בדף הזה מוסבר איך אפשר למנוע גישה למשאבים על ידי דחיית בקשות שנוצרות באמצעות חבילות צופן מסוימות של Transport Layer Security (TLS) ברמת אבטחה נמוכה. Cloud de Confiance by S3NS
סקירה כללית
Cloud de Confiance by S3NS תומך בכמה סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS. כדי לעמוד בדרישות אבטחה או תאימות, יכול להיות שתרצו לדחות בקשות מלקוחות שמשתמשים בסטים של אלגוריתמים להצפנה מסוג TLS ברמת אבטחה נמוכה.
היכולת הזו מסופקת על ידי gcp.restrictTLSCipherSuites
הגבלת מדיניות הארגון.
אפשר להחיל את האילוץ על ארגונים, תיקיות או פרויקטים בהיררכיית המשאבים.
אפשר להשתמש באילוץ gcp.restrictTLSCipherSuites כרשימת היתרים או כרשימת דחייה:
- רשימת היתרים: מאפשרת להשתמש בקבוצה ספציפית של חבילות הצפנה. השימוש בכל השאר אסור.
- רשימת דחייה: דחייה של קבוצה ספציפית של סטים של אלגוריתמים להצפנה. כל השאר מותרים.
בגלל אופן הפעולה של הערכת ההיררכיה של מדיניות הארגון, האילוץ Restrict TLS cipher suites חל על צומת המשאב שצוין ועל כל הצאצאים שלו. לדוגמה, אם מאפשרים רק חבילות צופן TLS מסוימות לארגון, הן חלות גם על כל התיקיות והפרויקטים (צאצאים) ששייכים לארגון הזה.
לפני שמתחילים
כדי לקבל את ההרשאות שדרושות בשביל להגדיר, לשנות או למחוק מדיניות ארגונית, אתם צריכים לבקש מהאדמין לתת לכם את תפקיד ה-IAM Organization policy administrator (roles/orgpolicy.policyAdmin) בארגון.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
הגדרת מדיניות הארגון
ההגבלה Restrict TLS cipher suites (הגבלת השימוש בסט האלגוריתמים להצפנה (cipher suite) ב-TLS) היא סוג של הגבלת רשימה. אפשר להוסיף ולהסיר סטים של אלגוריתמים להצפנה מהרשימות allowed_values או denied_values של האילוץ 'הגבלת סטים של אלגוריתמים להצפנה ב-TLS'. כדי למנוע ממדיניות הארגון להיות מגבילה מדי ולפשט את ניהול המדיניות, אפשר להשתמש בקבוצות ערכים. קבוצות ערכים הן חבילות הצפנה מומלצות של TLS שנבחרו על ידי Google.
המסוף
פותחים את הדף מדיניות הארגון במסוף Cloud de Confiance .
בוחרים את הפרויקט בחלונית לבחירת פרויקט בחלק העליון של הדף.
בכלי לבחירת פרויקטים, בוחרים את המשאב שרוצים להגדיר לו את מדיניות הארגון.
ברשימה בדף מדיניות הארגון, בוחרים באילוץ הגבלת חבילות הצפנה של TLS.
כדי לעדכן את מדיניות הארגון לגבי המשאב הזה, לוחצים על ניהול המדיניות.
בדף עריכה, בוחרים באפשרות התאמה אישית.
בקטע Policy enforcement (אכיפת מדיניות), בוחרים באחת מאפשרויות האכיפה:
כדי למזג את מדיניות הארגון ולהעריך אותה, בוחרים באפשרות מיזוג עם ההורה. מידע נוסף על ירושה והיררכיית המשאבים מופיע במאמר הסבר על הערכת ההיררכיה.
כדי לשנות מדיניות שעוברת בירושה ממשאב ראשי, בוחרים באפשרות החלפה.
לוחצים על הוספת כלל.
בקטע ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.
בקטע Policy type (סוג המדיניות), בוחרים באפשרות Allow (אישור) כדי ליצור רשימה של חבילות הצפנה מותרות, או באפשרות Deny (דחייה) כדי ליצור רשימה של חבילות הצפנה אסורות.
בקטע ערכים מותאמים אישית, מזינים את הקידומת
in:ואת המחרוזת של קבוצת הערכים, ואז לוחצים על Enter.לדוגמה,
in:NIST-800-52-recommended-ciphers. אפשר להזין כמה מחרוזות של קבוצות ערכים בלחיצה על הוספת ערך.אפשר גם להזין מחרוזות ספציפיות של חבילות הצפנה באמצעות הקידומת
is:. רשימת הערכים הנתמכים מופיעה במאמר בנושא חבילות הצפנה נתמכות.
כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.
gcloud
כדי ליצור מדיניות ארגון שאוכפת את האילוץ Restrict TLS Cipher Suites (הגבלת חבילות הצפנה של TLS), יוצרים קובץ YAML של מדיניות שמפנה לאילוץ:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
כדי לאכוף את מדיניות הארגון שמכילה את האילוץ, מריצים את הפקודה הבאה:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
מחליפים את מה שכתוב בשדות הבאים:
RESOURCE_TYPEעםorganization, folderאוproject.
RESOURCE_IDבמזהה הארגון, במזהה התיקייה, במזהה הפרויקט או במספר הפרויקט.
POLICY_PATHעם הנתיב המלא לקובץ ה-YAML שמכיל את מדיניות הארגון.
מוחזרת תשובה עם התוצאות של מדיניות הארגון החדשה:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
קבוצות ערכים
קבוצות ערכים הן אוספים של סטים של אלגוריתמים להצפנה שנאספו על ידי Google כדי לספק דרך פשוטה יותר להגדיר סטים מועדפים או מומלצים של אלגוריתמים להצפנה ב-TLS. קבוצות הערכים כוללות כמה חבילות הצפנה, ו-Google מרחיבה אותן לאורך זמן. אין צורך לשנות את מדיניות הארגון כדי להתאים את חבילות ההצפנה החדשות.
כדי להשתמש בקבוצות ערכים במדיניות הארגון, צריך להוסיף את המחרוזת in: לפני הערכים. מידע נוסף על שימוש בקידומות של ערכים זמין במאמר שימוש באילוצים.
שמות קבוצות הערכים מאומתים בקריאה להגדרת מדיניות הארגון.
שימוש בשם קבוצה לא חוקי יגרום לכך שהגדרת המדיניות תיכשל.
בטבלה הבאה מופיעה רשימת הקבוצות שזמינות כרגע:
| קבוצה | פרטים | חברים ישירים |
|---|---|---|
| CNSA-2.0-recommended-ciphers | הצפנות מומלצות של CNSA 2.0 שנתמכות על ידי Google Cloud:in:CNSA-2.0-recommended-ciphers |
ערכים:
|
| NIST-800-52-recommended-ciphers | הצפנות מומלצות של NIST SP 800-52 שנתמכות על ידי Google Cloud:in:NIST-800-52-recommended-ciphers |
ערכים:
|
סטים נתמכים של אלגוריתמים להצפנה
זו רשימת חבילות ההצפנה שנתמכות על ידי Cloud de Confiance by S3NS.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256 (TLS 1.3 cipher suite)
TLS_AES_256_GCM_SHA384 (TLS 1.3 cipher suite)
TLS_CHACHA20_POLY1305_SHA256 (TLS 1.3 cipher suite)
הודעת השגיאה
שירותים שתומכים באילוץ Restrict TLS cipher suites (הגבלת סטים של אלגוריתמים להצפנה ב-TLS) דוחים בקשות שמפירות את האילוץ.
הודעת שגיאה לדוגמה
הודעת השגיאה היא בפורמט שדומה לדוגמה הבאה:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
הפלט הזה כולל את הערכים הבאים:
-
PROJECT_NUMBER: מספר הפרויקט שמארח את המשאב שאליו מתייחסת הפקודה הקודמת. -
SERVICE_NAME: השם של השירות בהיקף שחסום על ידי המדיניות 'הגבלת חבילות הצפנה של TLS'. -
TLS_Cipher_Suite_X: סט אלגוריתמים להצפנה (cipher suite) של TLS שנעשה בה שימוש בבקשה.
דוגמה ליומן ביקורת של Cloud
נוצרת גם רשומה ביומן הביקורת לצורך מעקב, התראות או ניפוי באגים. הרשומה ביומן הביקורת דומה לדוגמה הבאה:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
בדיקת המדיניות
אפשר לבדוק את האילוץ של מדיניות הגבלת הצפנה ב-TLS לכל שירות בהיקף. בדוגמה הבאה, הפקודה curl מאמתת את הגבלת חבילות ההצפנה ב-TLS עבור אוסף מפתחות של Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls-max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
מחליפים את המשתנים הבאים:
TLS_CIPHER_SUITE: שם סט האלגוריתמים להצפנה (cipher suite) ב-TLS בהתאם למוסכמות השמות של OpenSSL, לדוגמהECDHE-ECDSA-AES128-SHAשהוא השם ב-OpenSSL שלTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.
