Restringir pacotes de criptografia TLS
Nesta página, descrevemos como impedir o acesso aos recursos do Google Cloud negando solicitações feitas com determinados pacotes de criptografia Transport Layer Security (TLS) menos seguros.
Visão geral
Google Cloud é compatível com vários pacotes de criptografia TLS. Para atender a requisitos de segurança ou conformidade, talvez seja necessário negar solicitações de clientes que usam pacotes de criptografia TLS menos seguros.
Essa capacidade é fornecida pela restrição da política da organização gcp.restrictTLSCipherSuites.
A restrição pode ser aplicada a organizações, pastas ou projetos na hierarquia de recursos.
Você pode usar a restrição gcp.restrictTLSCipherSuites como uma lista de permissões ou de proibições:
- Lista de permissões: permite um conjunto específico de algoritmos de criptografia. Todas as outras são negadas.
- Lista de bloqueio: bloqueia um conjunto específico de pacotes de criptografia. Todos os outros são permitidos.
Devido ao comportamento da avaliação da hierarquia de políticas da organização, a restrição "Restringir pacotes de criptografia TLS" se aplica ao nó de recurso especificado e a todos os filhos dele. Por exemplo, se você permitir apenas determinados pacotes de criptografia TLS para uma organização, isso também se aplicará a todas as pastas e projetos (filhos) que descendem dessa organização.
Antes de começar
Para receber as permissões
necessárias a fim de definir, alterar ou excluir políticas da organização,
peça ao administrador para conceder a você o
papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Como definir a política da organização
A restrição "Restringir pacotes de criptografia TLS" é um tipo de restrição de lista. É possível adicionar e remover pacotes de criptografia das listas allowed_values ou denied_values de uma restrição "Restringir pacotes de criptografia TLS". Para evitar que as políticas da organização sejam muito restritivas e simplificar o gerenciamento delas, use grupos de valores. Os grupos de valores são conjuntos de algoritmos de criptografia TLS recomendados e selecionados pelo Google.
Console
Abra a página Políticas da organização no console do Google Cloud .
Selecione o seletor de projetos na parte superior da página.
No seletor de projetos, selecione o recurso em que você quer definir a política da organização.
Selecione a restrição Restringir pacotes de criptografia TLS na lista da página Políticas da organização.
Para atualizar a política da organização nesse recurso, clique em Gerenciar política.
Na página Editar, selecione Personalizar.
Em Política de aplicação, selecione uma opção para aplicação:
Para mesclar e avaliar as políticas da organização juntas, selecione Mesclar com pai. Para mais informações sobre herança e hierarquia de recursos, consulte Noções básicas sobre a avaliação da hierarquia.
Para modificar políticas herdadas de um recurso pai, selecione Substituir.
Clique em Adicionar regra.
Em Valores da política, selecione Personalizado.
Em Tipo de política, selecione Permitir para criar uma lista de conjuntos de cifras permitidos ou Negar para criar uma lista de conjuntos de cifras negados.
Em Valores personalizados, insira o prefixo
in:e uma string de grupo de valores e pressione Enter.Por exemplo,
in:NIST-800-52-recommended-ciphersÉ possível inserir várias strings de grupo de valores clicando em Adicionar valor.Também é possível inserir strings de conjuntos de algoritmos de criptografia específicos usando o prefixo
is:. Para uma lista de valores compatíveis, consulte pacotes de criptografia compatíveis.
Para aplicar a política, clique em Definir política.
gcloud
Para criar uma política da organização que aplique a restrição "Restringir conjuntos de algoritmos de criptografia TLS", crie um arquivo YAML da política com referência à restrição:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Para aplicar a política da organização que contém a restrição, execute o seguinte comando:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Substitua:
RESOURCE_TYPEpororganization,folderouproject.RESOURCE_IDcom o ID da organização, da pasta, do ID do projeto ou o número do projeto.POLICY_PATHcom o caminho completo para o arquivo YAML que contém a política da organização.
Uma resposta será retornada com os resultados da nova política da organização:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Grupos de valores
Grupos de valores são coleções de pacotes de criptografia selecionados pelo Google para oferecer uma maneira mais simples de definir pacotes de criptografia TLS preferidos ou recomendados. Os grupos de valores incluem vários pacotes de criptografia e são expandidos ao longo do tempo pelo Google. Não é necessário mudar a política da organização para acomodar os novos pacotes de criptografia.
