Cloud Next Generation Firewall menawarkan layanan intersepsi dan dekripsi Transport Layer Security (TLS) yang dapat memeriksa traffic terenkripsi dan tidak terenkripsi untuk mendeteksi serangan dan gangguan jaringan. Koneksi TLS diperiksa pada koneksi masuk dan keluar, termasuk traffic ke dan dari internet, serta traffic dalam Google Cloud.
Cloud NGFW mendekripsi traffic TLS agar endpoint firewall dapat melakukan pemeriksaan Lapisan 7, seperti pencegahan intrusi di jaringan Anda. Setelah inspeksi, Cloud NGFW mengenkripsi ulang traffic sebelum mengirimkannya ke tujuannya.
Cloud NGFW menggunakan Certificate Authority Service (CAS) yang dikelola Google untuk membuat intermediate certificate berumur pendek. Cloud NGFW menggunakan sertifikat perantara ini untuk membuat sertifikat yang diperlukan untuk mendekripsi traffic yang disadap. Anda menyiapkan kumpulan Certificate Authority (CA), dan jika perlu, konfigurasi kepercayaan, untuk menyimpan dan mengelola daftar sertifikat CA tepercaya.
Halaman ini memberikan ringkasan mendetail tentang kemampuan pemeriksaan TLS Cloud NGFW.
Spesifikasi
Cloud NGFW mendukung protokol TLS versi 1.0, 1.1, 1.2, dan 1.3.
Cloud NGFW mendukung cipher suite TLS berikut:
Nilai IANA Nama suite cipher 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW menggunakan kebijakan inspeksi TLS untuk menyiapkan pemeriksaan TLS di endpoint firewall.
Anda menyiapkan kumpulan CA dan, secara opsional, konfigurasi kepercayaan untuk membuat sertifikat TLS tepercaya bagi klien TLS. Atau, Anda juga dapat menyiapkan konfigurasi kepercayaan untuk menyimpan dan mengelola sertifikat CA tepercaya. Anda menyertakan informasi konfigurasi tentang kumpulan CA dan konfigurasi kepercayaan dalam kebijakan pemeriksaan TLS. Kebijakan ini kemudian dipasang ke endpoint firewall dan menargetkan jaringan Virtual Private Cloud (VPC) dan digunakan untuk mendekripsi traffic yang ingin Anda periksa.
Untuk mempelajari lebih lanjut cara menyiapkan inspeksi TLS di Cloud NGFW, lihat Menyiapkan inspeksi TLS.
Kebijakan inspeksi TLS dan kumpulan CA merupakan resource regional. Oleh karena itu, Anda harus membuat kumpulan CA dan kebijakan pemeriksaan TLS untuk setiap wilayah tempat Anda mengaktifkan pemeriksaan TLS.
Jika Anda ingin menggunakan konfigurasi kepercayaan dalam kebijakan pemeriksaan TLS, pastikan konfigurasi kepercayaan dan kebijakan pemeriksaan TLS berada di region yang sama.
Peran certificate authority dalam inspeksi TLS
Cloud NGFW mencegat traffic TLS dengan membuat sertifikat secara dinamis untuk klien. Sertifikat ini ditandatangani oleh CA perantara yang dikonfigurasi dalam endpoint firewall. CA perantara ini ditandatangani oleh kumpulan CA dalam Layanan CA. Cloud NGFW menghasilkan CA perantara baru setiap 24 jam.
Setiap kali klien membuat koneksi TLS, Cloud NGFW akan mencegat koneksi dan menghasilkan sertifikat untuk nama server yang diminta, yang akan dikembalikan ke klien. Cloud NGFW juga dapat memvalidasi sertifikat backend yang ditandatangani secara pribadi menggunakan konfigurasi kepercayaan. Anda dapat menambahkan sertifikat tepercaya ke konfigurasi kepercayaan Certificate Manager.
Anda akan menambahkan konfigurasi kepercayaan dan konfigurasi kumpulan CA ke kebijakan pemeriksaan TLS. Kebijakan ini kemudian ditambahkan ke pengaitan endpoint firewall dan digunakan untuk mendekripsi traffic yang disadap.
CA yang disimpan di CA Service didukung oleh Hardware Security Module (HSM) dan membuat log audit setiap kali digunakan.
CA perantara berumur pendek yang dihasilkan oleh Cloud NGFW hanya disimpan dalam memori. Setiap sertifikat server yang ditandatangani oleh CA perantara tidak menghasilkan log audit dari CA Service. Selain itu, karena sertifikat server tidak dibuat langsung oleh Layanan CA, kebijakan penerbitan atau batasan nama yang dikonfigurasi dalam kumpulan CA tidak berlaku untuk sertifikat server yang dihasilkan oleh Cloud NGFW. Cloud NGFW tidak menerapkan batasan ini saat membuat sertifikat server dengan CA perantara.
Flag --tls-inspect aturan kebijakan firewall
Untuk mengaktifkan dekripsi traffic yang cocok dengan aturan kebijakan firewall
yang dikonfigurasi, gunakan flag --tls-inspect. Saat Anda mengonfigurasi flag --tls-inspect
di aturan kebijakan firewall, Cloud NGFW akan membuat sertifikat server
baru untuk traffic TLS yang cocok. CA perantara dalam
Cloud NGFW menandatangani sertifikat ini. CA perantara ini selanjutnya
ditandatangani oleh kumpulan CA dalam CA Service. Sertifikat ini
kemudian diberikan kepada klien, dan koneksi TLS dibuat. Sertifikat
yang dihasilkan akan di-cache dalam waktu singkat untuk koneksi berikutnya
ke host yang sama.
Batasan
Cloud NGFW tidak mendukung traffic QUIC, HTTP/3, atau PROXY protocol dengan pemeriksaan TLS.