הגבלת חבילות הצפנה מסוג TLS

בדף הזה מוסבר איך אפשר למנוע גישה למשאבים על ידי דחיית בקשות שנוצרות באמצעות חבילות צופן מסוימות של Transport Layer Security ‏ (TLS) ברמת אבטחה נמוכה. Cloud de Confiance by S3NS

סקירה כללית

Cloud de Confiance by S3NS תומך בכמה סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS. כדי לעמוד בדרישות אבטחה או תאימות, יכול להיות שתרצו לדחות בקשות מלקוחות שמשתמשים בסטים של אלגוריתמים להצפנה מסוג TLS ברמת אבטחה נמוכה.

היכולת הזו מסופקת על ידי gcp.restrictTLSCipherSuites הגבלת מדיניות הארגון. אפשר להחיל את האילוץ על ארגונים, תיקיות או פרויקטים בהיררכיית המשאבים.

אפשר להשתמש באילוץ gcp.restrictTLSCipherSuites כרשימת היתרים או כרשימת דחייה:

  • רשימת היתרים: מאפשרת להשתמש בקבוצה ספציפית של חבילות הצפנה. השימוש בכל השאר אסור.
  • רשימת דחייה: דחייה של קבוצה ספציפית של סטים של אלגוריתמים להצפנה. כל השאר מותרים.

בגלל אופן הפעולה של הערכת ההיררכיה של מדיניות הארגון, האילוץ Restrict TLS cipher suites חל על צומת המשאב שצוין ועל כל הצאצאים שלו. לדוגמה, אם מאפשרים רק חבילות צופן TLS מסוימות לארגון, הן חלות גם על כל התיקיות והפרויקטים (צאצאים) ששייכים לארגון הזה.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות בשביל להגדיר, לשנות או למחוק מדיניות ארגונית, אתם צריכים לבקש מהאדמין לתת לכם את תפקיד ה-IAM‏ Organization policy administrator (roles/orgpolicy.policyAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הגדרת מדיניות הארגון

ההגבלה Restrict TLS cipher suites (הגבלת השימוש בסט האלגוריתמים להצפנה (cipher suite) ב-TLS) היא סוג של הגבלת רשימה. אפשר להוסיף ולהסיר סטים של אלגוריתמים להצפנה מהרשימות allowed_values או denied_values של האילוץ 'הגבלת סטים של אלגוריתמים להצפנה ב-TLS'. כדי למנוע ממדיניות הארגון להיות מגבילה מדי ולפשט את ניהול המדיניות, אפשר להשתמש בקבוצות ערכים. קבוצות ערכים הן חבילות הצפנה מומלצות של TLS שנבחרו על ידי Google.

המסוף

  1. פותחים את הדף מדיניות הארגון במסוף Cloud de Confiance .

    מעבר למדיניות הארגון

  2. בוחרים את הפרויקט בחלונית לבחירת פרויקט בחלק העליון של הדף.

  3. בכלי לבחירת פרויקטים, בוחרים את המשאב שרוצים להגדיר לו את מדיניות הארגון.

  4. ברשימה בדף מדיניות הארגון, בוחרים באילוץ הגבלת חבילות הצפנה של TLS.

  5. כדי לעדכן את מדיניות הארגון לגבי המשאב הזה, לוחצים על ניהול המדיניות.

  6. בדף עריכה, בוחרים באפשרות התאמה אישית.

  7. בקטע Policy enforcement (אכיפת מדיניות), בוחרים באחת מאפשרויות האכיפה:

    • כדי למזג את מדיניות הארגון ולהעריך אותה, בוחרים באפשרות מיזוג עם ההורה. מידע נוסף על ירושה והיררכיית המשאבים מופיע במאמר הסבר על הערכת ההיררכיה.

    • כדי לשנות מדיניות שעוברת בירושה ממשאב ראשי, בוחרים באפשרות החלפה.

  8. לוחצים על הוספת כלל.

