Restringe los conjuntos de algoritmos de cifrado TLS
En esta página, se describe cómo puedes impedir el acceso a los recursos de Google Cloud rechazando las solicitudes realizadas con ciertos conjuntos de algoritmos de cifrado de seguridad de la capa de transporte (TLS) menos seguros.
Descripción general
Google Cloud admite varios conjuntos de algoritmos de cifrado TLS. Para cumplir con los requisitos de seguridad o cumplimiento, es posible que desees rechazar las solicitudes de los clientes que usan conjuntos de algoritmos de cifrado TLS menos seguros.
Esta capacidad se proporciona a través de la gcp.restrictTLSCipherSuites
restricción de política de la organización.
La restricción se puede aplicar a organizaciones, carpetas o proyectos en la jerarquía de recursos.
Puedes usar la restricción gcp.restrictTLSCipherSuites como una lista de entidades permitidas o como una lista de entidades denegadas:
- Lista de entidades permitidas: Permite un conjunto específico de algoritmos de cifrado. Todas las demás se rechazan.
- Lista de bloqueo: Deniega un conjunto específico de conjuntos de algoritmos de cifrado. Todas las demás están permitidas.
Debido al comportamiento de la evaluación de la jerarquía de políticas de la organización, la restricción Restrict TLS cipher suites se aplica al nodo de recurso especificado y a todos sus elementos secundarios. Por ejemplo, si solo permites ciertos conjuntos de algoritmos de cifrado TLS para una organización, también se aplicará a todas las carpetas y proyectos (secundarios) que desciendan de esa organización.
Antes de comenzar
Para obtener los permisos que necesitas para establecer, cambiar o borrar políticas de la organización,
pídele a tu administrador que te otorgue el rol de IAM de
administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Configura la política de la organización
La restricción Restrict TLS cipher suites es un tipo de restricción de lista. Puedes agregar y quitar conjuntos de algoritmos de cifrado de las listas de allowed_values o denied_values de una restricción de Restrict TLS cipher suites. Para evitar que las políticas de la organización sean demasiado restrictivas y simplificar la administración de políticas, usa grupos de valores. Los grupos de valores son conjuntos de algoritmos de cifrado TLS recomendados y seleccionados por Google.
Console
Abre la página Políticas de la organización en la consola de Google Cloud .
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso para el que deseas configurar la política de la organización.
Selecciona la restricción Restringir conjuntos de algoritmos de cifrado TLS de la lista en la página Políticas de la organización.
Si deseas actualizar la política de la organización para este recurso, haz clic en Administrar política.
En la página Editar, selecciona Personalizar.
En Aplicación de la política, selecciona una opción de aplicación:
Para combinar y evaluar las políticas de la organización, selecciona Combinar con superior. Para obtener más información sobre la herencia y la jerarquía de recursos, consulta Comprende la evaluación de jerarquías.
Para anular las políticas heredadas de un recurso superior, selecciona Reemplazar.
Haz clic en Agregar regla.
En Valores de la política, selecciona Personalizar.
En Tipo de política, selecciona Permitir para crear una lista de conjuntos de algoritmos de cifrado permitidos o Rechazar para crear una lista de conjuntos de algoritmos de cifrado rechazados.
En Valores personalizados, ingresa el prefijo
in:y una cadena del grupo de valores y, luego, presiona Intro.Por ejemplo,
in:NIST-800-52-recommended-ciphers. Puedes ingresar varias cadenas de grupos de valores haciendo clic en Agregar valor.También puedes ingresar cadenas de conjuntos de algoritmos de cifrado específicos con el prefijo
is:. Para obtener una lista de los valores admitidos, consulta paquetes de cifrado admitidos.
Para aplicar la política, haz clic en Establecer política.
gcloud
Para crear una política de la organización que aplique la restricción Restrict TLS Cipher Suites, crea un archivo de política en formato YAML que haga referencia a la restricción:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Reemplaza lo siguiente:
RESOURCE_TYPEpororganization,folderoproject.RESOURCE_IDcon el ID de tu organización, el ID de la carpeta, el ID del proyecto o el número del proyecto.POLICY_PATHcon la ruta de acceso completa al archivo YAML que contiene la política de la organización.
Se muestra una respuesta con los resultados de la nueva política de la organización, como la siguiente:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Grupos de valores
Los grupos de valores son colecciones de conjuntos de algoritmos de cifrado que Google selecciona para proporcionar una forma más sencilla de definir los conjuntos de algoritmos de cifrado TLS preferidos o recomendados. Los grupos de valores incluyen varios conjuntos de algoritmos de cifrado y Google los expande con el tiempo. No es necesario que cambies la política de tu organización para admitir los nuevos conjuntos de algoritmos de cifrado.
