Restringe versiones de TLS

En esta página, se describe cómo evitar el acceso a los recursos de Google Cloud mediante la denegación de las solicitudes realizadas con la seguridad de la capa de transporte (TLS) 1.0 o 1.1.

Descripción general

Google Cloud admite varias versiones de protocolo TLS. Para cumplir con los requisitos de cumplimiento, se recomienda rechazar las solicitudes de protocolo de enlace de los clientes que usan versiones de TLS anteriores.

Esta funcionalidad la proporciona la restricción de las políticas de la organización gcp.restrictTLSVersion. La restricción se puede aplicar a organizaciones, carpetas o proyectos de la jerarquía de recursos. La restricción gcp.restrictTLSVersion usa una lista de denegación, que rechaza los valores explícitos y permite todos los demás. Se producirá un error si intentas usar una lista de permisos.

Debido al comportamiento de la evaluación de la jerarquía de políticas de la organización, la restricción de la versión de TLS se aplica al nodo de recursos especificado y a todos sus elementos secundarios. Por ejemplo, si rechazas la versión 1.0 de TLS para una organización, también se rechazará en todas las carpetas y proyectos (secundarios) que desciendan de esa organización.

Puedes anular la restricción de versión de TLS heredada si actualizas la política de la organización en un recurso secundario. Por ejemplo, si la política de la organización rechaza TLS 1.0 a nivel de la organización, puedes quitar la restricción de una carpeta secundaria si configuras una política de la organización separada en esa carpeta. Si la carpeta tiene elementos secundarios, la política de la carpeta también se aplicará a cada recurso secundario debido a la herencia de políticas.

Antes de comenzar

  • Para configurar, cambiar o borrar una política de la organización, primero debes tener la función de Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) de Identity and Access Management (IAM).

Restringe una versión de TLS

Para restringir una o más versiones de TLS, completa los siguientes pasos:

Consola

  1. Abre la página Políticas de la organización en Google Cloud Console.

    Ir a Políticas de la organización

  2. Selecciona el selector de proyectos en la parte superior de la página.

  3. En el selector de proyectos, selecciona el recurso para el que deseas configurar la política de la organización.

  4. Selecciona la restricción Restringir versión de TLS de la lista que se encuentra en la página Políticas de la organización.

  5. Si deseas personalizar las políticas de la organización para este recurso, haz clic en Editar (Edit).

  6. En la página Editar, selecciona Personalizar (Customize).

  7. En Aplicación de la política, selecciona una opción de aplicación:

    • Para combinar y evaluar las políticas de la organización, selecciona Combinar con superior. Para obtener más información sobre la herencia y la jerarquía de recursos, consulta Comprende la evaluación de jerarquías.

    • Para anular las políticas heredadas de un recurso superior, selecciona Reemplazar.

  8. Haz clic en Agregar regla.

  9. En Valores de la política (Policy values), el valor predeterminado se establece en Rechazar todo (Deny all). En su lugar, selecciona Personalizado.

  10. En Tipo de política, selecciona Rechazar.

  11. En Valores personalizados, ingresa una versión de TLS que se rechazará. Los siguientes valores son valores personalizados válidos:

    • TLS_VERSION_1 para TLS 1.0
    • TLS_VERSION_1_1 para TLS 1.1

    Si restringes más de una versión de TLS, haz clic en Agregar valor y, luego, ingresa el valor en el campo adicional.

  12. Para finalizar y aplicar la política de la organización, haz clic en Guardar (Save).

gcloud

Usa el comando gcloud org-policies set-policy para establecer una política de la organización en el recurso deseado:

gcloud org-policies set-policy POLICY_PATH

POLICY_PATH es la ruta de acceso completa al archivo de políticas de la organización, que debería verse de la siguiente manera si se usa el formato YAML:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictTLSVersion
spec:
  rules:
  - values:
    deniedValues:
    - TLS_VERSION_1
    - TLS_VERSION_1_1

Reemplázala por lo siguiente:

  • RESOURCE_TYPE es organizations, folders o projects.

  • RESOURCE_ID es el ID de la organización, el ID de la carpeta, el ID del proyecto o el número del proyecto, según el tipo de recurso especificado en RESOURCE_TYPE.

Ejecuta el siguiente comando para verificar que se haya aplicado tu política:

gcloud org-policies describe gcp.restrictTLSVersion --RESOURCE_TYPE=RESOURCE_ID --effective

Reemplázala por lo siguiente:

  • RESOURCE_TYPE es organization, folder o project.

  • RESOURCE_ID es el ID de la organización, el ID de la carpeta, el ID del proyecto o el número del proyecto, según el tipo de recurso especificado en RESOURCE_TYPE.

Servicios compatibles

La restricción de la versión de TLS es compatible con los siguientes servicios:

  • apigateway.googleapis.com
  • appengine.googleapis.com
  • artifactregistry.googleapis.com
  • assuredworkloads.googleapis.com
  • bigquery.googleapis.com
  • bigqueryreservation.googleapis.com
  • bigtableadmin.googleapis.com
  • binaryauthorization.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • clouddebugger.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudkms.googleapis.com
  • cloudresourcemanager.googleapis.com
  • cloudscheduler.googleapis.com
  • cloudsearch.googleapis.com
  • cloudtasks.googleapis.com
  • cloudtrace.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • containeranalysis.googleapis.com
  • datacatalog.googleapis.com
  • dataflow.googleapis.com
  • datafusion.googleapis.com
  • datalabeling.googleapis.com
  • datamigration.googleapis.com
  • dataproc.googleapis.com
  • datastore.googleapis.com
  • deploymentmanager.googleapis.com
  • dialogflow.googleapis.com
  • dlp.googleapis.com
  • dns.googleapis.com
  • domains.googleapis.com
  • file.googleapis.com
  • firebaserules.googleapis.com
  • firestore.googleapis.com
  • genomics.googleapis.com
  • healthcare.googleapis.com
  • iam.googleapis.com
  • iamcredentials.googleapis.com
  • iap.googleapis.com
  • identitytoolkit.googleapis.com
  • language.googleapis.com
  • lifesciences.googleapis.com
  • logging.googleapis.com
  • managedidentities.googleapis.com
  • memcache.googleapis.com
  • metastore.googleapis.com
  • ml.googleapis.com
  • monitoring.googleapis.com
  • networkmanagement.googleapis.com
  • notebooks.googleapis.com
  • osconfig.googleapis.com
  • policytroubleshooter.googleapis.com
  • privateca.googleapis.com
  • pubsub.googleapis.com
  • pubsublite.googleapis.com
  • recommender.googleapis.com
  • redis.googleapis.com
  • run.googleapis.com
  • runtimeconfig.googleapis.com
  • secretmanager.googleapis.com
  • servicecontrol.googleapis.com
  • servicedirectory.googleapis.com
  • servicenetworking.googleapis.com
  • sourcerepo.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • storagetransfer.googleapis.com
  • sts.googleapis.com
  • texttospeech.googleapis.com
  • tpu.googleapis.com
  • videointelligence.googleapis.com
  • vision.googleapis.com
  • workflowexecutions.googleapis.com
  • workflows.googleapis.com