  9. בקטע ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  10. בקטע Policy type (סוג המדיניות), בוחרים באפשרות Allow (אישור) כדי ליצור רשימה של חבילות הצפנה מותרות, או באפשרות Deny (דחייה) כדי ליצור רשימה של חבילות הצפנה אסורות.

  11. בקטע ערכים מותאמים אישית, מזינים את הקידומת in: ואת המחרוזת של קבוצת הערכים, ואז לוחצים על Enter.

    • לדוגמה, in:NIST-800-52-recommended-ciphers. אפשר להזין כמה מחרוזות של קבוצות ערכים בלחיצה על הוספת ערך.

    • אפשר גם להזין מחרוזות ספציפיות של חבילות הצפנה באמצעות הקידומת is:. רשימת הערכים הנתמכים מופיעה במאמר בנושא חבילות הצפנה נתמכות.

  12. כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.

gcloud

כדי ליצור מדיניות ארגון שאוכפת את האילוץ Restrict TLS Cipher Suites (הגבלת חבילות הצפנה של TLS), יוצרים קובץ YAML של מדיניות שמפנה לאילוץ:

constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
  allowedValues:
  - in:CNSA-2.0-recommended-ciphers
  - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

כדי לאכוף את מדיניות הארגון שמכילה את האילוץ, מריצים את הפקודה הבאה:

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE RESOURCE_ID \
POLICY_PATH

מחליפים את מה שכתוב בשדות הבאים:

  • RESOURCE_TYPE עם organization, ‏ folder או project.

  • RESOURCE_ID במזהה הארגון, במזהה התיקייה, במזהה הפרויקט או במספר הפרויקט.

  • POLICY_PATH עם הנתיב המלא לקובץ ה-YAML שמכיל את מדיניות הארגון.

מוחזרת תשובה עם התוצאות של מדיניות הארגון החדשה:

constraint: constraints/gcp.restrictTLSCipherSuites
etag: COS9qr0GELii6o0C
listPolicy:
  allowedValues:
  - in:CNSA-2.0-recommended-ciphers
  - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
updateTime: '2025-02-11T00:50:44.565875Z'

קבוצות ערכים

קבוצות ערכים הן אוספים של סטים של אלגוריתמים להצפנה שנאספו על ידי Google כדי לספק דרך פשוטה יותר להגדיר סטים מועדפים או מומלצים של אלגוריתמים להצפנה ב-TLS. קבוצות הערכים כוללות כמה חבילות הצפנה, ו-Google מרחיבה אותן לאורך זמן. אין צורך לשנות את מדיניות הארגון כדי להתאים את חבילות ההצפנה החדשות.

כדי להשתמש בקבוצות ערכים במדיניות הארגון, צריך להוסיף את המחרוזת in: לפני הערכים. מידע נוסף על שימוש בקידומות של ערכים זמין במאמר שימוש באילוצים. שמות קבוצות הערכים מאומתים בקריאה להגדרת מדיניות הארגון. שימוש בשם קבוצה לא חוקי יגרום לכך שהגדרת המדיניות תיכשל.

בטבלה הבאה מופיעה רשימת הקבוצות שזמינות כרגע:

קבוצה פרטים חברים ישירים
CNSA-2.0-recommended-ciphers הצפנות מומלצות של CNSA 2.0 שנתמכות על ידי Google Cloud:
in:CNSA-2.0-recommended-ciphers
ערכים:
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
NIST-800-52-recommended-ciphers הצפנות מומלצות של NIST SP 800-52 שנתמכות על ידי Google Cloud:
in:NIST-800-52-recommended-ciphers
ערכים:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

סטים נתמכים של אלגוריתמים להצפנה

זו רשימת חבילות ההצפנה שנתמכות על ידי Cloud de Confiance by S3NS.

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_AES_128_GCM_SHA256 (TLS 1.3 cipher suite)
TLS_AES_256_GCM_SHA384 (TLS 1.3 cipher suite)
TLS_CHACHA20_POLY1305_SHA256 (TLS 1.3 cipher suite)

הודעת השגיאה

שירותים שתומכים באילוץ Restrict TLS cipher suites (הגבלת סטים של אלגוריתמים להצפנה ב-TLS) דוחים בקשות שמפירות את האילוץ.

