Para quem tropeçar nisso; agora é possível definir uma política SSL que possa ser aplicada ao target-https-proxies
criado por um balanceador de carga HTTPS do GCE.
O comando a seguir permite criar uma política que, a meu conhecimento, teria atendido ao requisito da varredura do Trustwave pci DSS mencionada na pergunta do OP.
$ gcloud beta compute ssl-policies create pci_dss_ssl_policy \
--profile MODERN --min-tls-version 1.2
Relacione o target-https-proxies
existente com:
$ gcloud beta compute target-https-proxies list
Aplique a política criada a um determinado target-https-proxies
com:
$ gcloud beta compute target-https-proxies update \
NAME_OF_HTTPS_TARGET --ssl-policy pci_dss_ssl_policy
Para referência futura, o ssl-policies é seu amigo. Por exemplo. se alguém quiser restringir ainda mais a política usando uma lista personalizada de códigos.