PROJECT_ID: שם הפרויקט שמכיל את קבוצת המפתחות
בדוגמה הבאה של בקשת curl, הערך של PROJECT_ID מוגדר ל-my-project-id והערך של TLS_CIPHER_SUITE מוגדר ל-ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
אם מדיניות הארגון של my-project-id מוגדרת לדחיית TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, כל ניסיון לגשת למשאבים עם הצופן בפרויקט המוגבל במדיניות בפקודה לדוגמה הזו ייכשל. תוצג הודעת שגיאה דומה לדוגמה הבאה, שמתארת את הסיבה לכישלון.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
יצירת מדיניות ארגונית במצב הרצת בדיקה
מדיניות ארגונית במצב פרימטר לבדיקות היא סוג של מדיניות ארגונית שבה הפרות של המדיניות נרשמות ביומן הביקורת, אבל הפעולות שמפירות את המדיניות לא נדחות. אפשר ליצור מדיניות ארגונית במצב הרצה יבשה באמצעות האילוץ TLS Cipher Suite Restriction (הגבלת חבילת הצפנה של TLS) כדי לעקוב אחרי ההשפעה שלה על הארגון לפני שאוכפים את המדיניות הפעילה. למידע נוסף, אפשר לעיין במאמר בנושא יצירת מדיניות ארגונית במצב הרצה יבשה.
שירותים נתמכים
השירותים הבאים תומכים בהגבלת סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS. ההגבלה חלה על כל הווריאציות של נקודת קצה ל-API, כולל נקודות קצה גלובליות, מבוססות-מיקום ואזוריות. מידע נוסף זמין בדף סוגי נקודות קצה ל-API.
| מוצר | נקודת קצה ל-API |
|---|---|
| AI Platform |
ml.googleapis.com |
| API Gateway |
apigateway.googleapis.com |
| מפתחות API |
apikeys.googleapis.com |
| ניתוח נתונים של הקשר הגישה |
accesscontextintelligence.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| AlloyDB ל-PostgreSQL |
alloydb.googleapis.com |
| Apigee API hub |
apihub.googleapis.com |
| Apigee API Management API |
apim.googleapis.com |
| Apigee Connect API |
apigeeconnect.googleapis.com |
| Apigee portal API |
apigeeportal.googleapis.com |
| Apigee Registry API |
apigeeregistry.googleapis.com |
| Apigee |
apigee.googleapis.com |
| App Config Manager API |
appconfigmanager.googleapis.com |
| App Engine |
appengine.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| כלי לניהול ביקורות |
auditmanager.googleapis.com |
| Authorization Toolkit API |
authztoolkit.googleapis.com |
| שירות Backup and DR |
backupdr.googleapis.com |
| גיבוי ל-GKE |
gkebackup.googleapis.com |
| Bare Metal Solution |
baremetalsolution.googleapis.com |
| Batch |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery BI Engine |
bigquerybiengine.googleapis.com |
| חיבורים ל-BigQuery |
bigqueryconnection.googleapis.com |
| מדיניות נתונים ב-BigQuery |
bigquerydatapolicy.googleapis.com |
| העברת נתונים ל-BigQuery |
bigquerydatatransfer.googleapis.com |
| העברה ל-BigQuery |
bigquerymigration.googleapis.com |
| BigQuery Reservation |
bigqueryreservation.googleapis.com |
| BigQuery Saved Query API |
bigquery-sq.googleapis.com |
| אחסון BigQuery |
bigquerystorage.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| BigQuery sharing |
analyticshub.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Binary Authorization |
binaryauthorization.googleapis.com |
| Blockchain Analytics |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Blockchain Validator Manager |
blockchainvalidatormanager.googleapis.com |
| Capacity Planner |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Certificate Manager |
certificatemanager.googleapis.com |
| מאגר משאבי ענן |
cloudasset.googleapis.com |
| חיוב ב-Cloud |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| Cloud Commerce Consumer Procurement API |
cloudcommerceconsumerprocurement.googleapis.com |
| Cloud Commerce Producer API |
cloudcommerceproducer.googleapis.com |
| Managed Service for Apache Airflow |
composer.googleapis.com |
| Cloud Controls Partner API |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deploy |
clouddeploy.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| Cloud Healthcare API |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| המערכת לגילוי חדירות (IDS) של Google Cloud |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com kmsinventory.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com genomics.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| Cloud Natural Language API |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud OS Login API |
oslogin.googleapis.com |
| מכסות ב-Cloud |
cloudquotas.googleapis.com |
| סטרימינג של תמונות |
