Recurso: TlsInspectionPolicy
O recurso "TlsInspectionPolicy" contém referências a pools de CA no Certificate Authority Service e metadados associados.
| Representação JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| Campos | |
|---|---|
name |
Obrigatório. Nome do recurso. O nome está no formato projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. tlsInspectionPolicy precisa corresponder ao padrão:(^a-z?$). |
description |
Opcional. Descrição de texto livre do recurso. |
createTime |
Apenas saída. O carimbo de data/hora em que o recurso foi criado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
updateTime |
Apenas saída. O carimbo de data/hora em que o recurso foi atualizado. Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: |
caPool |
Obrigatório. Um recurso de pool de CA usado para emitir certificados de interceptação. A string do pool de ACs tem um caminho de recurso relativo no formato "projects/{project}/locations/{location}/caPools/{caPool}". |
trustConfig |
Opcional. Um recurso TrustConfig usado ao fazer uma conexão com o servidor TLS. Esse é um caminho de recurso relativo no formato "projects/{project}/locations/{location}/trustConfigs/{trustConfig}". Isso é necessário para interceptar conexões TLS com servidores que têm certificados assinados por uma CA particular ou autoassinados. O Secure Web Proxy ainda não considera esse campo. |
minTlsVersion |
Opcional. Versão mínima do TLS que o firewall deve usar ao negociar conexões com clientes e servidores. Se não for definido, o valor padrão permitirá o conjunto mais amplo de clientes e servidores (TLS 1.0 ou superior). Definir valores mais restritivos pode melhorar a segurança, mas também pode impedir que o firewall se conecte a alguns clientes ou servidores. O Secure Web Proxy ainda não considera esse campo. |
tlsFeatureProfile |
Opcional. O perfil selecionado. Se não for definido, o valor padrão será permitir o maior conjunto de clientes e servidores ("PROFILE_COMPATIBLE"). Definir valores mais restritivos pode melhorar a segurança, mas também pode impedir que o proxy de inspeção de TLS se conecte a alguns clientes ou servidores. O Secure Web Proxy ainda não considera esse campo. |
customTlsFeatures[] |
Opcional. Lista dos pacotes de criptografia TLS personalizados selecionados. Esse campo só é válido se o tlsFeatureProfile selecionado for CUSTOM. O método [compute.SslPoliciesService.ListAvailableFeatures][] retorna o conjunto de recursos que podem ser especificados nessa lista. O Secure Web Proxy ainda não considera esse campo. |
excludePublicCaSet |
Opcional. Se for FALSE (o padrão), use nosso conjunto padrão de CAs públicas, além das CAs especificadas em trustConfig. Essas CAs públicas são baseadas no Mozilla Root Program e estão sujeitas a mudanças ao longo do tempo. Se for TRUE, não aceite nosso conjunto padrão de CAs públicas. Somente as CAs especificadas em trustConfig serão aceitas. O padrão é FALSE (use CAs públicas além de trustConfig) para compatibilidade com versões anteriores, mas não é recomendável confiar em CAs raiz públicas, a menos que o tráfego em questão seja de saída para servidores da Web públicos. Quando possível, defina como "false" e especifique explicitamente CAs e certificados confiáveis em um TrustConfig. O Secure Web Proxy ainda não considera esse campo. |
TlsVersion
A versão mínima do protocolo TLS que pode ser usada por clientes ou servidores para estabelecer uma conexão com o proxy de inspeção de TLS.
| Tipos enumerados | |
|---|---|
TLS_VERSION_UNSPECIFIED |
Indica que nenhuma versão TLS foi especificada. |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Perfil
O perfil especifica o conjunto de conjuntos de criptografia TLS (e possivelmente outros recursos no futuro) que podem ser usados pelo firewall ao negociar conexões TLS com clientes e servidores. O significado desses campos é idêntico ao recurso SSLPolicy dos balanceadores de carga.
| Tipos enumerados | |
|---|---|
PROFILE_UNSPECIFIED |
Indica que nenhum perfil foi especificado. |
PROFILE_COMPATIBLE |
Perfil compatível. Permite que o conjunto mais amplo de clientes, mesmo aqueles que aceitam apenas recursos SSL desatualizados, negociem com o proxy de inspeção TLS. |
PROFILE_MODERN |
Perfil moderno. Dá suporte a um amplo conjunto de recursos de SSL, permitindo que clientes modernos negociem SSL com o proxy de inspeção TLS. |
PROFILE_RESTRICTED |
Perfil restrito. Dá suporte a menos recursos de SSL para cumprir requisitos de compliance mais rigorosos. |
PROFILE_CUSTOM |
Perfil personalizado. Permite apenas o conjunto de recursos de SSL permitidos especificados no campo "custom_features" de "SslPolicy". |
Métodos |
|
|---|---|
|
Cria uma TlsInspectionPolicy em determinado projeto e local. |
|
Exclui uma única TlsInspectionPolicy. |
|
Recebe detalhes de uma única TlsInspectionPolicy. |
|
Lista TlsInspectionPolicies em determinado projeto e local. |
|
Atualiza os parâmetros de uma única TlsInspectionPolicy. |