Restringir los conjuntos de cifrado TLS

En esta página se describe cómo puedes impedir el acceso a los recursos Google Cloud denegando las solicitudes realizadas con determinados conjuntos de cifrado de Seguridad en la capa de transporte (TLS) menos seguros.

Información general

Google Cloud admite varios paquetes de cifrado TLS. Para cumplir los requisitos de seguridad o de cumplimiento, puede que quieras rechazar las solicitudes de clientes que usen paquetes de cifrado TLS menos seguros.

Esta función se proporciona mediante la gcp.restrictTLSCipherSuites restricción de política de organización. La restricción se puede aplicar a organizaciones, carpetas o proyectos de la jerarquía de recursos.

Puedes usar la restricción gcp.restrictTLSCipherSuites como lista de permitidos o como lista de denegados:

  • Lista de permitidos: permite un conjunto específico de conjuntos de cifrado. Todas las demás se rechazan.
  • Lista de denegación: deniega un conjunto específico de conjuntos de cifrado. Todas las demás están permitidas.

Debido al comportamiento de la evaluación de la jerarquía de políticas de organización, la restricción de conjuntos de cifrado TLS se aplica al nodo de recurso especificado y a todos sus elementos secundarios. Por ejemplo, si solo permites determinados conjuntos de cifrado TLS en una organización, también se aplicarán a todas las carpetas y proyectos (elementos secundarios) que dependan de esa organización.

Antes de empezar

Para obtener los permisos que necesitas para definir, cambiar o eliminar políticas de la organización, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Definir la política de la organización

La restricción Restrict TLS cipher suites es un tipo de restricción de lista. Puedes añadir y quitar conjuntos de cifrado de las listas allowed_values o denied_values de una restricción de conjuntos de cifrado de TLS. Para evitar que las políticas de organización sean demasiado restrictivas y simplificar la gestión de políticas, utiliza grupos de valores. Los grupos de valores son conjuntos de cifrado TLS recomendados y seleccionados por Google.

Consola

  1. Abre la página Políticas de la organización en la consola de Google Cloud .

    Ir a Políticas de organización

  2. Selecciona el selector de proyectos en la parte superior de la página.

  3. En el selector de proyectos, selecciona el recurso para el que quieras definir la política de la organización.

  4. Selecciona la restricción Restringir conjuntos de cifrado TLS en la lista de la página Políticas de organización.

  5. Para actualizar la política de la organización de este recurso, haz clic en Gestionar política.

  6. En la página Editar, selecciona Personalizar.

  7. En Implementación de la política, selecciona una opción:

    • Para combinar y evaluar las políticas de tu organización, selecciona Combinar con la principal. Para obtener más información sobre la herencia y la jerarquía de recursos, consulta Información sobre la evaluación jerárquica.

    • Para anular las políticas heredadas de un recurso superior, seleccione Reemplazar.

  8. Haz clic en Añadir regla.

  9. En Valores de la política, selecciona Personalizado.

  10. En Tipo de política, selecciona Permitir para crear una lista de conjuntos de cifrado permitidos o Denegar para crear una lista de conjuntos de cifrado denegados.

  11. En Valores personalizados, introduce el prefijo in: y una cadena de grupo de valores. A continuación, pulsa Intro.

    • Por ejemplo, in:NIST-800-52-recommended-ciphers. Puede introducir varias cadenas de grupos de valores haciendo clic en Añadir valor.

    • También puedes introducir cadenas de conjuntos de cifrado específicos con el prefijo is:. Para ver una lista de los valores admitidos, consulta conjuntos de cifrado admitidos.

  12. Para aplicar la política, haz clic en Definir política.

gcloud

Para crear una política de organización que aplique la restricción Restrict TLS Cipher Suites, crea un archivo YAML de política que haga referencia a la restricción:

constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
  allowedValues:
  - in:CNSA-2.0-recommended-ciphers
  - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE RESOURCE_ID \
POLICY_PATH

Haz los cambios siguientes:

  • RESOURCE_TYPE con organization, folder o project.

  • RESOURCE_ID con el ID de tu organización, el ID de la carpeta, el ID del proyecto o el número del proyecto.