containerfilesystem.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com runapps.googleapis.com |
| Cloud SQL |
cloudsql.googleapis.com sqladmin.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com meshca.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
| Cloud Source Repositories |
sourcerepo.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| Cloud Support API |
cloudsupport.googleapis.com |
| Cloud TPU |
tpu.googleapis.com |
| Cloud Tasks |
cloudtasks.googleapis.com |
| Cloud Tool Results API |
toolresults.googleapis.com |
| Cloud Trace |
cloudtrace.googleapis.com |
| Cloud Translation |
translate.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Vision |
vision.googleapis.com |
| תחנות עבודה בענן |
workstations.googleapis.com |
| Commerce Agreement Publishing API |
commerceagreementpublishing.googleapis.com |
| Commerce Business Enablement API |
commercebusinessenablement.googleapis.com |
| Commerce Org Governance API |
commerceorggovernance.googleapis.com |
| Commerce Price Management API |
commercepricemanagement.googleapis.com |
| Compliance Manager |
cloudsecuritycompliance.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| חיבור |
gkeconnect.googleapis.com |
| חיבור שער |
connectgateway.googleapis.com |
| Contact Center AI Platform API |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| Content Warehouse API |
contentwarehouse.googleapis.com |
| Continuous Validation API |
continuousvalidation.googleapis.com |
| תובנות לגבי חוויית הלקוח |
contactcenterinsights.googleapis.com |
| Data Catalog |
datacatalog.googleapis.com |
| Data Labeling API |
datalabeling.googleapis.com |
| Data Security Posture Management API |
dspm.googleapis.com |
| Data Studio |
datastudio.googleapis.com |
| Database Center |
databasecenter.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Knowledge Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc Metastore |
metastore.googleapis.com |
| Managed Service for Apache Spark |
dataproc.googleapis.com dataprocrm.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Developer Connect |
developerconnect.googleapis.com |
| Distributed Cloud Edge Container API |
edgecontainer.googleapis.com |
| Distributed Cloud Edge Network API |
edgenetwork.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| Earth Engine API |
earthengine.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| אנשי קשר חיוניים |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com eventarcpublishing.googleapis.com |
| בדיקה של הזרקת תקלות |
faultinjectiontesting.googleapis.com |
| Filestore |
file.googleapis.com |
| Financial Services API |
financialservices.googleapis.com |
| Firebase AI Logic |
firebasevertexai.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| כללי אבטחה של Firebase |
firebaserules.googleapis.com |
| Firebase Storage API |
firebasestorage.googleapis.com |
| Firestore |
firestore.googleapis.com firestorekeyvisualizer.googleapis.com |
| Firestore במצב Datastore (Datastore) |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| GKE Enterprise Edge API |
anthosedge.googleapis.com |
| צי GKE (Fleet) |
gkehub.googleapis.com |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
| GKE Multi-cloud |
gkemulticloud.googleapis.com |
| GKE On-Prem API |
gkeonprem.googleapis.com |
| Gemini for Google Cloud API |
cloudaicompanion.googleapis.com |
| Cloud de Confiance by S3NS API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Cloud VMware Engine |
vmwareengine.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com containerfilesystem.googleapis.com configdelivery.googleapis.com |
| Google Security Operations Partner API |
chroniclepartner.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| תוספים ל-Google Workspace |
gsuiteaddons.googleapis.com |
| ניהול זהויות והרשאות גישה |
iam.googleapis.com |
| שרת proxy לאימות זהויות (IAP) |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| License Manager API |
licensemanager.googleapis.com |
| Live Stream API |
livestream.googleapis.com |
| Looker |
looker.googleapis.com |
| BigQuery Engine ל-Apache Flink |
managedflink.googleapis.com |
| Managed Kafka API |
managedkafka.googleapis.com |
| Google Cloud Managed Lustre |
