Cloud Next Generation Firewall offre un servizio di intercettazione e decriptazione Transport Layer Security (TLS) che può ispezionare il traffico criptato e non criptato alla ricerca di attacchi e interruzioni della rete. Le connessioni TLS vengono ispezionate sia sulle connessioni in entrata sia su quelle in uscita, incluso il traffico da e verso internet e il traffico all'interno di Google Cloud.
Cloud NGFW decripta il traffico TLS per consentire all'endpoint firewall di eseguire un'ispezione di livello 7, ad esempio la prevenzione delle intrusioni, nella tua rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima di inviarlo alla destinazione.
Cloud NGFW utilizza Certificate Authority Service (CAS) gestito da Google per generare certificati intermedi di breve durata. Cloud NGFW utilizza questi certificati intermedi per generare i certificati necessari per decriptare il traffico intercettato. Configura i pool di autorità di certificazione (CA) e, facoltativamente, le configurazioni attendibili per archiviare e gestire un elenco di certificati CA attendibili.
Questa pagina fornisce una panoramica dettagliata delle funzionalità di ispezione TLS di Cloud NGFW.
Specifiche
Cloud NGFW supporta le versioni 1.0, 1.1, 1.2 e 1.3 del protocollo TLS.
Cloud NGFW supporta le seguenti suite di crittografia TLS:
Valore IANA Nome della suite di crittografia 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW utilizza un criterio di ispezione TLS per configurare l'ispezione TLS su un endpoint firewall.
Configura i pool di CA e, facoltativamente, le configurazioni attendibili per generare certificati TLS attendibili per i client TLS. Se vuoi, puoi anche configurare le configurazioni di attendibilità per archiviare e gestire i certificati CA attendibili. Includi le informazioni di configurazione relative ai pool CA e alle configurazioni attendibili in una policy di ispezione TLS. Questo criterio viene poi collegato all'endpoint del firewall e alla rete Virtual Private Cloud (VPC) di destinazione e viene utilizzato per decriptare il traffico che vuoi ispezionare.
Per scoprire di più su come configurare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.
Una policy di ispezione TLS e un pool di CA sono entrambe risorse regionali. Pertanto, devi creare un pool di CA e un criterio di ispezione TLS per ogni regione in cui attivi l'ispezione TLS.
Se vuoi utilizzare le configurazioni di attendibilità nel criterio di ispezione TLS, assicurati che la configurazione di attendibilità e il criterio di ispezione TLS si trovino nella stessa regione.
Ruolo dell'autorità di certificazione nell'ispezione TLS
Cloud NGFW intercetta il traffico TLS generando dinamicamente certificati per i client. Questi certificati sono firmati da CA intermedie configurate nell'endpoint del firewall. Queste CA intermedie sono firmate dai pool di CA all'interno del servizio CA. Cloud NGFW genera nuove CA intermedie ogni 24 ore.
Ogni volta che un client stabilisce una connessione TLS, Cloud NGFW intercetta la connessione e genera un certificato per il nome del server richiesto da restituire al client. Cloud NGFW può anche convalidare i certificati di backend firmati privatamente utilizzando una configurazione attendibile. Puoi aggiungere certificati attendibili a una configurazione di attendibilità di Gestore certificati.
Aggiungi le configurazioni di trust e del pool di CA a un criterio di ispezione TLS. Questo criterio viene poi aggiunto all'associazione di endpoint firewall e viene utilizzato per decriptare il traffico intercettato.
Le CA archiviate in CA Service sono supportate dal modulo di sicurezza hardware (HSM) e generano log di controllo a ogni utilizzo.
Le CA intermedie di breve durata generate da Cloud NGFW vengono memorizzate solo in memoria. Ogni certificato server firmato da una CA intermedia non genera un log di controllo dal servizio CA. Inoltre, poiché i certificati server non vengono generati direttamente dal servizio CA, eventuali criteri di emissione o vincoli relativi ai nomi configurati nel pool di CA non si applicano ai certificati server generati da Cloud NGFW. Cloud NGFW non applica questi vincoli quando genera certificati server con CA intermedie.
Flag --tls-inspect della regola del criterio firewall
Per attivare la decrittografia del traffico corrispondente alle regole del criterio del firewall configurato, utilizza il flag --tls-inspect. Quando configuri il flag --tls-inspect
nella regola del criterio del firewall, Cloud NGFW genera un nuovo certificato
del server per il traffico TLS corrispondente. Le CA intermedie all'interno di Cloud NGFW firmano questo certificato. Queste CA intermedie sono, a loro volta, firmate dai pool di CA all'interno del servizio CA. Questo certificato viene poi presentato al client e viene stabilita una connessione TLS. Il
certificato generato viene memorizzato nella cache per un breve periodo di tempo per le connessioni successive
allo stesso host.
Limitazioni
Cloud NGFW non supporta il traffico HTTP/2, QUIC, HTTP/3 o protocollo PROXY con ispezione TLS.