Recurso: TlsInspectionPolicy
O recurso "TlsInspectionPolicy" contém referências a pools de ACs no serviço de autoridade certificadora e metadados associados.
Representação JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
Campos | |
---|---|
name |
Obrigatório. Nome do recurso. O nome é do tipo projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. O tlsInspectionPolicy precisa corresponder ao padrão:(^a-z?$). |
description |
Opcional. Descrição em texto livre do recurso. |
createTime |
Apenas saída. O carimbo de data/hora em que o recurso foi criado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
updateTime |
Apenas saída. O carimbo de data/hora em que o recurso foi atualizado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
caPool |
Obrigatório. Um recurso de pool de CAs usado para emitir certificados de interceptação. A string do pool de ACs tem um caminho de recurso relativo no formato "projects/{project}/locations/{location}/caPools/{caPool}". |
trustConfig |
Opcional. Um recurso TrustConfig usado ao fazer uma conexão com o servidor TLS. Este é um caminho de recurso relativo que segue o formato "projects/{project}/locations/{location}/trustConfigs/{trustConfig}". Isso é necessário para interceptar conexões TLS em servidores com certificados assinados por uma AC particular ou autoassinados. Observe que o Secure Web Proxy ainda não respeita esse campo. |
minTlsVersion |
Opcional. Versão mínima de TLS que o firewall precisa usar ao negociar conexões com clientes e servidores. Se não for definido, o valor padrão será permitir o conjunto mais amplo de clientes e servidores (TLS 1.0 ou mais recente). Definir esse valor para valores mais restritivos pode melhorar a segurança, mas também impedir que o firewall se conecte a alguns clientes ou servidores. Observe que o Secure Web Proxy ainda não respeita esse campo. |
tlsFeatureProfile |
Opcional. O perfil selecionado. Se não for definido, o valor padrão será permitir o maior conjunto de clientes e servidores ("PROFILE_COMPATIBLE"). Definir esse valor para valores mais restritivos pode melhorar a segurança, mas também pode impedir que o proxy de inspeção de TLS se conecte a alguns clientes ou servidores. O Secure Web Proxy ainda não aceita esse campo. |
customTlsFeatures[] |
Opcional. Lista de pacotes de criptografia TLS personalizados selecionados. Esse campo só é válido se o tlsFeatureProfile selecionado for CUSTOM. O método [compute.SslPoliciesService.ListAvailableFeatures][] retorna o conjunto de recursos que podem ser especificados nesta lista. Observe que o Secure Web Proxy ainda não respeita esse campo. |
excludePublicCaSet |
Opcional. Se for FALSE (o padrão), use nosso conjunto padrão de ACs públicas, além das ACs especificadas em trustConfig. Essas CAs públicas têm como base o Mozilla Root Program e estão sujeitas a alterações ao longo do tempo. Se TRUE, não aceite nosso conjunto padrão de CAs públicas. Somente ACs especificadas em trustConfig serão aceitas. O padrão é FALSE (usar ACs públicas além da trustConfig) para compatibilidade com versões anteriores, mas confiar em ACs raiz públicas não é recomendado, a menos que o tráfego em questão seja de saída para servidores da Web públicos. Quando possível, defina esse valor como "false" e especifique explicitamente as ACs e os certificados confiáveis em uma TrustConfig. O Secure Web Proxy ainda não aceita esse campo. |
TlsVersion
A versão mínima do protocolo TLS que pode ser usada por clientes ou servidores para estabelecer uma conexão com o proxy de inspeção TLS.
Enums | |
---|---|
TLS_VERSION_UNSPECIFIED |
Indica que nenhuma versão do TLS foi especificada. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Perfil
O perfil especifica o conjunto de conjuntos de criptografia TLS (e possivelmente outros recursos no futuro) que podem ser usados pelo firewall ao negociar conexões TLS com clientes e servidores. O significado desses campos é idêntico ao recurso SSLPolicy dos balanceadores de carga.
Enums | |
---|---|
PROFILE_UNSPECIFIED |
Indica que nenhum perfil foi especificado. |
PROFILE_COMPATIBLE |
Perfil compatível. Permite que o conjunto mais amplo de clientes, mesmo aqueles que aceitam apenas recursos SSL desatualizados, negociem com o proxy de inspeção TLS. |
PROFILE_MODERN |
Perfil moderno. Dá suporte a um amplo conjunto de recursos de SSL, permitindo que clientes modernos negociem o SSL com o proxy de inspeção TLS. |
PROFILE_RESTRICTED |
Perfil restrito. Dá suporte a menos recursos de SSL, destinados a cumprir requisitos de conformidade mais rigorosos. |
PROFILE_CUSTOM |
Perfil personalizado. Permitir apenas o conjunto de recursos SSL permitidos especificados no campo custom_features da SslPolicy. |
Métodos |
|
---|---|
|
Cria uma nova TlsInspectionPolicy em um projeto e local específicos. |
|
Exclui uma única TlsInspectionPolicy. |
|
Recebe detalhes de uma única TlsInspectionPolicy. |
|
Lista as políticas de TLS em um determinado projeto e local. |
|
Atualiza os parâmetros de uma única política de inspeção de TLS. |