  • POLICY_PATH con la ruta completa al archivo YAML que contiene la política de la organización.

Se devuelve una respuesta con los resultados de la nueva política de la organización:

constraint: constraints/gcp.restrictTLSCipherSuites
etag: COS9qr0GELii6o0C
listPolicy:
  allowedValues:
  - in:CNSA-2.0-recommended-ciphers
  - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
updateTime: '2025-02-11T00:50:44.565875Z'

Grupos de valores

Los grupos de valores son colecciones de conjuntos de cifrado seleccionados por Google para ofrecer una forma más sencilla de definir los conjuntos de cifrado TLS preferidos o recomendados. Los grupos de valores incluyen varios conjuntos de cifrado y Google los amplía con el tiempo. No es necesario que cambies la política de tu organización para adaptarla a los nuevos conjuntos de cifrado.

Para aplicarlos en tu política de organización, incluye el prefijo in: en las entradas. Para obtener más información sobre cómo usar prefijos de valor, consulta Usar restricciones. Los nombres de los grupos de valores se validan en la llamada para definir la política de la organización. Si se usa un nombre de grupo no válido, se producirá un error en la configuración de la política.

En la siguiente tabla se muestra la lista actual de grupos disponibles:

Grupo Detalles Miembros directos
CNSA-2.0-recommended-ciphers Cifrados recomendados por CNSA 2.0 compatibles con Google Cloud:
in:CNSA-2.0-recommended-ciphers
Valores:
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
NIST-800-52-recommended-ciphers Cifrados recomendados por NIST SP 800-52 compatibles con Google Cloud:
in:NIST-800-52-recommended-ciphers
Valores:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Paquetes de cifrado admitidos

Esta es la lista de conjuntos de cifrado admitidos por Google Cloud.

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

Mensaje de error

Los servicios que admiten la restricción de paquetes de cifrado TLS deniegan las solicitudes que infringen la restricción.

Ejemplo de mensaje de error

El mensaje de error tiene un formato similar al del siguiente ejemplo:

Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites
constraint for 'projects/PROJECT_NUMBER'.
Access to service
'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`
To access this resource, please use an allowed TLS Cipher Suite.

Esta salida incluye los siguientes valores:

  • PROJECT_NUMBER: el número de proyecto que aloja el recurso al que se hace referencia en el comando anterior.
  • SERVICE_NAME: nombre del servicio incluido en el ámbito bloqueado por la política Restringir conjuntos de cifrado TLS.
  • TLS_Cipher_Suite_X: el conjunto de algoritmos de cifrado TLS usado en la solicitud.

Ejemplo de registro de auditoría de Cloud

También se genera una entrada en el registro de auditoría para monitorizar, enviar alertas o depurar. La entrada del registro de auditoría es similar al siguiente ejemplo:

{
  logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-project-number"
    authenticationInfo: {
      principalEmail: "user_or_service_account@example.com"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictTlsCipherSuites"
          errorMessage: "TLS Cipher Suite Restriction Org Policy is violated"
          policyType: "LIST_CONSTRAINT"
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "my-project-number"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2023-10-27T19:27:24.633477924Z"
  receiveTimestamp: "2023-10-27T19:27:25.071941737Z"
  insertId "42"
}

Probar la política

Puedes probar la restricción de la política de cifrado TLS en cualquier servicio incluido. El siguiente ejemplo de comando curl valida los paquetes de cifrado TLS restringidos de un conjunto de claves de Cloud Key Management Service.

curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose

Sustituye las siguientes variables:

  • TLS_CIPHER_SUITE: el nombre del paquete de cifrado TLS en la convención de nomenclatura de OpenSSL. Por ejemplo, ECDHE-ECDSA-AES128-SHA es el nombre de OpenSSL de TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.

  • PROJECT_ID: nombre del proyecto que contiene el conjunto de claves

En la siguiente solicitud de curl se muestra PROJECT_ID con el valor my-project-id y TLS_CIPHER_SUITE con el valor ECDHE-ECDSA-AES128-SHA:

curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \
  GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose

Si la política de organización de "my-project-id" está configurada para denegar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , se producirá un error en cualquier intento de acceder a recursos con el cifrado en el proyecto restringido por la política en este comando de ejemplo. Se devuelve un mensaje de error similar al siguiente ejemplo que describe el motivo de este fallo.

Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites
constraint for 'projects/my-project-id'.
Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher
Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`.
To access this resource, please use an allowed TLS Cipher Suite.

Crear una política de la organización en modo de prueba de funcionamiento

Una política de la organización en modo de prueba es un tipo de política de la organización en el que las infracciones de la política se registran en la auditoría, pero las acciones infractoras no se deniegan. Puedes crear una política de organización en modo de prueba con la restricción de conjunto de cifrado TLS para monitorizar cómo afectaría a tu organización antes de aplicar la política activa. Para obtener más información, consulta Crear una política de organización en modo de prueba.

Servicios admitidos

Los siguientes servicios admiten la opción Restringir paquetes de cifrado TLS. La restricción se aplica a todas las variaciones del endpoint de la API, incluidos los endpoints globales, de ubicación y regionales. Para obtener más información, consulta la página Tipos de endpoint de la API.

Producto punto final de API
API Gateway apigateway.googleapis.com
Claves de API apikeys.googleapis.com
Administrador de contextos de acceso accesscontextmanager.googleapis.com
Apigee apigee.googleapis.com
Hub de APIs de Apigee apihub.googleapis.com
API Apigee API Management apim.googleapis.com
API de Apigee Connect apigeeconnect.googleapis.com
API del portal de Apigee apigeeportal.googleapis.com
API Apigee Registry apigeeregistry.googleapis.com
API App Config Manager appconfigmanager.googleapis.com
App Hub apphub.googleapis.com
Application Design Center designcenter.googleapis.com
Application Integration integrations.googleapis.com
Artifact Analysis containeranalysis.googleapis.com
ondemandscanning.googleapis.com
Artifact Registry artifactregistry.googleapis.com
Assured Open Source Software assuredoss.googleapis.com
Assured Workloads assuredworkloads.googleapis.com
Audit Manager auditmanager.googleapis.com
API Authorization Toolkit authztoolkit.googleapis.com
Servicio de copia de seguridad y DR backupdr.googleapis.com
Copia de seguridad de GKE gkebackup.googleapis.com
Lotes batch.googleapis.com
Chrome Enterprise Premium beyondcorp.googleapis.com
BigLake biglake.googleapis.com
BigQuery bigquery.googleapis.com
Conexiones de BigQuery bigqueryconnection.googleapis.com
Política de datos de BigQuery bigquerydatapolicy.googleapis.com
BigQuery Data Transfer bigquerydatatransfer.googleapis.com
Migración de BigQuery bigquerymigration.googleapis.com
Reserva de BigQuery bigqueryreservation.googleapis.com
API Saved Query de BigQuery bigquery-sq.googleapis.com
Almacenamiento de BigQuery bigquerystorage.googleapis.com
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
Autorización binaria binaryauthorization.googleapis.com
Analíticas de cadena de bloques blockchain.googleapis.com
Blockchain Node Engine blockchainnodeengine.googleapis.com
Gestor de validadores de cadena de bloques blockchainvalidatormanager.googleapis.com
Planificador de capacidad capacityplanner.googleapis.com
Servicio de Autoridades de Certificación privateca.googleapis.com
Certificate Manager certificatemanager.googleapis.com
Inventario de Recursos de Cloud cloudasset.googleapis.com
Facturación de Google Cloud cloudbilling.googleapis.com
Cloud Build cloudbuild.googleapis.com
Cloud CDN compute.googleapis.com
API Cloud Commerce Producer cloudcommerceproducer.googleapis.com
Cloud Composer composer.googleapis.com
API Cloud Controls Partner cloudcontrolspartner.googleapis.com
Cloud DNS dns.googleapis.com
Cloud Data Fusion datafusion.googleapis.com
Cloud Deployment Manager runtimeconfig.googleapis.com
deploymentmanager.googleapis.com
Cloud Domains domains.googleapis.com
API de Cloud Healthcare healthcare.googleapis.com
