Recurso: TlsInspectionPolicy
O recurso TlsInspectionPolicy contém referências a pools de AC no serviço de autoridade de certificação e metadados associados.
| Representação JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| Campos | |
|---|---|
name |
Obrigatório. Nome do recurso. O nome tem o formato projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. tlsInspectionPolicy deve corresponder ao padrão:(^a-z?$). |
description |
Opcional. Descrição de texto livre do recurso. |
createTime |
Apenas saída. A data/hora em que o recurso foi criado. Uma data/hora no formato "Zulu" UTC RFC3339, com resolução de nanosegundos e até nove dígitos fracionários. Exemplos: |
updateTime |
Apenas saída. A data/hora em que o recurso foi atualizado. Uma data/hora no formato "Zulu" UTC RFC3339, com resolução de nanosegundos e até nove dígitos fracionários. Exemplos: |
caPool |
Obrigatório. Um recurso de conjunto de AC usado para emitir certificados de interceção. A string do grupo de ACs tem um caminho de recurso relativo no formato "projects/{project}/locations/{location}/caPools/{caPool}". |
trustConfig |
Opcional. Um recurso TrustConfig usado quando se estabelece uma ligação ao servidor TLS. Este é um caminho de recurso relativo que segue o formato "projects/{project}/locations/{location}/trustConfigs/{trustConfig}". Isto é necessário para intercetar ligações TLS a servidores com certificados assinados por uma AC privada ou certificados autoassinados. Tenha em atenção que o proxy Web seguro ainda não respeita este campo. |
minTlsVersion |
Opcional. Versão mínima do TLS que a firewall deve usar ao negociar ligações com clientes e servidores. Se esta opção não estiver definida, o valor predefinido é permitir o conjunto mais amplo de clientes e servidores (TLS 1.0 ou superior). A definição desta opção para valores mais restritivos pode melhorar a segurança, mas também pode impedir que a firewall se ligue a alguns clientes ou servidores. Tenha em atenção que o proxy Web seguro ainda não respeita este campo. |
tlsFeatureProfile |
Opcional. O perfil selecionado. Se não for definido, o valor predefinido é permitir o conjunto mais amplo de clientes e servidores ("PROFILE_COMPATIBLE"). A definição desta opção para valores mais restritivos pode melhorar a segurança, mas também pode impedir que o proxy de inspeção TLS se ligue a alguns clientes ou servidores. Tenha em atenção que o proxy Web seguro ainda não respeita este campo. |
customTlsFeatures[] |
Opcional. Lista de conjuntos de cifras TLS personalizados selecionados. Este campo só é válido se o tlsFeatureProfile selecionado for CUSTOM. O método [compute.SslPoliciesService.ListAvailableFeatures][] devolve o conjunto de funcionalidades que podem ser especificadas nesta lista. Tenha em atenção que o proxy Web seguro ainda não respeita este campo. |
excludePublicCaSet |
Opcional. Se for FALSE (predefinição), use o nosso conjunto predefinido de ACs públicas, além de quaisquer ACs especificadas em trustConfig. Atualmente, estas ACs públicas baseiam-se no Mozilla Root Program e estão sujeitas a alterações ao longo do tempo. Se for VERDADEIRO, não aceite o nosso conjunto predefinido de ACs públicas. Apenas são aceites ACs especificadas em trustConfig. Por predefinição, esta definição é FALSE (usar ACs públicas além de trustConfig) para compatibilidade com versões anteriores, mas não é recomendado confiar em ACs de raiz públicas, a menos que o tráfego em questão seja de saída para servidores Web públicos. Sempre que possível, é preferível definir esta opção como "false" e especificar explicitamente as ACs e os certificados fidedignos numa TrustConfig. Tenha em atenção que o proxy Web seguro ainda não respeita este campo. |
TlsVersion
A versão mínima do protocolo TLS que pode ser usada por clientes ou servidores para estabelecer uma ligação com o proxy de inspeção TLS.
| Enumerações | |
|---|---|
TLS_VERSION_UNSPECIFIED |
Indica que não foi especificada nenhuma versão do TLS. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Perfil
O perfil especifica o conjunto de conjuntos de cifras TLS (e, possivelmente, outras funcionalidades no futuro) que podem ser usados pela firewall ao negociar ligações TLS com clientes e servidores. O significado destes campos é idêntico ao do recurso SSLPolicy dos balanceadores de carga.
| Enumerações | |
|---|---|
PROFILE_UNSPECIFIED |
Indica que não foi especificado nenhum perfil. |
PROFILE_COMPATIBLE |
Perfil compatível. Permite o conjunto mais amplo de clientes, mesmo aqueles que suportam apenas funcionalidades SSL desatualizadas, a negociar com o proxy de inspeção TLS. |
PROFILE_MODERN |
Perfil moderno. Suporta um vasto conjunto de funcionalidades SSL, o que permite que os clientes modernos negociem SSL com o proxy de inspeção TLS. |
PROFILE_RESTRICTED |
Perfil restrito. Suporta um conjunto reduzido de funcionalidades de SSL, destinado a cumprir requisitos de conformidade mais rigorosos. |
PROFILE_CUSTOM |
Perfil personalizado. Permitir apenas o conjunto de funcionalidades SSL permitidas especificado no campo custom_features de SslPolicy. |
Métodos |
|
|---|---|
|
Cria uma nova TlsInspectionPolicy num determinado projeto e localização. |
|
Elimina uma única TlsInspectionPolicy. |
|
Obtém detalhes de uma única TlsInspectionPolicy. |
|
Lista TlsInspectionPolicies num determinado projeto e localização. |
|
Atualiza os parâmetros de uma única TlsInspectionPolicy. |