El cortafuegos de nueva generación de Cloud ofrece un servicio de intercepción y descifrado de Seguridad en la capa de transporte (TLS) que puede inspeccionar el tráfico cifrado y sin cifrar para detectar ataques y disrupciones de red. Las conexiones TLS se inspeccionan tanto en las conexiones entrantes como en las salientes, incluido el tráfico hacia y desde Internet, así como el tráfico dentro de Google Cloud.
Cloud NGFW descifra el tráfico TLS para permitir que el endpoint del cortafuegos realice una inspección de capa 7, como la prevención de intrusiones, en tu red. Después de la inspección, Cloud NGFW vuelve a cifrar el tráfico antes de enviarlo a su destino.
Cloud NGFW usa el servicio de autoridades de certificación (CAS) gestionado por Google para generar certificados intermedios de corta duración. Cloud NGFW usa estos certificados intermedios para generar los certificados necesarios para descifrar el tráfico interceptado. Configura grupos de autoridades de certificación (CAs) y, opcionalmente, configuraciones de confianza para almacenar y mantener una lista de certificados de CA de confianza.
En esta página se ofrece una descripción detallada de las funciones de inspección de TLS de Cloud NGFW.
Especificaciones
Cloud NGFW admite las versiones 1.0, 1.1, 1.2 y 1.3 del protocolo TLS.
Cloud NGFW admite los siguientes paquetes de cifrado TLS:
Valor de IANA Nombre del conjunto de cifrado 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW usa una política de inspección TLS para configurar la inspección TLS en un endpoint de cortafuegos.
Configuras grupos de ACs y, opcionalmente, configuraciones de confianza para generar certificados TLS de confianza para clientes TLS. También puedes configurar configuraciones de confianza para almacenar y mantener certificados de CA de confianza. Incluye la información de configuración sobre los grupos de AC y las configuraciones de confianza en una política de inspección TLS. Esta política se asocia al endpoint del cortafuegos y a la red de nube privada virtual (VPC) de destino, y se usa para descifrar el tráfico que quieras inspeccionar.
Para obtener más información sobre cómo configurar la inspección TLS en Cloud NGFW, consulta el artículo Configurar la inspección TLS.
Tanto la política de inspección TLS como el grupo de AC son recursos regionales. Por lo tanto, debes crear un grupo de CAs y una política de inspección TLS para cada región en la que habilites la inspección TLS.
Si quieres usar configuraciones de confianza en tu política de inspección de TLS, asegúrate de que la configuración de confianza y la política de inspección de TLS estén en la misma región.
Función de la autoridad de certificación en la inspección TLS
Cloud NGFW intercepta el tráfico TLS generando certificados de forma dinámica para los clientes. Estos certificados están firmados por CA intermedias configuradas en el endpoint del cortafuegos. Estas CA intermedias están firmadas por grupos de CA dentro de CA Service. Cloud NGFW genera nuevas CAs intermedias cada 24 horas.
Cada vez que un cliente establece una conexión TLS, Cloud NGFW intercepta la conexión y genera un certificado para el nombre del servidor solicitado para devolverlo al cliente. Cloud NGFW también puede validar certificados de backend firmados de forma privada mediante una configuración de confianza. Puedes añadir certificados de confianza a una configuración de confianza de Certificate Manager.
Añade configuraciones de confianza y de grupo de ACs a una política de inspección TLS. Esta política se añade a la asociación de endpoint de cortafuegos y se usa para descifrar el tráfico interceptado.
Las ACs almacenadas en el servicio de ACs están respaldadas por el módulo de seguridad de hardware (HSM) y generan registros de auditoría con cada uso.
Las CAs intermedias de corta duración generadas por Cloud NGFW se almacenan únicamente en la memoria. Cada certificado de servidor firmado por una CA intermedia no genera un registro de auditoría del servicio de CA. Además, como los certificados de servidor no los genera directamente el servicio de AC, las políticas de emisión o las restricciones de nombre configuradas en el grupo de AC no se aplican a los certificados de servidor generados por Cloud NGFW. Cloud NGFW no aplica estas restricciones al generar certificados de servidor con CAs intermedias.
Marca --tls-inspect de regla de política de cortafuegos
Para habilitar el descifrado del tráfico que coincida con las reglas de la política de cortafuegos configurada, usa la marca --tls-inspect. Cuando configuras la marca --tls-inspect
en la regla de la política de cortafuegos, Cloud NGFW genera un nuevo certificado de servidor
para el tráfico TLS coincidente. Las CAs intermedias de Cloud NGFW firman este certificado. A su vez, estas CA intermedias están firmadas por grupos de CA del servicio de CA. A continuación, se presenta al cliente y se establece una conexión TLS. El certificado generado se almacena en caché durante un breve periodo para las conexiones posteriores al mismo host.
Inspección TLS a través de HTTP Connect
Cloud NGFW admite la intercepción y el descifrado de TLS en el tráfico HTTPS de salida que envía un cliente mediante HTTP Connect.
Por ejemplo, supongamos que un cliente envía una solicitud HTTP Connect para establecer un túnel seguro entre el cliente y el servidor mediante un servidor proxy web intermedio, como Secure Web Proxy. Una vez establecido el túnel, Cloud NGFW intercepta y descifra cualquier tráfico de Internet TLS de salida que pase por el túnel y realiza una inspección de capa 7, como la detección y prevención de intrusiones.
Limitaciones
Cloud NGFW no admite el tráfico de HTTP/2, QUIC, HTTP/3 ni PROXY protocol con inspección de TLS. Sin embargo, la inspección de TLS se admite en el tráfico TCP que no es HTTPS.
Cloud NGFW solo admite el descifrado TLS. No admite el descifrado del tráfico que usa otros protocolos de cifrado, como SSH.