Recurso: TlsInspectionPolicy
O recurso "TlsInspectionPolicy" contém referências a pools de ACs no Certificate Authority Service e metadados associados.
| Representação JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| Campos | |
|---|---|
name |
Obrigatório. Nome do recurso. O nome é do tipo projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. O tlsInspectionPolicy precisa corresponder ao padrão:(^a-z?$). |
description |
Opcional. Descrição em texto livre do recurso. |
createTime |
Apenas saída. O carimbo de data/hora em que o recurso foi criado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
updateTime |
Apenas saída. O carimbo de data/hora em que o recurso foi atualizado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
caPool |
Obrigatório. Um recurso de pool de AC usado para emitir certificados de interceptação. A string do pool de ACs tem um caminho de recurso relativo no formato "projects/{project}/locations/{location}/caPools/{caPool}". |
trustConfig |
Opcional. Um recurso TrustConfig usado ao fazer uma conexão com o servidor TLS. Esse é um caminho de recurso relativo no formato "projects/{project}/locations/{location}/trustConfigs/{trustConfig}". Isso é necessário para interceptar conexões TLS em servidores com certificados assinados por uma AC particular ou autoassinados. O Secure Web Proxy ainda não aceita esse campo. |
minTlsVersion |
Opcional. Versão mínima de TLS que o firewall precisa usar ao negociar conexões com clientes e servidores. Se não for definido, o valor padrão será permitir o conjunto mais amplo de clientes e servidores (TLS 1.0 ou mais recente). Definir esse valor para valores mais restritivos pode melhorar a segurança, mas também pode impedir que o firewall se conecte a alguns clientes ou servidores. O Secure Web Proxy ainda não aceita esse campo. |
tlsFeatureProfile |
Opcional. O perfil selecionado. Se não for definido, o valor padrão será permitir o maior conjunto de clientes e servidores ("PROFILE_COMPATIBLE"). Definir esse valor para valores mais restritivos pode melhorar a segurança, mas também pode impedir que o proxy de inspeção de TLS se conecte a alguns clientes ou servidores. O Secure Web Proxy ainda não aceita esse campo. |
customTlsFeatures[] |
Opcional. Lista de pacotes de criptografia TLS personalizados selecionados. Esse campo só é válido se o tlsFeatureProfile selecionado for CUSTOM. O método [compute.SslPoliciesService.ListAvailableFeatures][] retorna o conjunto de recursos que podem ser especificados nesta lista. O Secure Web Proxy ainda não aceita esse campo. |
excludePublicCaSet |
Opcional. Se for FALSE (padrão), use nosso conjunto padrão de ACs públicas, além das ACs especificadas em trustConfig. No momento, essas ACs públicas são baseadas no programa raiz do Mozilla e estão sujeitas a mudanças ao longo do tempo. Se TRUE, não aceite nosso conjunto padrão de ACs públicas. Somente as ACs especificadas em trustConfig serão aceitas. O padrão é FALSE (usar ACs públicas além da trustConfig) para compatibilidade com versões anteriores, mas confiar em ACs raiz públicas não é recomendado, a menos que o tráfego em questão seja de saída para servidores da Web públicos. Quando possível, defina esse valor como "false" e especifique explicitamente as ACs e os certificados confiáveis em uma TrustConfig. O Secure Web Proxy ainda não aceita esse campo. |
TlsVersion
A versão mínima do protocolo TLS que pode ser usada por clientes ou servidores para estabelecer uma conexão com o proxy de inspeção de TLS.
| Enums | |
|---|---|
TLS_VERSION_UNSPECIFIED |
Indica que nenhuma versão do TLS foi especificada. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Perfil
O perfil especifica o conjunto de conjuntos de criptografia TLS (e possivelmente outros recursos no futuro) que podem ser usados pelo firewall ao negociar conexões TLS com clientes e servidores. O significado desses campos é idêntico ao recurso SSLPolicy dos balanceadores de carga.
| Enums | |
|---|---|
PROFILE_UNSPECIFIED |
Indica que nenhum perfil foi especificado. |
PROFILE_COMPATIBLE |
Perfil compatível. Permite que o conjunto mais amplo de clientes, mesmo aqueles que aceitam apenas recursos SSL desatualizados, negociem com o proxy de inspeção TLS. |
PROFILE_MODERN |
Perfil moderno. Dá suporte a um amplo conjunto de recursos de SSL, permitindo que clientes modernos negociem SSL com o proxy de inspeção TLS. |
PROFILE_RESTRICTED |
Perfil restrito. Dá suporte a menos recursos de SSL para cumprir requisitos de compliance mais rigorosos. |
PROFILE_CUSTOM |
Perfil personalizado. Permita apenas o conjunto de recursos SSL permitidos especificados no campo custom_features da SslPolicy. |
Métodos |
|
|---|---|
|
Cria uma nova política de inspeção de TLS em um determinado projeto e local. |
|
Exclui uma única política de inspeção TLS. |
|
Recebe detalhes de uma única política de inspeção de TLS. |
|
Lista as políticas de inspeção de TLS em um determinado projeto e local. |
|
Atualiza os parâmetros de uma única política de inspeção de TLS. |