הודעת שגיאה לדוגמה

הודעת השגיאה היא בפורמט שדומה לדוגמה הבאה:

Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites
constraint for 'projects/PROJECT_NUMBER'.
Access to service
'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`
To access this resource, please use an allowed TLS Cipher Suite.

הפלט הזה כולל את הערכים הבאים:

  • PROJECT_NUMBER: מספר הפרויקט שמארח את המשאב שאליו מתייחסת הפקודה הקודמת.
  • SERVICE_NAME: השם של השירות בהיקף שחסום על ידי המדיניות 'הגבלת חבילות הצפנה של TLS'.
  • TLS_Cipher_Suite_X: סט אלגוריתמים להצפנה (cipher suite) של TLS שנעשה בה שימוש בבקשה.

דוגמה ליומן ביקורת של Cloud

נוצרת גם רשומה ביומן הביקורת לצורך מעקב, התראות או ניפוי באגים. הרשומה ביומן הביקורת דומה לדוגמה הבאה:

{
  logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-project-number"
    authenticationInfo: {
      principalEmail: "user_or_service_account@example.com"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictTlsCipherSuites"
          errorMessage: "TLS Cipher Suite Restriction Org Policy is violated"
          policyType: "LIST_CONSTRAINT"
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "my-project-number"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2023-10-27T19:27:24.633477924Z"
  receiveTimestamp: "2023-10-27T19:27:25.071941737Z"
  insertId "42"
}

בדיקת המדיניות

אפשר לבדוק את האילוץ של מדיניות הגבלת הצפנה ב-TLS לכל שירות בהיקף. בדוגמה הבאה, הפקודה curl מאמתת את הגבלת חבילות ההצפנה ב-TLS עבור אוסף מפתחות של Cloud Key Management Service.

curl --ciphers TLS_CIPHER_SUITE --tls-max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose

מחליפים את המשתנים הבאים:

  • TLS_CIPHER_SUITE: שם סט האלגוריתמים להצפנה (cipher suite) ב-TLS בהתאם למוסכמות השמות של OpenSSL, לדוגמה ECDHE-ECDSA-AES128-SHA שהוא השם ב-OpenSSL של TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.

  • PROJECT_ID: שם הפרויקט שמכיל את קבוצת המפתחות

בדוגמה הבאה של בקשת curl, הערך של PROJECT_ID מוגדר ל-my-project-id והערך של TLS_CIPHER_SUITE מוגדר ל-ECDHE-ECDSA-AES128-SHA:

curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \
  GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose

אם מדיניות הארגון של my-project-id מוגדרת לדחיית TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, כל ניסיון לגשת למשאבים עם הצופן בפרויקט המוגבל במדיניות בפקודה לדוגמה הזו ייכשל. תוצג הודעת שגיאה דומה לדוגמה הבאה, שמתארת את הסיבה לכישלון.

Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites
constraint for 'projects/my-project-id'.
Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher
Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`.
To access this resource, please use an allowed TLS Cipher Suite.

יצירת מדיניות ארגונית במצב הרצת בדיקה

מדיניות ארגונית במצב פרימטר לבדיקות היא סוג של מדיניות ארגונית שבה הפרות של המדיניות נרשמות ביומן הביקורת, אבל הפעולות שמפירות את המדיניות לא נדחות. אפשר ליצור מדיניות ארגונית במצב הרצה יבשה באמצעות האילוץ TLS Cipher Suite Restriction (הגבלת חבילת הצפנה של TLS) כדי לעקוב אחרי ההשפעה שלה על הארגון לפני שאוכפים את המדיניות הפעילה. למידע נוסף, אפשר לעיין במאמר בנושא יצירת מדיניות ארגונית במצב הרצה יבשה.

