Cloud Next Generation Firewall menawarkan layanan intersepsi dan dekripsi Transport Layer Security (TLS) yang dapat memeriksa traffic terenkripsi dan tidak terenkripsi untuk serangan dan gangguan jaringan. Koneksi TLS diperiksa pada koneksi masuk dan keluar, termasuk traffic ke dan dari internet serta traffic dalam Google Cloud.
Cloud NGFW mendekripsi traffic TLS untuk memungkinkan endpoint firewall melakukan inspeksi Lapisan 7, seperti pencegahan intrusi, di jaringan Anda. Setelah pemeriksaan, Cloud NGFW mengenkripsi ulang traffic sebelum mengirimkannya ke tujuannya.
Cloud NGFW menggunakan Certificate Authority Service (CAS) yang dikelola Google untuk membuat sertifikat perantara berjangka pendek. Cloud NGFW menggunakan sertifikat perantara ini untuk membuat sertifikat yang diperlukan untuk mendekripsi traffic yang dicegat. Anda menyiapkan kumpulan Certificate Authority (CA), dan secara opsional, konfigurasi kepercayaan, untuk menyimpan dan mengelola daftar sertifikat CA tepercaya.
Halaman ini memberikan ringkasan mendetail tentang kemampuan pemeriksaan TLS Cloud NGFW.
Spesifikasi
Cloud NGFW mendukung protokol TLS versi 1.0, 1.1, 1.2, dan 1.3.
Cloud NGFW mendukung cipher suite TLS berikut:
Nilai IANA Nama cipher suite 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW menggunakan kebijakan pemeriksaan TLS untuk menyiapkan pemeriksaan TLS di endpoint firewall.
Anda menyiapkan kumpulan CA dan, secara opsional, konfigurasi kepercayaan untuk membuat sertifikat TLS yang tepercaya bagi klien TLS. Secara opsional, Anda juga dapat menyiapkan konfigurasi kepercayaan untuk menyimpan dan mengelola sertifikat CA tepercaya. Anda menyertakan informasi konfigurasi tentang kumpulan CA dan konfigurasi kepercayaan dalam kebijakan pemeriksaan TLS. Kebijakan ini kemudian dilampirkan ke endpoint firewall dan jaringan Virtual Private Cloud (VPC) target serta digunakan untuk mendekripsi traffic yang ingin Anda periksa.
Untuk mempelajari lebih lanjut cara menyiapkan pemeriksaan TLS di Cloud NGFW, lihat Menyiapkan pemeriksaan TLS.
Kebijakan pemeriksaan TLS dan kumpulan CA adalah resource regional. Oleh karena itu, Anda harus membuat kumpulan CA dan kebijakan pemeriksaan TLS untuk setiap region tempat Anda mengaktifkan pemeriksaan TLS.
Jika Anda ingin menggunakan konfigurasi kepercayaan dalam kebijakan inspeksi TLS, pastikan konfigurasi kepercayaan dan kebijakan inspeksi TLS berada di region yang sama.
Peran certificate authority dalam pemeriksaan TLS
Cloud NGFW mencegat traffic TLS dengan membuat sertifikat secara dinamis untuk klien. Sertifikat ini ditandatangani oleh CA perantara yang dikonfigurasi dalam endpoint firewall. CA perantara ini ditandatangani oleh kumpulan CA dalam Layanan CA. Cloud NGFW membuat CA perantara baru setiap 24 jam.
Setiap kali klien membuat koneksi TLS, Cloud NGFW akan mencegat koneksi dan membuat sertifikat untuk nama server yang diminta untuk kembali ke klien. Cloud NGFW juga dapat memvalidasi sertifikat backend yang ditandatangani secara pribadi menggunakan konfigurasi kepercayaan. Anda dapat menambahkan sertifikat tepercaya ke konfigurasi kepercayaan Pengelola Sertifikat.
Anda menambahkan konfigurasi kepercayaan dan konfigurasi kumpulan CA ke kebijakan pemeriksaan TLS. Kebijakan ini kemudian ditambahkan ke asosiasi endpoint firewall dan digunakan untuk mendekripsi traffic yang dicegat.
CA yang disimpan di Layanan CA didukung oleh Modul Keamanan Hardware (HSM) dan menghasilkan log audit dengan setiap penggunaan.
CA perantara berumur pendek yang dihasilkan oleh Cloud NGFW hanya disimpan di memori. Setiap sertifikat server yang ditandatangani oleh CA perantara tidak menghasilkan log audit dari Layanan CA. Selain itu, karena sertifikat server tidak dibuat langsung oleh Layanan CA, kebijakan penerbitan atau batasan nama yang dikonfigurasi di kumpulan CA tidak berlaku untuk sertifikat server yang dibuat oleh Cloud NGFW. Cloud NGFW tidak menerapkan batasan ini saat membuat sertifikat server dengan CA perantara.
Flag --tls-inspect
aturan kebijakan firewall
Untuk mengaktifkan dekripsi traffic yang cocok dengan aturan kebijakan
firewall yang dikonfigurasi, gunakan flag --tls-inspect
. Saat Anda mengonfigurasi tanda --tls-inspect
dalam aturan kebijakan firewall, Cloud NGFW akan membuat sertifikat server
baru untuk traffic TLS yang cocok. CA perantara dalam
Cloud NGFW menandatangani sertifikat ini. Selanjutnya,
CA perantara ini ditandatangani oleh kumpulan CA dalam Layanan CA. Sertifikat ini
kemudian ditampilkan kepada klien, dan koneksi TLS akan dibuat. Sertifikat
yang dihasilkan disimpan dalam cache untuk waktu yang singkat untuk koneksi berikutnya
ke host yang sama.
Batasan
Cloud NGFW tidak mendukung traffic HTTP/2, QUIC, HTTP/3, atau protokol PROXY dengan pemeriksaan TLS.