPのロードバランサのカスタムヘッダという機能から確認できたのでご紹介します。

システム構成は以下のような感じです。
External HTTP(S)load balancer → サーバレスNEG → Cloud Run(Goアプリ)

以下Cloudコンソールでの手順になります。
先に公式ドキュメントを読みたい方はこちら

1. ロードバランサ一覧より対象のロードバランサ名をクリックして詳細を開く。

2. 「ロードバランサの詳細」画面から「編集」を開く。

3. 「バックエンド サービス」で対象バックエンドの鉛筆アイコンから「バックエンド サービス」の編集を開く。

4. 下の方にスクロールして「高度な構成」を開く。

バックエンドのロギングは今回直接は関係ないですが有効にしています。

5. カスタムリクエスト ヘッダーの方で「+ヘッダーを追加」ボタンを押す。

6. TLSバージョンと暗号スイートが取れる変数を設定する。

変数は{}で囲みます。

7. ログを吐き出すスクリプトをアプリの中に仕込む。

8. Cloud Runのログから確認。


簡単ではありますが以上となります。
最後まで読んでいただきありがとうございました。