Recurso: TlsInspectionPolicy
El recurso TlsInspectionPolicy contiene referencias a grupos de AC en el servicio Autoridad de certificación y metadatos asociados.
| Representación JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| Campos | |
|---|---|
name |
Obligatorio. Nombre del recurso. El nombre tiene el formato projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. tlsInspectionPolicy debe coincidir con el patrón (^a-z?$). |
description |
Opcional. Descripción de texto libre del recurso. |
createTime |
Solo de salida. Marca de tiempo de creación del recurso. Marca de tiempo en formato RFC3339 UTC "Zulu", con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
updateTime |
Solo de salida. Marca de tiempo de la última actualización del recurso. Marca de tiempo en formato RFC3339 UTC "Zulu", con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
caPool |
Obligatorio. Un recurso de grupo de AC que se usa para emitir certificados de intercepción. La cadena del grupo de ACs tiene una ruta de recurso relativa con el formato "projects/{project}/locations/{location}/caPools/{caPool}". |
trustConfig |
Opcional. Recurso TrustConfig que se usa al establecer una conexión con el servidor TLS. Se trata de una ruta de recurso relativa con el formato "projects/{project}/locations/{location}/trustConfigs/{trustConfig}". Esto es necesario para interceptar las conexiones TLS a servidores con certificados firmados por una CA privada o con certificados autofirmados. Ten en cuenta que el proxy web seguro aún no tiene en cuenta este campo. |
minTlsVersion |
Opcional. Versión mínima de TLS que debe usar el cortafuegos al negociar conexiones con clientes y servidores. Si no se define, el valor predeterminado es permitir el conjunto más amplio de clientes y servidores (TLS 1.0 o versiones posteriores). Si se asignan valores más restrictivos, puede que se mejore la seguridad, pero también puede que se impida que el cortafuegos se conecte a algunos clientes o servidores. Ten en cuenta que el proxy web seguro aún no tiene en cuenta este campo. |
tlsFeatureProfile |
Opcional. El perfil seleccionado. Si no se define, el valor predeterminado es permitir el conjunto más amplio de clientes y servidores ("PROFILE_COMPATIBLE"). Si se asignan valores más restrictivos, puede mejorar la seguridad, pero también puede impedir que el proxy de inspección de TLS se conecte a algunos clientes o servidores. Ten en cuenta que el proxy web seguro aún no tiene en cuenta este campo. |
customTlsFeatures[] |
Opcional. Lista de los paquetes de cifrado TLS personalizados seleccionados. Este campo solo es válido si el valor de tlsFeatureProfile seleccionado es CUSTOM. El método [compute.SslPoliciesService.ListAvailableFeatures][] devuelve el conjunto de funciones que se pueden especificar en esta lista. Ten en cuenta que el proxy web seguro aún no tiene en cuenta este campo. |
excludePublicCaSet |
Opcional. Si el valor es FALSE (predeterminado), se usa nuestro conjunto predeterminado de CAs públicas, además de las CAs especificadas en trustConfig. Actualmente, estas autoridades de certificación públicas se basan en el programa raíz de Mozilla y están sujetas a cambios con el tiempo. Si es TRUE, no se acepta el conjunto predeterminado de CAs públicas. Solo se aceptarán las autoridades de certificación especificadas en trustConfig. El valor predeterminado es FALSE (se usan las CAs públicas además de trustConfig) para mantener la compatibilidad con versiones anteriores, pero no se recomienda confiar en las CAs raíz públicas a menos que el tráfico en cuestión sea saliente a servidores web públicos. Cuando sea posible, es preferible definir este valor como "false" y especificar explícitamente las CAs y los certificados de confianza en un TrustConfig. Ten en cuenta que el proxy web seguro aún no tiene en cuenta este campo. |
TlsVersion
Versión mínima del protocolo TLS que pueden usar los clientes o servidores para establecer una conexión con el proxy de inspección TLS.
| Enumeraciones | |
|---|---|
TLS_VERSION_UNSPECIFIED |
Indica que no se ha especificado ninguna versión de TLS. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Perfil
El perfil especifica el conjunto de conjuntos de cifrado TLS (y posiblemente otras funciones en el futuro) que puede usar el cortafuegos al negociar conexiones TLS con clientes y servidores. El significado de estos campos es idéntico al del recurso SSLPolicy de los balanceadores de carga.
| Enumeraciones | |
|---|---|
PROFILE_UNSPECIFIED |
Indica que no se ha especificado ningún perfil. |
PROFILE_COMPATIBLE |
Perfil compatible. Permite que la cartera de clientes más amplia, incluso aquellos que solo admiten funciones obsoletas de SSL, negocie con el proxy de inspección de TLS. |
PROFILE_MODERN |
Perfil moderno. Admite un amplio conjunto de funciones de SSL, lo que permite que los clientes modernos negocien SSL con el proxy de inspección de TLS. |
PROFILE_RESTRICTED |
Perfil restringido. Admite un conjunto reducido de funciones de SSL, diseñado para cumplir requisitos de cumplimiento más estrictos. |
PROFILE_CUSTOM |
Perfil personalizado. Permite solo el conjunto de funciones SSL permitidas que se especifica en el campo custom_features de SslPolicy. |
Métodos |
|
|---|---|
|
Crea un nuevo TlsInspectionPolicy en un proyecto y una ubicación determinados. |
|
Elimina un único recurso TlsInspectionPolicy. |
|
Obtiene los detalles de un solo TlsInspectionPolicy. |
|
Muestra las TlsInspectionPolicies de un proyecto y una ubicación determinados. |
|
Actualiza los parámetros de un solo TlsInspectionPolicy. |