Cloud Next Generation Firewall offre un servizio di intercettazione e decriptazione Transport Layer Security (TLS) che può ispezionare il traffico criptato e non criptato per rilevare attacchi e interruzioni di rete. Le connessioni TLS vengono ispezionate sia in entrata che in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.
Cloud NGFW decripta il traffico TLS per consentire all'endpoint firewall di eseguire l'ispezione di livello 7, ad esempio la prevenzione delle intrusioni, nella tua rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima di inviarlo alla destinazione.
Cloud NGFW utilizza Certificate Authority Service (CAS) gestito da Google per generare certificati intermedi di breve durata. Cloud NGFW utilizza questi certificati intermedi per generare i certificati necessari per decriptare il traffico intercettato. Configuri i pool di autorità di certificazione (CA) e, facoltativamente, le configurazioni di attendibilità per archiviare e gestire un elenco di certificati CA attendibili.
Questa pagina fornisce una panoramica dettagliata delle funzionalità di ispezione TLS di Cloud NGFW.
Specifiche
Cloud NGFW supporta le versioni 1.0, 1.1, 1.2 e 1.3 del protocollo TLS.
Cloud NGFW supporta le seguenti suite di crittografia TLS:
Valore IANA Nome della suite di crittografia 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW utilizza un criterio di ispezione TLS per configurare l'ispezione TLS su un endpoint firewall.
Configuri i pool di CA e, facoltativamente, le configurazioni di attendibilità per generare certificati TLS attendibili per i client TLS. Se vuoi, puoi anche configurare le configurazioni di attendibilità per archiviare e gestire i certificati CA attendibili. Includi le informazioni di configurazione sui pool di CA e sulle configurazioni di attendibilità in una policy di ispezione TLS. Questo criterio viene quindi collegato all'endpoint firewall e alla rete Virtual Private Cloud (VPC) di destinazione e viene utilizzato per decriptare il traffico che vuoi ispezionare.
Per scoprire di più su come configurare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.
Una policy di ispezione TLS e un pool di CA sono entrambe risorse regionali. Pertanto, devi creare un pool di CA e una policy di ispezione TLS per ogni regione in cui attivi l'ispezione TLS.
Se vuoi utilizzare le configurazioni di attendibilità nel criterio di ispezione TLS, assicurati che la configurazione di attendibilità e il criterio di ispezione TLS si trovino nella stessa regione.
Ruolo dell'autorità di certificazione nell'ispezione TLS
Cloud NGFW intercetta il traffico TLS generando dinamicamente certificati per i client. Questi certificati sono firmati da CA intermedie configurate all'interno dell'endpoint firewall. Queste CA intermedie sono firmate dai pool di CA all'interno del servizio CA. Cloud NGFW genera nuove CA intermedie ogni 24 ore.
Ogni volta che un client stabilisce una connessione TLS, Cloud NGFW intercetta la connessione e genera un certificato per il nome server richiesto per il ritorno al client. Cloud NGFW può anche convalidare i certificati di backend firmati privatamente utilizzando una configurazione di attendibilità. Puoi aggiungere certificati attendibili a una configurazione di attendibilità di Gestore certificati.
Aggiungi le configurazioni di attendibilità e del pool di CA a un criterio di ispezione TLS. Questa norma viene quindi aggiunta all'associazione di endpoint firewall e viene utilizzata per decriptare il traffico intercettato.
Le CA archiviate nel servizio CA sono supportate dal modulo di sicurezza hardware (HSM) e generano log di controllo a ogni utilizzo.
Le CA intermedie di breve durata generate da Cloud NGFW vengono memorizzate solo nella memoria. Ogni certificato server firmato da una CA intermedia non genera un log di controllo dal servizio CA. Inoltre, poiché i certificati server non vengono generati direttamente dal servizio CA, eventuali criteri di emissione o vincoli relativi ai nomi configurati nel pool di CA non si applicano ai certificati server generati da Cloud NGFW. Cloud NGFW non applica questi vincoli quando genera certificati server con CA intermedie.
Flag --tls-inspect della regola del criterio firewall
Per attivare la decriptografia del traffico corrispondente alle regole della policy del firewall configurate, utilizza il flag --tls-inspect. Quando configuri il flag --tls-inspect
nella regola dei criteri firewall, Cloud NGFW genera un nuovo certificato
del server per il traffico TLS corrispondente. Le CA intermedie all'interno di
Cloud NGFW firmano questo certificato. Queste CA intermedie sono,
a loro volta, firmate dai pool di CA all'interno del servizio CA. Questo certificato
viene quindi presentato al client e viene stabilita una connessione TLS. Il certificato
generato viene memorizzato nella cache per un breve periodo di tempo per le connessioni successive
allo stesso host.
Ispezione TLS tramite connessione HTTP
Cloud NGFW supporta l'intercettazione e la decrittografia TLS sul traffico HTTPS in uscita che un client invia utilizzando HTTP Connect.
Ad esempio, considera uno scenario in cui un client invia una richiesta HTTP Connect per stabilire un tunnel sicuro tra il client e il server utilizzando un proxy web intermedio come Secure Web Proxy. Dopo aver stabilito il tunnel, Cloud NGFW intercetta e decripta qualsiasi traffico internet TLS in uscita che passa attraverso il tunnel ed esegue un'ispezione di livello 7 come il rilevamento e la prevenzione delle intrusioni.
Limitazioni
Cloud NGFW non supporta il traffico HTTP/2, QUIC, HTTP/3, o PROXY protocol con l'ispezione TLS.