Para usar grupos de valores na sua política da organização, insira a string in: no prefixo das entradas. Para mais informações sobre o uso de valores prefixo, consulte Usando restrições.
Os nomes dos grupos de valores são validados na chamada para definir a política da organização.
Usar um nome de grupo inválido vai fazer com que a definição da política falhe.
A tabela a seguir contém a lista atual de grupos disponíveis:
| Grupo | Detalhes | Membros diretos |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Criptografias recomendadas pelo CNSA 2.0 compatíveis com o Google Cloud:in:CNSA-2.0-recommended-ciphers |
Valores:
|
| NIST-800-52-recommended-ciphers | Criptografias recomendadas pela NIST SP 800-52 compatíveis com o Google Cloud:in:NIST-800-52-recommended-ciphers |
Valores:
|
Pacotes de criptografia compatíveis
Esta é a lista de pacotes de criptografia compatíveis com Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Mensagem de erro
Os serviços que oferecem suporte à restrição "Restringir pacotes de criptografia TLS" negam solicitações que violam a restrição.
Exemplo de mensagem de erro
A mensagem de erro tem um formato semelhante ao exemplo a seguir:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Esta saída inclui os seguintes valores:
PROJECT_NUMBER: o número do projeto que hospeda o recurso mencionado no comando anterior.SERVICE_NAME: o nome do serviço no escopo bloqueado pela política "Restringir pacotes de criptografia TLS".TLS_Cipher_Suite_X: o pacote de criptografia TLS usado na solicitação.
Exemplo de registro de auditoria do Cloud
Uma entrada de registro de auditoria também é gerada para monitoramento, alerta ou depuração. A entrada de registro de auditoria é semelhante a este exemplo:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Testar a política
É possível testar a restrição da política de criptografia TLS para qualquer serviço no escopo. O exemplo de comando curl a seguir
valida a restrição de pacotes de criptografia TLS para um keyring do Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Substitua as seguintes variáveis:
TLS_CIPHER_SUITE: o nome do pacote de criptografia TLS na convenção de nomenclatura do OpenSSL, por exemplo,ECDHE-ECDSA-AES128-SHA, que é o nome do OpenSSL paraTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: nome do projeto que contém o keyring.
O exemplo de solicitação curl a seguir mostra PROJECT_ID definido como
my-project-id e TLS_CIPHER_SUITE definido como ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Se a política da organização para "my-project-id" estiver configurada para negar
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , qualquer tentativa de acessar recursos
com a criptografia no projeto restrito por política neste exemplo de comando vai falhar.
Uma mensagem de erro semelhante ao exemplo a seguir é retornada, descrevendo o
motivo dessa falha.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Criar uma política da organização no modo de teste
Uma política da organização no modo de simulação é um tipo de política em que as violações são registradas em auditoria, mas as ações violadoras não são negadas. É possível criar uma política da organização no modo de simulação usando a restrição de pacote de criptografia TLS para monitorar como ela afetaria sua organização antes de aplicar a política ativa. Para mais informações, consulte Criar uma política da organização no modo de simulação.
Serviços compatíveis
Os seguintes serviços são compatíveis com a restrição de pacotes de criptografia TLS. A restrição se aplica a todas as variações do endpoint de API, incluindo endpoints globais, locais e regionais. Consulte a página Tipos de endpoints da API para mais informações.