שירותים נתמכים

השירותים הבאים תומכים בהגבלת סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS. ההגבלה חלה על כל הווריאציות של נקודת קצה ל-API, כולל נקודות קצה גלובליות, מבוססות-מיקום ואזוריות. מידע נוסף זמין בדף סוגי נקודות קצה ל-API.

מוצר נקודת קצה ל-API
‏AI Platform ml.googleapis.com
API Gateway apigateway.googleapis.com
מפתחות API apikeys.googleapis.com
ניתוח נתונים של הקשר הגישה accesscontextintelligence.googleapis.com
Access Context Manager accesscontextmanager.googleapis.com
‫AlloyDB ל-PostgreSQL alloydb.googleapis.com
Apigee API hub apihub.googleapis.com
Apigee API Management API apim.googleapis.com
Apigee Connect API apigeeconnect.googleapis.com
Apigee portal API apigeeportal.googleapis.com
Apigee Registry API apigeeregistry.googleapis.com
Apigee apigee.googleapis.com
App Config Manager API appconfigmanager.googleapis.com
App Engine appengine.googleapis.com
App Hub apphub.googleapis.com
Application Design Center designcenter.googleapis.com
Application Integration integrations.googleapis.com
Artifact Analysis containeranalysis.googleapis.com
ondemandscanning.googleapis.com
Artifact Registry artifactregistry.googleapis.com
Assured Open Source Software assuredoss.googleapis.com
Assured Workloads assuredworkloads.googleapis.com
כלי לניהול ביקורות auditmanager.googleapis.com
Authorization Toolkit API authztoolkit.googleapis.com
שירות Backup and DR backupdr.googleapis.com
גיבוי ל-GKE gkebackup.googleapis.com
Bare Metal Solution baremetalsolution.googleapis.com
Batch batch.googleapis.com
Chrome Enterprise Premium beyondcorp.googleapis.com
BigLake biglake.googleapis.com
‫BigQuery BI Engine bigquerybiengine.googleapis.com
חיבורים ל-BigQuery bigqueryconnection.googleapis.com
מדיניות נתונים ב-BigQuery bigquerydatapolicy.googleapis.com
העברת נתונים ל-BigQuery bigquerydatatransfer.googleapis.com
העברה ל-BigQuery bigquerymigration.googleapis.com
BigQuery Reservation bigqueryreservation.googleapis.com
BigQuery Saved Query API bigquery-sq.googleapis.com
אחסון BigQuery bigquerystorage.googleapis.com
BigQuery bigquery.googleapis.com
BigQuery sharing analyticshub.googleapis.com
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
Binary Authorization binaryauthorization.googleapis.com
Blockchain Analytics blockchain.googleapis.com
Blockchain Node Engine blockchainnodeengine.googleapis.com
Blockchain Validator Manager blockchainvalidatormanager.googleapis.com
‫Capacity Planner capacityplanner.googleapis.com
Certificate Authority Service privateca.googleapis.com
Certificate Manager certificatemanager.googleapis.com
מאגר משאבי ענן cloudasset.googleapis.com
חיוב ב-Cloud cloudbilling.googleapis.com
Cloud Build cloudbuild.googleapis.com
Cloud CDN compute.googleapis.com
Cloud Commerce Consumer Procurement API cloudcommerceconsumerprocurement.googleapis.com
Cloud Commerce Producer API cloudcommerceproducer.googleapis.com
Managed Service for Apache Airflow composer.googleapis.com
Cloud Controls Partner API cloudcontrolspartner.googleapis.com
Cloud DNS dns.googleapis.com
Cloud Data Fusion datafusion.googleapis.com
Cloud Deploy clouddeploy.googleapis.com
Cloud Deployment Manager runtimeconfig.googleapis.com
deploymentmanager.googleapis.com
Cloud Domains domains.googleapis.com
Cloud Healthcare API healthcare.googleapis.com
Cloud Interconnect compute.googleapis.com
המערכת לגילוי חדירות (IDS) של Google Cloud ids.googleapis.com
Cloud Key Management Service cloudkms.googleapis.com
kmsinventory.googleapis.com
Cloud Life Sciences lifesciences.googleapis.com
genomics.googleapis.com
Cloud Load Balancing compute.googleapis.com
Cloud Logging logging.googleapis.com
Cloud Monitoring monitoring.googleapis.com
Cloud NAT compute.googleapis.com
Cloud Natural Language API language.googleapis.com
‫Cloud Next Generation Firewall Essentials compute.googleapis.com
networksecurity.googleapis.com
Cloud Next Generation Firewall Standard compute.googleapis.com
networksecurity.googleapis.com
Cloud OS Login API oslogin.googleapis.com
מכסות ב-Cloud cloudquotas.googleapis.com
סטרימינג של תמונות containerfilesystem.googleapis.com
