TLS-Versionen einschränken

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Google Cloud-Ressourcen verhindern können, indem Sie Anfragen mit TLS 1.0 oder 1.1 (Transport Layer Security) werden abgelehnt.

Übersicht

Google Cloud unterstützt mehrere TLS-Protokolle Versionen Bis Compliance-Anforderungen erfüllen, sollten Sie Handshakeanfragen von Clients, die ältere TLS-Versionen verwenden. Dazu können Sie den gcp.restrictTLSVersion Organisationsrichtlinie -Einschränkung.

Die Einschränkung gcp.restrictTLSVersion kann auf Organisationen, Ordner oder Projekte in der Ressourcenhierarchie. Die Einschränkung verwendet ein deny list, bei dem explizite Werte abgelehnt und alle anderen zugelassen werden. Ein Fehler tritt auf, wenn Sie eine Zulassungsliste zu verwenden.

Aufgrund des Verhaltens von Evaluierung der Hierarchie der Organisationsrichtlinien, gilt die TLS-Versionsbeschränkung für den angegebenen Ressourcenknoten und alle ihre untergeordneten Elemente. Wenn Sie beispielsweise TLS Version 1.0 für eine Organisation ablehnen, wird auch für alle Ordner und Projekte (untergeordnete Elemente) abgelehnt, die von dieser Unternehmen.

Sie können die übernommene Einschränkung für TLS-Versionen überschreiben, indem Sie die Organisationsrichtlinie für eine untergeordnete Ressource. Wenn Ihre Organisation zum Beispiel TLS 1.0 auf Organisationsebene nicht zulässig ist, können Sie die Einschränkung entfernen für einen untergeordneten Ordner, indem Sie eine separate Organisationsrichtlinie für diesen Ordner festlegen. Wenn der Ordner untergeordnete Elemente hat, wird die Ordnerrichtlinie auch auf alle untergeordneten Elemente angewendet untergeordnete Ressource aufgrund von Richtlinienübernahme.

Hinweise

  • Zum Festlegen, Ändern oder Löschen einer Organisationsrichtlinie benötigen Sie zuerst eine entsprechende Berechtigung den Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) IAM-Rolle (Identity and Access Management)

TLS-Version einschränken

Führen Sie die folgenden Schritte aus, um eine oder mehrere TLS-Versionen einzuschränken:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.

  4. Wählen Sie die Einschränkung TLS-Version einschränken aus der Liste auf der Organisationsrichtlinien.

  5. Klicken Sie auf Bearbeiten, um die Organisationsrichtlinie für diese Ressource zu aktualisieren.

  6. Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.

  7. Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus:

    • Wählen Sie Mit übergeordneter Ressource zusammenführen aus, um die Organisationsrichtlinien zusammenzuführen und zu evaluieren. Weitere Informationen zur Vererbung und Ressourcenhierarchie, siehe Informationen zu Evaluierungen der Hierarchie

    • Wählen Sie Ersetzen aus, um Richtlinien zu überschreiben, die von einer übergeordneten Ressource übernommen wurden.

  8. Klicken Sie auf Regel hinzufügen.

  9. Unter Richtlinienwerte ist der Standardwert Alle ablehnen festgelegt. Auswählen Benutzerdefiniert.

  10. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  11. Geben Sie unter Benutzerdefinierte Werte die TLS-Version ein, die abgelehnt werden soll. Folgende Werte sind gültige benutzerdefinierte Werte:

    • TLS_VERSION_1 für TLS 1.0
    • TLS_VERSION_1_1 für TLS 1.1

    Wenn Sie mehrere TLS-Versionen einschränken möchten, klicken Sie auf Wert hinzufügen und geben Sie den Wert in das zusätzliche Feld ein.

  12. Klicken Sie auf Speichern, um den Vorgang abzuschließen und die Organisationsrichtlinie anzuwenden.

gcloud

Verwenden Sie den Befehl gcloud org-policies set-policy, um eine Organisationsrichtlinie für die Ressource festzulegen:

gcloud org-policies set-policy POLICY_PATH

POLICY_PATH ist der vollständige Pfad zu Ihrer Organisationsrichtliniendatei. Das sollte bei Verwendung des YAML-Formats so aussehen:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictTLSVersion
spec:
  rules:
  - values:
    deniedValues:
    - TLS_VERSION_1
    - TLS_VERSION_1_1

Ersetzen Sie sie durch Folgendes:

  • RESOURCE_TYPE ist organizations, folders oder projects.