| Produto | endpoint de API |
|---|---|
| AI Platform |
ml.googleapis.com |
| Gateway de API |
apigateway.googleapis.com |
| Chaves de API |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
| Hub de APIs da Apigee |
apihub.googleapis.com |
| API Apigee API Management |
apim.googleapis.com |
| API Apigee Connect |
apigeeconnect.googleapis.com |
| API do portal da Apigee |
apigeeportal.googleapis.com |
| API Apigee Registry |
apigeeregistry.googleapis.com |
| Apigee |
apigee.googleapis.com |
| API App Config Manager |
appconfigmanager.googleapis.com |
| App Engine |
appengine.googleapis.com |
| App Hub |
apphub.googleapis.com |
| App Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Software de código aberto Assured |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Audit Manager |
auditmanager.googleapis.com |
| API Authorization Toolkit |
authztoolkit.googleapis.com |
| Serviço de backup e DR |
backupdr.googleapis.com |
| Backup para GKE |
gkebackup.googleapis.com |
| Solução Bare Metal |
baremetalsolution.googleapis.com |
| Lote |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery BI Engine |
bigquerybiengine.googleapis.com |
| BigQuery Connections |
bigqueryconnection.googleapis.com |
| Política de dados do BigQuery |
bigquerydatapolicy.googleapis.com |
| Transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
| Migração do BigQuery |
bigquerymigration.googleapis.com |
| Reserva do BigQuery |
bigqueryreservation.googleapis.com |
| API BigQuery Saved Query |
bigquery-sq.googleapis.com |
| BigQuery Storage |
bigquerystorage.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| BigQuery Sharing |
analyticshub.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Autorização binária |
binaryauthorization.googleapis.com |
| Análise de blockchain |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Gerenciador de validadores de blockchain |
blockchainvalidatormanager.googleapis.com |
| Planejador de capacidade |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Gerenciador de certificados |
certificatemanager.googleapis.com |
| Inventário de recursos do Cloud |
cloudasset.googleapis.com |
| Cloud Billing |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| API Cloud Commerce Consumer Procurement |
cloudcommerceconsumerprocurement.googleapis.com |
| API Cloud Commerce Producer |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| API Cloud Controls Partner |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deploy |
clouddeploy.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| API Cloud Healthcare |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Sistema de detecção de intrusões do Cloud |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com kmsinventory.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com genomics.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| API Cloud Natural Language |
language.googleapis.com |
| Firewall Essentials de última geração do Cloud |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| API Cloud OS Login |
oslogin.googleapis.com |
| Cotas do Cloud |
cloudquotas.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com runapps.googleapis.com |
| Cloud SQL |
cloudsql.googleapis.com sqladmin.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com meshca.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
| Cloud Source Repositories |
sourcerepo.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| API Cloud Support |
cloudsupport.googleapis.com |
| Cloud TPU |
tpu.googleapis.com |
| Cloud Tool Results API |
toolresults.googleapis.com |
| Cloud Trace |
cloudtrace.googleapis.com |
| Cloud Translation |
translate.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| API Commerce Agreement Publishing |
commerceagreementpublishing.googleapis.com |
| API Commerce Business Enablement |
commercebusinessenablement.googleapis.com |
| API Commerce Org Governance |
commerceorggovernance.googleapis.com |
| API Commerce Price Management |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Computação confidencial |
confidentialcomputing.googleapis.com |
| Connect |
gkeconnect.googleapis.com |
| Conectar gateway |
connectgateway.googleapis.com |
| API Contact Center AI Platform |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| API Content Warehouse |
contentwarehouse.googleapis.com |
| API Continuous Validation |
continuousvalidation.googleapis.com |
| Insights de conversas |
contactcenterinsights.googleapis.com |
| Data Catalog |
datacatalog.googleapis.com |
| API Data Labeling |
datalabeling.googleapis.com |
| API Data Security Posture Management |
dspm.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| Central do banco de dados |
databasecenter.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc Metastore |
metastore.googleapis.com |
| Dataproc |
dataproc.googleapis.com dataprocrm.googleapis.com |
| Dataproc no GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Developer Connect |
developerconnect.googleapis.com |
| API Distributed Cloud Edge Container |
edgecontainer.googleapis.com |
| API Distributed Cloud Edge Network |
edgenetwork.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| API Earth Engine |
earthengine.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Contatos essenciais |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com eventarcpublishing.googleapis.com |
| Fault Injection Testing |
faultinjectiontesting.googleapis.com |
| Filestore |
file.googleapis.com |