Cloud Router compute.googleapis.com
Cloud Run run.googleapis.com
runapps.googleapis.com
Cloud SQL cloudsql.googleapis.com
sqladmin.googleapis.com
Cloud Scheduler cloudscheduler.googleapis.com
Cloud Service Mesh meshconfig.googleapis.com
meshca.googleapis.com
networksecurity.googleapis.com
networkservices.googleapis.com
Cloud Source Repositories sourcerepo.googleapis.com
Cloud Storage storage.googleapis.com
Cloud Support API cloudsupport.googleapis.com
Cloud TPU tpu.googleapis.com
Cloud Tasks cloudtasks.googleapis.com
Cloud Tool Results API toolresults.googleapis.com
Cloud Trace cloudtrace.googleapis.com
Cloud Translation translate.googleapis.com
Cloud VPN compute.googleapis.com
Cloud Vision vision.googleapis.com
תחנות עבודה בענן workstations.googleapis.com
Commerce Agreement Publishing API commerceagreementpublishing.googleapis.com
Commerce Business Enablement API commercebusinessenablement.googleapis.com
Commerce Org Governance API commerceorggovernance.googleapis.com
Commerce Price Management API commercepricemanagement.googleapis.com
Compliance Manager cloudsecuritycompliance.googleapis.com
Compute Engine compute.googleapis.com
Confidential Computing confidentialcomputing.googleapis.com
חיבור gkeconnect.googleapis.com
חיבור שער connectgateway.googleapis.com
Contact Center AI Platform API contactcenteraiplatform.googleapis.com
Container Threat Detection containerthreatdetection.googleapis.com
Content Warehouse API contentwarehouse.googleapis.com
Continuous Validation API continuousvalidation.googleapis.com
תובנות לגבי חוויית הלקוח contactcenterinsights.googleapis.com
Data Catalog datacatalog.googleapis.com
Data Labeling API datalabeling.googleapis.com
Data Security Posture Management API dspm.googleapis.com
Data Studio datastudio.googleapis.com
Database Center databasecenter.googleapis.com
Database Migration Service datamigration.googleapis.com
Dataflow dataflow.googleapis.com
Dataform dataform.googleapis.com
Knowledge Catalog dataplex.googleapis.com
datalineage.googleapis.com
Dataproc Metastore metastore.googleapis.com
Managed Service for Apache Spark dataproc.googleapis.com
dataprocrm.googleapis.com
Dataproc on GDC dataprocgdc.googleapis.com
Datastream datastream.googleapis.com
Developer Connect developerconnect.googleapis.com
Distributed Cloud Edge Container API edgecontainer.googleapis.com
Distributed Cloud Edge Network API edgenetwork.googleapis.com
Google Distributed Cloud opsconfigmonitoring.googleapis.com
gdcvmmanager.googleapis.com
gdchardwaremanagement.googleapis.com
Earth Engine API earthengine.googleapis.com
Enterprise Knowledge Graph enterpriseknowledgegraph.googleapis.com
Error Reporting clouderrorreporting.googleapis.com
אנשי קשר חיוניים essentialcontacts.googleapis.com
Eventarc eventarc.googleapis.com
eventarcpublishing.googleapis.com
בדיקה של הזרקת תקלות faultinjectiontesting.googleapis.com
Filestore file.googleapis.com
Financial Services API financialservices.googleapis.com
Firebase AI Logic firebasevertexai.googleapis.com
Firebase App Hosting firebaseapphosting.googleapis.com
Firebase Data Connect firebasedataconnect.googleapis.com
כללי אבטחה של Firebase firebaserules.googleapis.com
Firebase Storage API firebasestorage.googleapis.com
Firestore firestore.googleapis.com
firestorekeyvisualizer.googleapis.com
‫Firestore במצב Datastore ‏ (Datastore) datastore.googleapis.com
GKE Dataplane Management gkedataplanemanagement.googleapis.com
GKE Enterprise Edge API anthosedge.googleapis.com
צי GKE (Fleet) gkehub.googleapis.com
GKE Identity Service anthosidentityservice.googleapis.com
GKE Multi-cloud gkemulticloud.googleapis.com
GKE On-Prem API gkeonprem.googleapis.com
Gemini for Google Cloud API cloudaicompanion.googleapis.com
Cloud de Confiance by S3NS API cloud.googleapis.com
Google Cloud Armor compute.googleapis.com
Google Cloud Migration Center migrationcenter.googleapis.com
rapidmigrationassessment.googleapis.com
Google Cloud NetApp Volumes netapp.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
Google Cloud VMware Engine vmwareengine.googleapis.com
Google Kubernetes Engine container.googleapis.com