  • RESOURCE_ID ist je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist, Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer.

Führen Sie den folgenden Befehl aus, um zu prüfen, ob Ihre Richtlinie angewendet wurde:

gcloud org-policies describe gcp.restrictTLSVersion --RESOURCE_TYPE=RESOURCE_ID --effective

Ersetzen Sie sie durch Folgendes:

  • RESOURCE_TYPE ist organization, folder oder project.

  • RESOURCE_ID ist je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist, Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer.

Richtlinie testen

Die Richtlinieneinschränkung für die TLS-Versionsbeschränkung kann für alle die im Projektumfang enthalten sind. Im folgenden Beispiel für einen curl-Befehl Validiert die TLS-Versionseinschränkung für einen Cloud Storage-Bucket.

  curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://storage.googleapis.com/storage/v1/b/GCS_BUCKET_NAME/o" \
  --tlsvTLS_VERSION --tls-max TLS_VERSION --ciphers DEFAULT@SECLEVEL=0

Zwischen --tlsv und dem Wert darf kein Leerzeichen stehen. Beispiel: --tlsv1.1

Ersetzen Sie sie durch Folgendes:

  • GCS_BUCKET_NAME ist der Name eines Cloud Storage-Bucket. in Ihrem Projekt, z. B. mybucketname.

  • TLS_VERSION ist eine TLS-Version wie 1.0 oder 1.1 in der konfigurierten Richtlinie abgelehnt.

Im folgenden Beispiel für eine curl-Anfrage ist GCS_BUCKET_NAME festgelegt. auf mybucketname und TLS_VERSION auf 1.1 festgelegt:

  curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://storage.googleapis.com/storage/v1/b/mybucketname/o" \
  --tlsv1.1 --tls-max 1.1 --ciphers DEFAULT@SECLEVEL=0

Wenn die Organisationsrichtlinie so konfiguriert ist, dass TLS_VERSION_X eingeschränkt wird, gilt Folgendes: Versuchen, mit TLS_VERSION_X in der durch die Richtlinie eingeschränkten Zugriffsebene auf Ressourcen zuzugreifen in diesem Beispielbefehl fehl. Es wird eine Fehlermeldung zurückgegeben, die beschreibt den Grund für diesen Fehler.

Request is disallowed by organization's constraints/gcp.restrictTLSVersion
constraint for 'projects/PROJECT_NUMBER' to use service
'SERVICE_NAME.googleapis.com' by violated TLS version `TLS_VERSION_X`

Diese Ausgabe enthält die folgenden Werte:

  • PROJECT_NUMBER: die Projektnummer, in der die Ressource, auf die im vorherigen Befehl verwiesen wurde.
  • SERVICE_NAME: der Name des aufgenommenen Dienstes durch die TLS-Einschränkungsrichtlinie blockiert.

Unterstützte Dienste

Die TLS-Versionseinschränkung wird von allen Google Cloud-Ressourcen-APIs unterstützt mit einer Kopfzeile, die von Google Front End (GFE):

Nicht unterstützte Dienste

Die Einschränkung der Organisationsrichtlinie für die TLS-Versionsbeschränkung ist nicht gilt für die folgenden Dienste:

  • App Engine (*.appspot.com)
  • Cloud Functions (*.cloudfunctions.net),
  • Cloud Run (*.run.app)
  • Private Service Connect
  • Benutzerdefinierte Domains

Verwenden Sie Cloud Load Balancing, um TLS-Versionen für diese Dienste einzuschränken. sowie die SSL-Richtlinien. Sie können auch Vordefinierte constraints/compute.requireSslPolicy verwenden Einschränkung sowie die benutzerdefinierten Einschränkungen für SSL-Richtlinien, TLS-Versions- und Cipher Suite-Einschränkungen für Ihre Load-Balancer erzwingen.

Nächste Schritte