Para usar grupos de valores en tu política de la organización, escribe tus entradas con la string in:. Para obtener más información sobre el uso de prefijos de valor, consulta la sección sobre cómo usar restricciones.
Los nombres de los grupos de valores se validan en la llamada para establecer la política de la organización.
Si se usa un nombre de grupo no válido, fallará la configuración de la política.
En la siguiente tabla, se incluye la lista actual de grupos disponibles:
| Grupo | Detalles | Miembros directos |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Cifrados recomendados por CNSA 2.0 compatibles con Google Cloud:in:CNSA-2.0-recommended-ciphers |
Valores:
|
| NIST-800-52-recommended-ciphers | Algoritmos de cifrado recomendados por la NIST SP 800-52 compatibles con Google Cloud:in:NIST-800-52-recommended-ciphers |
Valores:
|
Conjuntos de algoritmos de cifrado admitidos
Esta es la lista de conjuntos de algoritmos de cifrado compatibles con Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Mensaje de error
Los servicios que admiten la restricción Restringir conjuntos de algoritmos de cifrado TLS rechazan las solicitudes que la incumplen.
Ejemplo de mensaje de error
El mensaje de error tiene un formato similar al siguiente ejemplo:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
En esta salida, se incluyen los siguientes valores:
PROJECT_NUMBER: Es el número del proyecto que aloja el recurso al que se hace referencia en el comando anterior.SERVICE_NAME: Es el nombre del servicio dentro del alcance que bloquea la política de Restringir conjuntos de algoritmos de cifrado TLS.TLS_Cipher_Suite_X: Es el paquete de algoritmos de cifrado TLS que se usa en la solicitud.
Ejemplo de registro de auditoría de Cloud
También se genera una entrada de registro de auditoría para una mayor supervisión, alertas o depuración. La entrada de registro de auditoría es similar al siguiente ejemplo:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Prueba la política
Puedes probar la restricción de la política de restricción de algoritmos de cifrado TLS para cualquier servicio dentro del alcance. En el siguiente ejemplo, el comando curl valida la restricción de conjuntos de algoritmos de cifrado de TLS para un llavero de Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Reemplaza las siguientes variables:
TLS_CIPHER_SUITE: Es el nombre del conjunto de algoritmos de cifrado TLS según la convención de nomenclatura de OpenSSL, por ejemplo,ECDHE-ECDSA-AES128-SHA, que es el nombre de OpenSSL paraTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: Nombre del proyecto que contiene el llavero de claves
En el siguiente ejemplo de solicitud de curl, se muestra PROJECT_ID establecido en my-project-id y TLS_CIPHER_SUITE establecido en ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Si la política de la organización para "my-project-id" está configurada para denegar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , fallará cualquier intento de acceder a los recursos con el cifrado en el proyecto restringido por la política en este comando de ejemplo.
Se mostrará un mensaje de error similar al siguiente ejemplo que describe el motivo de este error.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Crea una política de la organización en modo de ejecución de prueba
Una política de la organización en modo de ejecución de prueba es un tipo de política de la organización en la que se registran los incumplimientos de la política en el registro de auditoría, pero no se rechazan las acciones que incumplen la política. Puedes crear una política de la organización en modo de ejecución de prueba con la restricción de TLS Cipher Suite Restriction para supervisar cómo afectaría a tu organización antes de aplicar la política activa. Para obtener más información, consulta Crea una política de la organización en modo de ejecución de prueba.
Servicios compatibles
Los siguientes servicios admiten la restricción de conjuntos de algoritmos de cifrado TLS. La restricción se aplica a todas las variaciones del extremo de API, incluidos los extremos globales, regionales y de ubicación. Consulta la página Tipos de extremos de API para obtener más información.