containerfilesystem.googleapis.com
configdelivery.googleapis.com
Google Security Operations Partner API chroniclepartner.googleapis.com
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
תוספים ל-Google Workspace gsuiteaddons.googleapis.com
ניהול זהויות והרשאות גישה iam.googleapis.com
שרת proxy לאימות זהויות (IAP) iap.googleapis.com
Immersive Stream stream.googleapis.com
‫Infrastructure Manager config.googleapis.com
Integration Connectors connectors.googleapis.com
KRM API Hosting krmapihosting.googleapis.com
License Manager API licensemanager.googleapis.com
Live Stream API livestream.googleapis.com
Looker looker.googleapis.com
‫BigQuery Engine ל-Apache Flink managedflink.googleapis.com
Managed Kafka API managedkafka.googleapis.com
Google Cloud Managed Lustre lustre.googleapis.com
שירות מנוהל ל-Microsoft Active Directory managedidentities.googleapis.com
Media Asset Manager mediaasset.googleapis.com
Memorystore for Memcached memcache.googleapis.com
Memorystore for Redis redis.googleapis.com
Memorystore for Valkey memorystore.googleapis.com
Microservices API microservices.googleapis.com
Migrate to Virtual Machines vmmigration.googleapis.com
הגנה מוגברת על המודל modelarmor.googleapis.com
Network Connectivity Center networkconnectivity.googleapis.com
Network Intelligence Center networkmanagement.googleapis.com
Network Service Tiers compute.googleapis.com
Oracle Database@Google Cloud oracledatabase.googleapis.com
Parallelstore parallelstore.googleapis.com
Persistent Disk compute.googleapis.com
‫Service Health בהתאמה אישית servicehealth.googleapis.com
כלים לבקרת מדיניות policyanalyzer.googleapis.com
policysimulator.googleapis.com
policytroubleshooter.googleapis.com
Privileged Access Manager privilegedaccessmanager.googleapis.com
השקה הדרגתית progressiverollout.googleapis.com
Pub/Sub pubsub.googleapis.com
רשות אישורים ציבורית publicca.googleapis.com
שירות המלצות recommender.googleapis.com
Remote Build Execution remotebuildexecution.googleapis.com
AI Commerce Search API retail.googleapis.com
Cyber Insurance Hub riskmanager.googleapis.com
SaaS Service Management API saasservicemgmt.googleapis.com
SecLM API seclm.googleapis.com
Secret Manager secretmanager.googleapis.com
Secure Source Manager securesourcemanager.googleapis.com
Secured Landing Zone API securedlandingzone.googleapis.com
Security Command Center securitycenter.googleapis.com
securitycentermanagement.googleapis.com
securityposture.googleapis.com
מניעת אובדן נתונים בענן dlp.googleapis.com
‎Service Account Credentials API iamcredentials.googleapis.com
Service Directory servicedirectory.googleapis.com
ניהול השירות servicemanagement.googleapis.com
Service Networking servicenetworking.googleapis.com
Service Usage serviceusage.googleapis.com
Spanner spanner.googleapis.com
Speaker ID speakerid.googleapis.com
המרת דיבור לטקסט (STT) speech.googleapis.com
תובנות לגבי האחסון storageinsights.googleapis.com
Storage Transfer Service storagebatchoperations.googleapis.com
storagetransfer.googleapis.com
Talent Solution jobs.googleapis.com
המרת טקסט לדיבור (TTS) texttospeech.googleapis.com
Timeseries Insights API timeseriesinsights.googleapis.com
Traffic Director API trafficdirector.googleapis.com
Transcoder API transcoder.googleapis.com
Transfer Appliance transferappliance.googleapis.com
VM Manager osconfig.googleapis.com
Agent Platform API aiplatform.googleapis.com
סביבת העבודה של Gemini Enterprise Agent Platform notebooks.googleapis.com
Video Intelligence API videointelligence.googleapis.com
Video Search API cloudvideosearch.googleapis.com
Video Stitcher API videostitcher.googleapis.com
ענן וירטואלי פרטי (VPC) compute.googleapis.com
Vision AI visionai.googleapis.com
Visual Inspection AI visualinspection.googleapis.com
Web Risk webrisk.googleapis.com
Web Security Scanner websecurityscanner.googleapis.com
Workflows workflows.googleapis.com
workflowexecutions.googleapis.com
Workload Certificate API workloadcertificate.googleapis.com
כלי לניהול עומס העבודה workloadmanager.googleapis.com
reCAPTCHA Enterprise recaptchaenterprise.googleapis.com

