Я пытаюсь пройти сканирование Trustwave pci DSS, но не могу, потому что он не работает в «Поддерживается TLSv1.0», и я думаю, что проблема в балансировщике нагрузки GCE HTTPS, который по умолчанию включает TLSv 1.0, 1.1 и 1.2 (https://cloud.google.com/compute/docs/load-balancing/http/#tls_support). Я тестировал свои экземпляры локально с помощью openssl и cipherscan (https://github.com/jvehent/cipherscan), и в любом из них я смог получить соединение только с использованием шифров TLSv1.2. Я пытаюсь использовать те же инструменты, используя общедоступный IP-адрес GCE HTTS Load Balancer, я могу подключиться с помощью TLSv1, TLSv1.1, TLSv1.2.
Для всех, кто наткнулся на это; теперь можно определить SSL-политику, которая может применяться к target-https-proxies создается балансировщиком нагрузки HTTPS GCE.
Следующая команда позволяет создать политику, которая, насколько мне известно, соответствовала бы требованиям для упомянутого сканирования Trustwave pci DSS в вопросе OP.
$ gcloud beta compute ssl-policies create pci_dss_ssl_policy \
--profile MODERN --min-tls-version 1.2
Перечислите существующие target-https-proxies с участием :
$ gcloud beta compute target-https-proxies list
Применить созданную политику к заданному target-https-proxies с участием :
$ gcloud beta compute target-https-proxies update \
NAME_OF_HTTPS_TARGET --ssl-policy pci_dss_ssl_policy
Для получения дополнительной информации ssl-политики твой друг. Например. если нужно еще больше ограничить политику, используя настраиваемый список шифров.
Вместо этого вы можете использовать балансировщики сетевой нагрузки GCE для пересылки TCP-пакетов непосредственно вашим экземплярам; это означает, что ваш клиент HTTPS будет устанавливать связь непосредственно с вашим приложением и, следовательно, будет использовать шифры TLSv1.2. С другой стороны, вы можете не получить такое же поведение балансировки по запросу.
Надеюсь это поможет!