Recurso: TlsInspectionPolicy
El recurso TlsInspectionPolicy contiene referencias a los grupos de AC en Certificate Authority Service y los metadatos asociados.
Representación JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
Campos | |
---|---|
name |
Obligatorio. Nombre del recurso. El nombre tiene el siguiente formato: projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy} tlsInspectionPolicy} tlsInspectionPolicy debe coincidir con el patrón:(^a-z?$). |
description |
Opcional. Descripción de texto libre del recurso. |
createTime |
Solo salida. Marca de tiempo cuando se creó el recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
updateTime |
Solo salida. La marca de tiempo de la actualización del recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
caPool |
Obligatorio. Un recurso de grupo de AC que se usa para emitir certificados de intercepción. La cadena del grupo de AC tiene una ruta de acceso a recursos relativa que tiene el formato “projects/{project}/locations/{location}/caPools/{caPool}”. |
trustConfig |
Opcional. Un recurso TrustConfig que se usa cuando se establece una conexión con el servidor TLS. Esta es una ruta de acceso a recursos relativos que tiene el formato “projects/{project}/locations/{location}/trustConfigs/{trustConfig}”. Esto es necesario para interceptar conexiones TLS a servidores con certificados firmados por una AC privada o certificados autofirmados. Ten en cuenta que el Proxy web seguro aún no respeta este campo. |
minTlsVersion |
Opcional. Versión mínima de TLS que el firewall debe usar cuando negocie conexiones con clientes y servidores. Si no se establece, el valor predeterminado es permitir el conjunto más amplio de clientes y servidores (TLS 1.0 o superior). Establecerlo en valores más restrictivos puede mejorar la seguridad, pero también puede impedir que el firewall se conecte a algunos clientes o servidores. Ten en cuenta que el Proxy web seguro aún no respeta este campo. |
tlsFeatureProfile |
Opcional. El perfil seleccionado. Si no se configura, el valor predeterminado es permitir el conjunto más amplio de clientes y servidores ("PROFILE_COMPATIBLE"). Establecer este parámetro en valores más restrictivos puede mejorar la seguridad, pero también puede impedir que el proxy de inspección de TLS se conecte a algunos clientes o servidores. Ten en cuenta que el Proxy web seguro aún no respeta este campo. |
customTlsFeatures[] |
Opcional. Lista de conjuntos de algoritmos de cifrado de TLS personalizados seleccionados. Este campo solo es válido si el tlsFeatureProfile seleccionado es CUSTOM. El método [compute.SslPoliciesService.ListAvailableFeatures][] muestra el conjunto de atributos que se pueden especificar en la lista. Ten en cuenta que el Proxy web seguro aún no respeta este campo. |
excludePublicCaSet |
Opcional. Si es FALSE (el valor predeterminado), usa nuestro conjunto predeterminado de AC públicas además de las AC especificadas en trustConfig. Estas AC públicas se basan actualmente en el Mozilla Root Program y están sujetas a cambios con el paso del tiempo. Si es TRUE, no aceptes nuestro conjunto predeterminado de AC públicas. Solo se aceptarán las AC especificadas en trustConfig. El valor predeterminado es FALSE (usar AC públicas además de trustConfig) para brindar retrocompatibilidad, pero no se recomienda confiar en AC raíz públicas, a menos que el tráfico en cuestión sea saliente a servidores web públicos. Cuando sea posible, es preferible configurar esto como “false” y especificar de forma explícita las AC y los certificados de confianza en un TrustConfig. Ten en cuenta que el Proxy web seguro aún no respeta este campo. |
TlsVersion
La versión mínima del protocolo TLS que pueden usar los clientes o servidores para establecer una conexión con el proxy de inspección de TLS.
Enums | |
---|---|
TLS_VERSION_UNSPECIFIED |
Indica que no se especificó ninguna versión de TLS. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Perfil
El perfil especifica el conjunto de conjuntos de cifrado de TLS (y posiblemente otras características en el futuro) que puede usar el firewall cuando negocia conexiones TLS con clientes y servidores. El significado de estos campos es idéntico al recurso SSLPolicy de los balanceadores de cargas.
Enums | |
---|---|
PROFILE_UNSPECIFIED |
Indica que no se especificó ningún perfil. |
PROFILE_COMPATIBLE |
Perfil compatible. Permite que el conjunto más amplio de clientes, incluso aquellos que solo admiten funciones SSL desactualizadas, negocien con el proxy de inspección de TLS. |
PROFILE_MODERN |
Perfil moderno. Admite un amplio conjunto de funciones de SSL, lo que permite que los clientes modernos negocien SSL con el proxy de inspección de TLS. |
PROFILE_RESTRICTED |
Perfil restringido. Admite un conjunto reducido de funciones SSL destinadas a acatar requisitos de cumplimiento más estrictos. |
PROFILE_CUSTOM |
Perfil personalizado. Permite solo el conjunto de funciones SSL permitidas especificadas en el campo custom_features de SslPolicy. |
Métodos |
|
---|---|
|
Crea una TlsInspectionPolicy nueva en un proyecto y una ubicación determinados. |
|
Borra una sola TlsInspectionPolicy. |
|
Obtiene detalles de una sola TlsInspectionPolicy. |
|
Enumera TlsInspectionPolicies en un proyecto y ubicación determinados. |
|
Actualiza los parámetros de una sola TlsInspectionPolicy. |