שירותים שלא נתמכים

האילוץ 'הגבלת סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS' במדיניות הארגון לא חל על השירותים הבאים:

  • ‫Apigee ‏ (*.apigee.net,‏ *.apigee.com ו-*.apigee.io)
  • ‫App Engine‏ (*.appspot.com)
  • פונקציות Cloud Run‏ (*.cloudfunctions.net),
  • ‫Cloud Run‏ (*.run.app)
  • התחברות לשירות פרטי
  • דומיינים מותאמים אישית

כדי להגביל את חבילות הצפנה של TLS בשירותים האלה, משתמשים ב-Cloud Load Balancing יחד עם מדיניות אבטחה של SSL.

Cloud de Confiance by S3NS העדפות השימוש בסט האלגוריתמים להצפנה (cipher suite)

נקודות הקצה של השירותים הנתמכים נותנות עדיפות לחבילות הצפנה לפי הסדר הבא, מהמועדפות ביותר למועדפות פחות:

  1. AES-256
  2. AES-128
  3. ChaCha20

במהלך לחיצת יד בפרוטוקול TLS, השרת בוחר את סט אלגוריתמים להצפנה (cipher suite) המועדף ביותר שגם הלקוח וגם השרת תומכים בו. בדרך כלל, תהליך הבחירה הזה לא דורש שינויים ספציפיים בהגדרות בצד הלקוח.

תהליך לחיצת היד בפרוטוקול TLS מתרחש לפני בדיקת המדיניות בנושא הגבלת סט אלגוריתמים להצפנה (cipher suite) של TLS, והוא נפרד מבדיקת המדיניות. כתוצאה מכך, גם סטים של האלגוריתמים להצפנה (cipher suite) שנקבעו במהלך לחיצת היד של TLS צריכים להיות מותרים על ידי בדיקת המדיניות 'הגבלת סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS'. אחרת, החיבור יידחה. בעל המדיניות אחראי להגדיר את ההגבלות על סט אלגוריתמים להצפנה (cipher suite) של TLS ואת אפליקציות הלקוח כדי לאפשר את סט אלגוריתמים להצפנה (cipher suite) שנקבע.