Restringe las versiones de TLS

En esta página, se describe cómo puedes evitar el acceso a los Google Cloud recursos rechazando las solicitudes realizadas con la seguridad de la capa de transporte (TLS) 1.0 o 1.1. Si también deseas evitar el uso de TLS 1.2, usa una política de restricción de cifrado TLS para permitir solo los cifrados TLS 1.3. Para obtener más información, consulta Restringe los conjuntos de algoritmos de cifrado TLS.

Descripción general

Google Cloud admite varias versiones del protocolo TLS. Para cumplir con los requisitos de cumplimiento, es posible que desees rechazar las solicitudes de protocolo de enlace de los clientes que usan versiones anteriores de TLS. Para ello, puedes usar la gcp.restrictTLSVersion restricción de la política de la organización constraint.

La restricción gcp.restrictTLSVersion se puede aplicar a organizaciones, carpetas o proyectos en la jerarquía de recursos. La restricción usa una lista de elementos rechazados, que rechaza los valores explícitos y permite todos los demás. Se producirá un error si intentas usar una lista de entidades permitidas.

Debido al comportamiento de la evaluación de la jerarquía de políticas de la organización, la restricción de la versión de TLS se aplica al nodo de recursos especificado y a todos sus elementos secundarios. Por ejemplo, si rechazas la versión 1.0 de TLS para una organización, también se denegará en todas las carpetas y proyectos (secundarios) que descienden de esa organización.

Puedes anular la restricción de la versión de TLS heredada si actualizas la política de la organización en un recurso secundario. Por ejemplo, si la política de tu organización rechaza TLS 1.0 a nivel de la organización, puedes quitar la restricción para una carpeta secundaria si configuras una política de la organización independiente en esa carpeta. Si la carpeta tiene elementos secundarios, la política de la carpeta también se aplicará a cada recurso secundario debido a la herencia de políticas.

Antes de comenzar

  • Para establecer, cambiar o borrar una política de la organización, primero debes tener el rol de Identity and Access Management (IAM) de Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Restringe una versión de TLS

Para restringir una o más versiones de TLS, completa los siguientes pasos:

Console

  1. Abre la página Políticas de la organización en la Google Cloud consola.

    Ir a Políticas de la organización

  2. Selecciona el selector de proyectos en la parte superior de la página.

  3. En el selector de proyectos, selecciona el recurso para el que deseas configurar la política de la organización.

  4. Selecciona la restricción Restringir la versión de TLS de la lista en la página Políticas de la organización.

  5. Para actualizar la política de la organización de este recurso, haz clic en Editar.

  6. En la página Editar, selecciona Personalizar.

  7. En Aplicación de la política, selecciona una opción de aplicación:

    • Para combinar y evaluar las políticas de la organización, selecciona Combinar con superior. Para obtener más información sobre la jerarquía de herencia y los recursos, consulta la página sobre cómo obtener información de la evaluación de jerarquías.

    • Para anular las políticas heredadas de un recurso superior, selecciona Reemplazar.

  8. Haz clic en Agregar regla.

  9. En Valores de política, el valor predeterminado se establece en Rechazar todo. En su lugar, selecciona Personalizados.

  10. En Tipo de política, selecciona Rechazar.

  11. En Valores personalizados, ingresa una versión de TLS para rechazar. Los siguientes valores son valores personalizados válidos:

    • TLS_VERSION_1 para TLS 1.0
    • TLS_VERSION_1_1 para TLS 1.1

    Si restringes más de una versión de TLS, haz clic en Agregar valor y, luego, ingresa el valor en el campo adicional.

  12. Para finalizar y aplicar la política de la organización, haz clic en Guardar (Save).

gcloud

Usa el gcloud org-policies set-policy comando para establecer una política de la organización en el recurso:

gcloud org-policies set-policy POLICY_PATH

POLICY_PATH es la ruta de acceso completa al archivo de políticas de la organización, que debería verse de la siguiente manera si usas el formato YAML:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictTLSVersion
spec:
  rules:
  - values:
    deniedValues:
    - TLS_VERSION_1
    - TLS_VERSION_1_1

Reemplaza con el siguiente código:

  • RESOURCE_TYPE es organizations, folders o projects.

  • RESOURCE_ID es el ID de la organización, el ID de la carpeta, el ID del proyecto o el número del proyecto, según el tipo de recurso especificado en RESOURCE_TYPE.

Ejecuta el siguiente comando para verificar que se haya aplicado tu política:

gcloud org-policies describe gcp.restrictTLSVersion --RESOURCE_TYPE=RESOURCE_ID --effective

Reemplaza con el siguiente código:

  • RESOURCE_TYPE es organization, folder o project.

  • RESOURCE_ID es el ID de la organización, el ID de la carpeta, el ID del proyecto o el número del proyecto, según el tipo de recurso especificado en RESOURCE_TYPE.

Prueba la política

La restricción de la política de la organización de restricción de la versión de TLS se puede probar para cualquier servicio dentro del alcance. En el siguiente ejemplo de comando curl, se valida la restricción de la versión de TLS para un bucket de Cloud Storage.

  curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://storage.googleapis.com/storage/v1/b/GCS_BUCKET_NAME/o" \
  --tlsvTLS_VERSION --tls-max TLS_VERSION --ciphers DEFAULT@SECLEVEL=0

No hay espacio entre --tlsv y el valor. Por ejemplo: --tlsv1.1

Reemplaza con el siguiente código:

  • GCS_BUCKET_NAME es un nombre de bucket de Cloud Storage en tu proyecto, como mybucketname.

  • TLS_VERSION es una versión de TLS como 1.0 o 1.1 rechazada en la política configurada.

En el siguiente ejemplo de solicitud curl, se muestra GCS_BUCKET_NAME establecido en mybucketname y TLS_VERSION establecido en 1.1:

  curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://storage.googleapis.com/storage/v1/b/mybucketname/o" \
  --tlsv1.1 --tls-max 1.1 --ciphers DEFAULT@SECLEVEL=0

Si la política de la organización está configurada para restringir TLS_VERSION_X, fallará cualquier intento de acceder a los recursos con TLS_VERSION_X en el proyecto restringido por la política en este comando de ejemplo. Se muestra un mensaje de error que describe el motivo de esta falla.

Request is disallowed by organization's constraints/gcp.restrictTLSVersion
constraint for 'projects/PROJECT_NUMBER' to use service
'SERVICE_NAME.googleapis.com' by violated TLS version `TLS_VERSION_X`

En esta salida, se incluyen los siguientes valores:

Servicios compatibles

La restricción de la versión de TLS es compatible con cualquier Google Cloud API de recursos que tenga un encabezado firmado por Google Front End (GFE).

Servicios no admitidos

La restricción de la política de la organización de restricción de la versión de TLS no se aplica a los siguientes servicios:

  • Apigee
  • App Engine (*.appspot.com)
  • Cloud Run Functions (*.cloudfunctions.net),
  • Cloud Run (*.run.app)
  • Private Service Connect
  • Dominios personalizados

Para restringir las versiones de TLS para estos servicios, usa Cloud Load Balancing junto con las políticas de SSL. También puedes usar la restricción predefinida constraints/compute.requireSslPolicy constraint junto con restricciones personalizadas para las políticas de SSL para aplicar restricciones de la versión de TLS y del conjunto de algoritmos de cifrado para tus balanceadores de cargas.

¿Qué sigue?