Cloud Interconnect compute.googleapis.com
Sistema de Detección de Intrusos de Cloud ids.googleapis.com
Cloud Key Management Service cloudkms.googleapis.com
Cloud Life Sciences lifesciences.googleapis.com
Cloud Load Balancing compute.googleapis.com
Cloud Logging logging.googleapis.com
Cloud Monitoring monitoring.googleapis.com
Cloud NAT compute.googleapis.com
API Cloud Natural Language language.googleapis.com
Imprescindibles de Cloud Next Generation Firewall compute.googleapis.com
networksecurity.googleapis.com
Cloud Next Generation Firewall Standard compute.googleapis.com
networksecurity.googleapis.com
API de Cloud OS Login oslogin.googleapis.com
Cuotas de Cloud cloudquotas.googleapis.com
Cloud Router compute.googleapis.com
Cloud Run run.googleapis.com
Cloud Scheduler cloudscheduler.googleapis.com
Cloud SQL sqladmin.googleapis.com
Cloud Service Mesh meshconfig.googleapis.com
networksecurity.googleapis.com
API Cloud Support cloudsupport.googleapis.com
API Cloud Tool Results toolresults.googleapis.com
TPU de Cloud tpu.googleapis.com
Cloud VPN compute.googleapis.com
Cloud Workstations workstations.googleapis.com
API Commerce Agreement Publishing commerceagreementpublishing.googleapis.com
API Commerce Business Enablement commercebusinessenablement.googleapis.com
API Commerce Price Management commercepricemanagement.googleapis.com
Compute Engine compute.googleapis.com
Confidential Computing confidentialcomputing.googleapis.com
Conectar gkeconnect.googleapis.com
Pasarela de conexión connectgateway.googleapis.com
API Contact Center AI Platform contactcenteraiplatform.googleapis.com
Container Threat Detection containerthreatdetection.googleapis.com
API Content Warehouse contentwarehouse.googleapis.com
API Continuous Validation continuousvalidation.googleapis.com
API de Data Labeling datalabeling.googleapis.com
API Data Security Posture Management dspm.googleapis.com
Database Migration Service datamigration.googleapis.com
Dataform dataform.googleapis.com
Dataflow dataflow.googleapis.com
Dataplex Universal Catalog dataplex.googleapis.com
datalineage.googleapis.com
Dataproc dataproc.googleapis.com
Dataproc en GDC dataprocgdc.googleapis.com
Datastream datastream.googleapis.com
Google Distributed Cloud opsconfigmonitoring.googleapis.com
gdcvmmanager.googleapis.com
gdchardwaremanagement.googleapis.com
API de contenedor de Distributed Cloud Edge edgecontainer.googleapis.com
API Distributed Cloud Edge Network edgenetwork.googleapis.com
Enterprise Knowledge Graph enterpriseknowledgegraph.googleapis.com
Error Reporting clouderrorreporting.googleapis.com
Contactos esenciales essentialcontacts.googleapis.com
Eventarc eventarc.googleapis.com
Filestore file.googleapis.com
API Financial Services financialservices.googleapis.com
Firebase App Hosting firebaseapphosting.googleapis.com
Firebase Data Connect firebasedataconnect.googleapis.com
Reglas de seguridad de Firebase firebaserules.googleapis.com
Firestore firestore.googleapis.com
Firestore en modo Datastore datastore.googleapis.com
GKE Dataplane Management gkedataplanemanagement.googleapis.com
API GKE Enterprise Edge anthosedge.googleapis.com
Centro de control (flota) gkehub.googleapis.com
GKE Multi-cloud gkemulticloud.googleapis.com
API de GKE On-Prem gkeonprem.googleapis.com
API de Gemini para Google Cloud cloudaicompanion.googleapis.com
Google Cloud API cloud.googleapis.com
Google Cloud Armor compute.googleapis.com
Google Cloud Migration Center migrationcenter.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
Google Kubernetes Engine container.googleapis.com
configdelivery.googleapis.com
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
API Google Security Operations Partner chroniclepartner.googleapis.com
Complementos de Google Workspace gsuiteaddons.googleapis.com
Gestión de Identidades y Accesos iam.googleapis.com
Identity-Aware Proxy iap.googleapis.com