lustre.googleapis.com |
| שירות מנוהל ל-Microsoft Active Directory |
managedidentities.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Memorystore for Valkey |
memorystore.googleapis.com |
| Microservices API |
microservices.googleapis.com |
| Migrate to Virtual Machines |
vmmigration.googleapis.com |
| הגנה מוגברת על המודל |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Network Service Tiers |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Service Health בהתאמה אישית |
servicehealth.googleapis.com |
| כלים לבקרת מדיניות |
policyanalyzer.googleapis.com policysimulator.googleapis.com policytroubleshooter.googleapis.com |
| Privileged Access Manager |
privilegedaccessmanager.googleapis.com |
| השקה הדרגתית |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| רשות אישורים ציבורית |
publicca.googleapis.com |
| שירות המלצות |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| AI Commerce Search API |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| SaaS Service Management API |
saasservicemgmt.googleapis.com |
| SecLM API |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Secure Source Manager |
securesourcemanager.googleapis.com |
| Secured Landing Zone API |
securedlandingzone.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| מניעת אובדן נתונים בענן |
dlp.googleapis.com |
| Service Account Credentials API |
iamcredentials.googleapis.com |
| Service Directory |
servicedirectory.googleapis.com |
| ניהול השירות |
servicemanagement.googleapis.com |
| Service Networking |
servicenetworking.googleapis.com |
| Service Usage |
serviceusage.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| המרת דיבור לטקסט (STT) |
speech.googleapis.com |
| תובנות לגבי האחסון |
storageinsights.googleapis.com |
| Storage Transfer Service |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Talent Solution |
jobs.googleapis.com |
| המרת טקסט לדיבור (TTS) |
texttospeech.googleapis.com |
| Timeseries Insights API |
timeseriesinsights.googleapis.com |
| Traffic Director API |
trafficdirector.googleapis.com |
| Transcoder API |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| Agent Platform API |
aiplatform.googleapis.com |
| סביבת העבודה של Gemini Enterprise Agent Platform |
notebooks.googleapis.com |
| Video Intelligence API |
videointelligence.googleapis.com |
| Video Search API |
cloudvideosearch.googleapis.com |
| Video Stitcher API |
videostitcher.googleapis.com |
| ענן וירטואלי פרטי (VPC) |
compute.googleapis.com |
| Vision AI |
visionai.googleapis.com |
| Visual Inspection AI |
visualinspection.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com workflowexecutions.googleapis.com |
| Workload Certificate API |
workloadcertificate.googleapis.com |
| כלי לניהול עומס העבודה |
workloadmanager.googleapis.com |
| reCAPTCHA Enterprise |
recaptchaenterprise.googleapis.com |
שירותים שלא נתמכים
האילוץ 'הגבלת סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS' במדיניות הארגון לא חל על השירותים הבאים:
- Apigee (
*.apigee.net,*.apigee.comו-*.apigee.io) - App Engine (
*.appspot.com) - פונקציות Cloud Run (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - התחברות לשירות פרטי
- דומיינים מותאמים אישית
כדי להגביל את חבילות הצפנה של TLS בשירותים האלה, משתמשים ב-Cloud Load Balancing יחד עם מדיניות אבטחה של SSL.
Cloud de Confiance by S3NS העדפות השימוש בסט האלגוריתמים להצפנה (cipher suite)
נקודות הקצה של השירותים הנתמכים נותנות עדיפות לחבילות הצפנה לפי הסדר הבא, מהמועדפות ביותר למועדפות פחות:
- AES-256
- AES-128
- ChaCha20
במהלך לחיצת יד בפרוטוקול TLS, השרת בוחר את סט אלגוריתמים להצפנה (cipher suite) המועדף ביותר שגם הלקוח וגם השרת תומכים בו. בדרך כלל, תהליך הבחירה הזה לא דורש שינויים ספציפיים בהגדרות בצד הלקוח.
תהליך לחיצת היד בפרוטוקול TLS מתרחש לפני בדיקת המדיניות בנושא הגבלת סט אלגוריתמים להצפנה (cipher suite) של TLS, והוא נפרד מבדיקת המדיניות. כתוצאה מכך, גם סטים של האלגוריתמים להצפנה (cipher suite) שנקבעו במהלך לחיצת היד של TLS צריכים להיות מותרים על ידי בדיקת המדיניות 'הגבלת סטים של אלגוריתמים להצפנה (cipher suite) ב-TLS'. אחרת, החיבור יידחה. בעל המדיניות אחראי להגדיר את ההגבלות על סט אלגוריתמים להצפנה (cipher suite) של TLS ואת אפליקציות הלקוח כדי לאפשר את סט אלגוריתמים להצפנה (cipher suite) שנקבע.