2024年9月20日 Google CloudのTLSの最小バージョンが気になった話 Cloud Load Balancing Cloud Run Google Cloud 検索する Popular tags 生成AI(Generative AI) Looker Studio BigQuery AlloyDB Google Workspace 事例紹介 Cloud SQL Category Google Cloud Author ten SHARE 目次 まとめ nmapを利用して確認 対策方法 さいごに Content tenです。 Google CloudにはWebアプリケーションやAPIエンドポイントをホスティングするためのサービスが複数ありますが、それらのデフォルトの最小TLSバージョンが気になったので調査してみました。 なお下記の内容は、2024年9月現在のものです。今後、変更される可能性がありますので、ご留意ください。 まとめ 先に結果だけまとめます。 Cloud RunとFirebase HostingはデフォルトでTLS 1.2以上ですが、それ以外のサービスはTLS 1.0や1.1での通信が許可されていました。 各サービスのデフォルトのTLSバージョン対応状況 TLSバージョン App Engine Cloud Functions Cloud Run API Gateway Firebase Hosting 1.0 〇 〇 × 〇 × 1.1 〇 〇 × 〇 × 1.2 〇 〇 〇 〇 〇 1.3 〇 〇 〇 〇 〇 nmapを利用して確認 nmapを利用して確認します。 実行するコマンドは下記です。 nmap -sV --script ssl-enum-ciphers -p 443 <host> App Engine 脆弱性のある「TLS_RSA_WITH_3DES_EDE_CBC_SHA」が有効であり、least strengthは C という結果です。 Cloud Functions App Engineと同様の結果でした。 Cloud Functionsについては、第1世代を利用する場合は上記の通りですが、第2世代の場合はCloud Runのエンドポイントでも通信できるため、Cloud Functionsのエンドポイントを利用しないという対策も考えられそうです。 Cloud Run TLS 1.0と1.1が無効になっており、脆弱性のある暗号化方式も利用できない設定でした。 least strengthは A という結果です。 API Gateway App EngineやCloud Functionsと同様の結果です。 脆弱性のある 3DES が利用できる状態であり、SWEET32攻撃のリスクがあります。 Firebase Hosting Cloud Runと同様、TLS 1.0や1.1はデフォルトで利用できません。 対策方法 Cloud Runであれば、脆弱性のある暗号化方式が利用されていないため、問題ありません。 それ以外のサービスは Cloud Load Balancing を組み合わせることで、TLSの最小バージョンや暗号スイートを選択できます。 SSL プロトコルと TLS プロトコルの SSL ポリシー さいごに Google CloudのさまざまなサービスのTLSバージョンを調査いたしました。 Cloud RunやFirebase HostingではデフォルトでTLS 1.2以上のため安全です。 App Engine、Cloud Functions、API GatewayについてはTLS 1.0や1.1を利用できてしまうため、必要に応じてCloud Load Balancingを利用してTLSの最小バージョンを設定しましょう。 ちなみに、今回触れたサービス以外のGoogle Cloudサービスについては、組織ポリシーで制限することも可能です。 TLS バージョンを制限する システムサポートでは、Google Cloudの活用したシステム開発や導入支援を行っております。 システムのセキュリティにお悩みの方も、ぜひお気軽にご相談ください。 Google Cloud導入・活用支援に関するご相談はこちら 関連コンテンツ 【Google Cloud】【AWS】コンテナサービスの比較 (Cloud Run / Fargate) by さと たかon 2024年7月5日 頂きましたご意見につきましては、今後のより良い商品開発・サービス改善に活かしていきたいと考えております。 よく分かった 気になる おもしろい イマイチ Author ten 株式会社システムサポート 大阪支社システムインテグレーション事業部所属。 Google Cloud 認定資格 10資格、AWS 認定 12資格。マルチクラウドの知見を活かし、プリセールスを担当しています。 Cloud Load Balancing Cloud Run Google Cloud 2024年9月20日 Google CloudのTLSの最小バージョンが気になった話 Category Google Cloud 前の記事を読む DatastreamからNLB経由でAurora PostgreSQLに接続してみた 次の記事を読む Lookerで自作のCustom Visualizationを利用してみよう! Recommendation オススメ記事 2023年9月5日 Google Cloud 【Google Cloud】Looker Studio × Looker Studio Pro × Looker を徹底比較!機能・選び方を解説 2023年8月24日 Google Cloud 【Google Cloud】Migrate for Anthos and GKEでVMを移行してみた(1:概要編) 2022年10月10日 Google Cloud 【Google Cloud】AlloyDB と Cloud SQL を徹底比較してみた!!(第1回:AlloyDB の概要、性能検証編) BigQuery ML ワークショップ開催のお知らせ 生成AI導入支援パッケージ Discovery AI導入支援パッケージ Google Cloud ホワイトペーパー 新着記事 2024年9月30日 Google Cloud 【Google Cloud】サーバレスでマネージドなサービス「Cloud Run」でアプリケーションを走らせよう! 2024年9月27日 技術開発 モブレビューを導入して分かったメリットとデメリットについて 2024年9月26日 Google Cloud 自然言語でデータを可視化できるLookerのExplore Assistantを試してみた HOME Google Cloud Google CloudのTLSの最小バージョンが気になった話 ご意見・ご相談・料金のお見積もりなど、お気軽にお問い合わせください。 お問い合わせはこちら HOME Categories お知らせ イベント・セミナー Google Cloud Google Workspace モバイル インフラ 技術開発 ブログ 4koma Tags 生成AI(Generative AI) Looker Studio BigQuery AlloyDB Google Workspace 事例紹介 Cloud SQL STSエンジニアリングマガジン 「サイタル」