| Producto | extremo de API |
|---|---|
| API Gateway |
apigateway.googleapis.com |
| Claves de API |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| Apigee |
apigee.googleapis.com |
| Concentrador de API de Apigee |
apihub.googleapis.com |
| API de Apigee API Management |
apim.googleapis.com |
| API de Apigee Connect |
apigeeconnect.googleapis.com |
| API del portal de Apigee |
apigeeportal.googleapis.com |
| API de Apigee Registry |
apigeeregistry.googleapis.com |
| API de App Config Manager |
appconfigmanager.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Software de código abierto garantizado |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Administrador de auditorías |
auditmanager.googleapis.com |
| API de Authorization Toolkit |
authztoolkit.googleapis.com |
| Lote |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| Conexiones de BigQuery |
bigqueryconnection.googleapis.com |
| Política de datos de BigQuery |
bigquerydatapolicy.googleapis.com |
| Transferencia de datos de BigQuery |
bigquerydatatransfer.googleapis.com |
| Migración de BigQuery |
bigquerymigration.googleapis.com |
| Reserva BigQuery |
bigqueryreservation.googleapis.com |
| API de BigQuery Saved Query |
bigquery-sq.googleapis.com |
| BigQuery Storage |
bigquerystorage.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Autorización binaria |
binaryauthorization.googleapis.com |
| Estadísticas de cadenas de bloques |
blockchain.googleapis.com |
| Motor de nodos de cadenas de bloques |
blockchainnodeengine.googleapis.com |
| Administrador del validador de cadenas de bloques |
blockchainvalidatormanager.googleapis.com |
| Planificador de capacidad |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Administrador de certificados |
certificatemanager.googleapis.com |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| API de Cloud Commerce Producer |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| API de Cloud Controls Partner |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| API de Cloud Healthcare |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Sistema de detección de intrusiones de Cloud |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| API de Cloud Natural Language |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| API de Cloud OS Login |
oslogin.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com |
| Cloud SQL |
sqladmin.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com networksecurity.googleapis.com |
| API de Cloud Support |
cloudsupport.googleapis.com |
| API de Cloud Tool Results |
toolresults.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| API de Commerce Agreement Publishing |
commerceagreementpublishing.googleapis.com |
| API de Commerce Business Enablement |
commercebusinessenablement.googleapis.com |
| API de Commerce Price Management |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| Conectar |
gkeconnect.googleapis.com |
| Conecta la puerta de enlace |
connectgateway.googleapis.com |
| API de Contact Center AI Platform |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| API de Content Warehouse |
contentwarehouse.googleapis.com |
| API de Continuous Validation |
continuousvalidation.googleapis.com |
| API de Data Labeling |
datalabeling.googleapis.com |
| API de Data Security Posture Management |
dspm.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| API de Distributed Cloud Edge Container |
edgecontainer.googleapis.com |
| API de Distributed Cloud Edge Network |
edgenetwork.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Contactos esenciales |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com |
| Filestore |
file.googleapis.com |
| API de Financial Services |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Reglas de seguridad de Firebase |
firebaserules.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| API de GKE Enterprise Edge |
anthosedge.googleapis.com |
| Concentrador (flota) |
gkehub.googleapis.com |
| GKE Multi-Cloud |
gkemulticloud.googleapis.com |
| API de GKE On-Prem |
gkeonprem.googleapis.com |
| API de Gemini para Google Cloud |
cloudaicompanion.googleapis.com |
| API de Google Cloud |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Centro de migración de Google Cloud |
migrationcenter.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com configdelivery.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| API de Google Security Operations Partner |
chroniclepartner.googleapis.com |
| Complementos de Google Workspace |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Conectores de Integration |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| API de Live Stream |
livestream.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| Motor de BigQuery para Apache Flink |
managedflink.googleapis.com |
| API de Managed Kafka |
managedkafka.googleapis.com |
| Administración de servicio |
servicemanagement.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore para Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| API de Message Streams |
messagestreams.googleapis.com |
| API de Microservices |
microservices.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Niveles de servicio de red |
compute.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Analizador de políticas |
policyanalyzer.googleapis.com |
| Solucionador de problemas de políticas |
policytroubleshooter.googleapis.com |
| Lanzamiento progresivo |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recomendador |
recommender.googleapis.com |
| Ejecución de compilación remota |
remotebuildexecution.googleapis.com |
| API de Retail |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| API de SaaS Service Management |
saasservicemgmt.googleapis.com |
| API de SecLM |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| API de Service Account Credentials |
iamcredentials.googleapis.com |
| Directorio de servicios |
servicedirectory.googleapis.com |
| Service Networking |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech‑to‑Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Servicio de transferencia de almacenamiento |
storagebatchoperations.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| API de Timeseries Insights |
timeseriesinsights.googleapis.com |
| API de Transcoder |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| La API de Vertex AI |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI en Firebase |
firebasevertexai.googleapis.com |
| Nube privada virtual (VPC) |
compute.googleapis.com |
| API de Video Search |
cloudvideosearch.googleapis.com |
| API de Video Stitcher |
videostitcher.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com |
| API de Workload Certificate |
workloadcertificate.googleapis.com |
Servicios no admitidos
La restricción de la política de la organización Restringir conjuntos de algoritmos de cifrado TLS no se aplica a los siguientes servicios:
- App Engine (
*.appspot.com) - Cloud Run Functions (
*.cloudfunctions.net) - Cloud Run (
*.run.app) - Private Service Connect
- Dominios personalizados
Para restringir los conjuntos de algoritmos de cifrado TLS para estos servicios, usa Cloud Load Balancing junto con la política de seguridad de SSL.
Preferencia deGoogle Cloud conjunto de algoritmos de cifrado
Los extremos de los servicios admitidos priorizan AES-256 sobre AES-128 y ChaCha20. Los clientes que admiten AES-256 deberían negociar correctamente su uso sin necesidad de realizar ningún cambio en la configuración.