Immersive Stream stream.googleapis.com
Infrastructure Manager config.googleapis.com
Integration Connectors connectors.googleapis.com
KRM API Hosting krmapihosting.googleapis.com
API Live Stream livestream.googleapis.com
Looker Studio datastudio.googleapis.com
El motor de BigQuery para Apache Flink managedflink.googleapis.com
API Managed Kafka managedkafka.googleapis.com
Service Management servicemanagement.googleapis.com
Media Asset Manager mediaasset.googleapis.com
Memorystore para Memcached memcache.googleapis.com
Memorystore para Redis redis.googleapis.com
Memorystore para Valkey memorystore.googleapis.com
API Message Streams messagestreams.googleapis.com
API de microservicios microservices.googleapis.com
Migrate to Virtual Machines vmmigration.googleapis.com
Model Armor modelarmor.googleapis.com
Network Connectivity Center networkconnectivity.googleapis.com
Network Intelligence Center networkmanagement.googleapis.com
Niveles de servicio de red compute.googleapis.com
Persistent Disk compute.googleapis.com
Base de datos de Oracle@Google Cloud oracledatabase.googleapis.com
Parallelstore parallelstore.googleapis.com
Analizador de políticas policyanalyzer.googleapis.com
Solucionador de problemas de políticas policytroubleshooter.googleapis.com
Lanzamiento progresivo progressiverollout.googleapis.com
Pub/Sub pubsub.googleapis.com
Public Certificate Authority publicca.googleapis.com
Recomendador recommender.googleapis.com
Remote Build Execution remotebuildexecution.googleapis.com
API Retail retail.googleapis.com
Centro de Seguros de Ciberseguridad riskmanager.googleapis.com
API SaaS Service Management saasservicemgmt.googleapis.com
API SecLM seclm.googleapis.com
Secret Manager secretmanager.googleapis.com
Security Command Center securitycenter.googleapis.com
securitycentermanagement.googleapis.com
securityposture.googleapis.com
Cloud Data Loss Prevention dlp.googleapis.com
API Service Account Credentials iamcredentials.googleapis.com
Directorio de servicios servicedirectory.googleapis.com
Redes de servicios servicenetworking.googleapis.com
Spanner spanner.googleapis.com
Cloud Storage storage.googleapis.com
Speaker ID speakerid.googleapis.com
Speech‑to‑Text speech.googleapis.com
Storage Insights storageinsights.googleapis.com
Servicio de transferencia de Storage storagebatchoperations.googleapis.com
storagetransfer.googleapis.com
Text‑to‑Speech texttospeech.googleapis.com
API de Timeseries Insights timeseriesinsights.googleapis.com
API Transcoder transcoder.googleapis.com
Transfer Appliance transferappliance.googleapis.com
VM Manager osconfig.googleapis.com
API de Vertex AI aiplatform.googleapis.com
Vertex AI Workbench notebooks.googleapis.com
Vertex AI in Firebase firebasevertexai.googleapis.com
Nube privada virtual (VPC) compute.googleapis.com
API Video Search cloudvideosearch.googleapis.com
API Video Stitcher videostitcher.googleapis.com
Web Risk webrisk.googleapis.com
Web Security Scanner websecurityscanner.googleapis.com
Flujos de trabajo workflows.googleapis.com
API Workload Certificate workloadcertificate.googleapis.com
Workload Manager workloadmanager.googleapis.com

Servicios no admitidos

La restricción de la política de organización de paquetes de cifrado TLS no se aplica a los siguientes servicios:

  • Apigee (*.apigee.net, *.apigee.com y *.apigee.io)
  • App Engine (*.appspot.com)
  • Funciones de Cloud Run (*.cloudfunctions.net)
  • Cloud Run (*.run.app)
  • Private Service Connect
  • Dominios personalizados

Para restringir los paquetes de cifrado TLS de estos servicios, usa Cloud Load Balancing junto con la política de seguridad SSL.

Google Cloud preferencia de conjunto de cifrado

Los endpoints de los servicios admitidos priorizan AES-256 sobre AES-128 y sobre ChaCha20. Los clientes que admitan AES-256 deberían poder negociar con éxito este cifrado sin necesidad de cambiar la configuración.