Cloud Next Generation Firewall propose un service d'interception et de déchiffrement TLS (Transport Layer Security) permettant d'inspecter le trafic chiffré et non chiffré à la recherche d'attaques et de perturbations du réseau. Les connexions TLS sont inspectées sur les connexions entrantes et sortantes, y compris le trafic vers et depuis Internet et le trafic au sein de Google Cloud.
Cloud NGFW déchiffre le trafic TLS pour permettre au point de terminaison de pare-feu d'effectuer une inspection de couche 7, telle que la prévention des intrusions, sur votre réseau. Après l'inspection, Cloud NGFW rechiffre le trafic avant de l'envoyer à sa destination.
Cloud NGFW utilise Certificate Authority Service (CAS), géré par Google, pour générer des certificats intermédiaires de courte durée. Cloud NGFW utilise ces certificats intermédiaires pour générer les certificats nécessaires au déchiffrement du trafic intercepté. Vous devez configurer des pools d'autorités de certification (CA) et configurer éventuellement des configurations de confiance pour stocker et gérer une liste de certificats CA approuvés.
Cette page présente en détail les fonctionnalités d'inspection TLS de Cloud NGFW.
Spécifications
Cloud NGFW est compatible avec les versions de protocole TLS 1.0, 1.1, 1.2 et 1.3.
Cloud NGFW est compatible avec les suites de chiffrement TLS suivantes :
Valeur IANA Nom de la suite de chiffrement 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW utilise une règle d'inspection TLS pour configurer l'inspection TLS sur un point de terminaison de pare-feu.
Vous configurez des pools d'autorités de certification et, éventuellement, des configurations de confiance pour générer des certificats TLS approuvés pour les clients TLS. Vous pouvez également définir des configurations de confiance pour stocker et gérer des certificats CA approuvés. Vous incluez les informations de configuration concernant les pools d'autorités de certification et les configurations de confiance dans une règle d'inspection TLS. Cette stratégie est ensuite associée au point de terminaison de pare-feu et au réseau cloud privé virtuel (VPC) cible, puis utilisée pour déchiffrer le trafic que vous souhaitez inspecter.
Pour en savoir plus sur la configuration de l'inspection TLS dans Cloud NGFW, consultez la section Configurer l'inspection TLS.
Une règle d'inspection TLS et un pool d'autorités de certification sont tous deux des ressources régionales. Par conséquent, vous devez créer un pool d'autorités de certification et une règle d'inspection TLS pour chaque région où vous activez l'inspection TLS.
Si vous souhaitez utiliser des configurations de confiance dans votre règle d'inspection TLS, assurez-vous que la configuration de confiance et la règle d'inspection TLS se trouvent dans la même région.
Rôle de l'autorité de certification dans l'inspection TLS
Cloud NGFW intercepte le trafic TLS en générant des certificats de manière dynamique pour les clients. Ces certificats sont signés par des autorités de certification intermédiaires configurées dans le point de terminaison de pare-feu. Ces autorités de certification intermédiaires sont signées par des pools d'autorités de certification au sein du service CA. Cloud NGFW génère de nouvelles autorités de certification intermédiaires toutes les 24 heures.
Chaque fois qu'un client établit une connexion TLS, Cloud NGFW intercepte la connexion et génère un certificat pour le nom de serveur demandé afin de le renvoyer au client. Cloud NGFW peut également valider des certificats de backend signés en mode privé à l'aide d'une configuration de confiance. Vous pouvez ajouter des certificats de confiance à une configuration de confiance du gestionnaire de certificats.
Vous ajoutez les configurations de confiance et de pool d'autorités de certification à une règle d'inspection TLS. Cette règle est ensuite ajoutée à l'association de point de terminaison de pare-feu et utilisée pour déchiffrer le trafic intercepté.
Les autorités de certification stockées dans le service CA sont secondées par le module de sécurité matériel (HSM, Hardware Security Module) et génèrent des journaux d'audit pour chaque utilisation.
Les autorités de certification intermédiaires de courte durée générées par Cloud NGFW ne sont stockées que dans la mémoire. Chaque certificat de serveur signé par une autorité de certification intermédiaire n'entraîne pas la création d'un journal d'audit par le service CA. De plus, comme les certificats de serveur ne sont pas générés directement par le service CA, les règles d'émission ou les contraintes de nom configurées dans le pool d'autorités de certification ne s'appliquent pas aux certificats de serveur générés par Cloud NGFW. Cloud NGFW n'applique pas ces contraintes lors de la génération de certificats de serveur avec des autorités de certification intermédiaires.
Option --tls-inspect de la règle de stratégie de pare-feu
Pour activer le déchiffrement du trafic correspondant aux règles de stratégie de pare-feu configurées, utilisez l'option --tls-inspect. Lorsque vous configurez l'option --tls-inspect dans la règle de stratégie de pare-feu, Cloud NGFW génère un nouveau certificat de serveur pour le trafic TLS correspondant. Ce certificat est signé par des autorités de certification intermédiaires dans Cloud NGFW. Ces autorités de certification intermédiaires sont à leur tour signées par des pools d'autorités de certification au sein du service CA. Ce certificat est ensuite présenté au client et une connexion TLS est établie. Le certificat généré est mis en cache pendant une courte période pour les connexions ultérieures au même hôte.
Limites
Cloud NGFW n'accepte pas le trafic QUIC, HTTP/3 ni du protocole PROXY avec l'inspection TLS.