| API Financial Services |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Regras de segurança do Firebase |
firebaserules.googleapis.com |
| API Firebase Storage |
firebasestorage.googleapis.com |
| Firestore |
firestore.googleapis.com firestorekeyvisualizer.googleapis.com |
| Firestore no modo Datastore (Datastore) |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| API GKE Enterprise Edge |
anthosedge.googleapis.com |
| Hub (frota) |
gkehub.googleapis.com |
| Serviço de identidade do GKE |
anthosidentityservice.googleapis.com |
| GKE Multi-cloud |
gkemulticloud.googleapis.com |
| API GKE On-Prem |
gkeonprem.googleapis.com |
| API Gemini para Google Cloud |
cloudaicompanion.googleapis.com |
| API Google Cloud |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Centro de migração do Google Cloud |
migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Cloud VMware Engine |
vmwareengine.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com containerfilesystem.googleapis.com configdelivery.googleapis.com |
| API de parceiro do Google Security Operations |
chroniclepartner.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| Complementos do Google Workspace |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Conectores de integração |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| API License Manager |
licensemanager.googleapis.com |
| API Live Stream |
livestream.googleapis.com |
| Looker |
looker.googleapis.com |
| O BigQuery Engine para Apache Flink |
managedflink.googleapis.com |
| API Managed Kafka |
managedkafka.googleapis.com |
| Serviço gerenciado para Microsoft Active Directory |
managedidentities.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Memorystore para Valkey |
memorystore.googleapis.com |
| API Message Streams |
messagestreams.googleapis.com |
| API Microservices |
microservices.googleapis.com |
| Migrate to Virtual Machines |
vmmigration.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Níveis de serviço de rede |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Personalized Service Health |
servicehealth.googleapis.com |
| Policy Intelligence |
policyanalyzer.googleapis.com policysimulator.googleapis.com policytroubleshooter.googleapis.com |
| Privileged Access Manager |
privilegedaccessmanager.googleapis.com |
| Lançamento progressivo |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recomendador |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| API Retail |
retail.googleapis.com |
| Hub de seguro cibernético |
riskmanager.googleapis.com |
| API SaaS Service Management |
saasservicemgmt.googleapis.com |
| API SecLM |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| API Secured Landing Zone |
securedlandingzone.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| API Service Account Credentials |
iamcredentials.googleapis.com |
| Diretório de serviços |
servicedirectory.googleapis.com |
| Gerenciamento de serviços |
servicemanagement.googleapis.com |
| Rede de serviços |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech-to-Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Serviço de transferência do Cloud Storage |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Talent Solution |
jobs.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| API Timeseries Insights |
timeseriesinsights.googleapis.com |
| API Transcoder |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| API Vertex AI |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI no Firebase |
firebasevertexai.googleapis.com |
| API Video Intelligence |
videointelligence.googleapis.com |
| API Video Search |
cloudvideosearch.googleapis.com |
| API Video Stitcher |
videostitcher.googleapis.com |
| Nuvem privada virtual (VPC) |
compute.googleapis.com |
| Vision AI |
visionai.googleapis.com |
| Visual Inspection AI |
visualinspection.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com workflowexecutions.googleapis.com |
| API Workload Certificate |
workloadcertificate.googleapis.com |
| Gerenciador de cargas de trabalho |
workloadmanager.googleapis.com |
| reCAPTCHA Enterprise |
recaptchaenterprise.googleapis.com |
Serviços sem suporte
A restrição da política da organização "Restringir pacotes de criptografia TLS" não se aplica aos seguintes serviços:
- Apigee (
*.apigee.net,*.apigee.come*.apigee.io) - App Engine (
*.appspot.com) - Funções do Cloud Run (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - Private Service Connect
- Domínios personalizados
Para restringir os pacotes de criptografia TLS desses serviços, use o Cloud Load Balancing com a política de segurança SSL.
Preferência de pacote de criptografiaGoogle Cloud
Os endpoints para serviços compatíveis priorizam pacotes de criptografia na seguinte ordem, do mais para o menos preferido:
- AES-256
- AES-128
- ChaCha20
Durante o handshake de TLS, o servidor seleciona o conjunto de criptografias preferido compatível com o cliente e o servidor. Normalmente, esse processo de seleção não exige mudanças de configuração específicas no lado do cliente.
O handshake de TLS ocorre antes da verificação da política "Restringir pacotes de criptografia TLS" e é separado dela. Como resultado, o pacote de criptografia negociado durante o handshake TLS também precisa ser permitido pela verificação da política "Restringir pacotes de criptografia TLS". Caso contrário, a conexão será negada. O proprietário da política é responsável por configurar a restrição de pacotes de criptografia TLS e aplicativos cliente para permitir o pacote de criptografia negociado.