Cloud Next Generation Firewall ofrece un servicio de intercepción y desencriptación de seguridad de la capa de transporte (TLS) que puede inspeccionar el tráfico encriptado y no encriptado para detectar ataques de red e interrupciones. Las conexiones TLS se inspeccionan en conexiones entrantes y salientes, incluido el tráfico desde y hacia Internet y el tráfico dentro de Google Cloud.
Cloud NGFW desencripta el tráfico TLS para permitir que el extremo del firewall realice una inspección de la capa 7, como la prevención de intrusiones en tu red. Después de la inspección, Cloud NGFW vuelve a encriptar el tráfico antes de enviarlo a su destino.
Cloud NGFW usa Certificate Authority Service (CAS) administrado por Google para generar certificados intermedios de corta duración. Cloud NGFW usa estos certificados intermedios a fin de generar los certificados necesarios para desencriptar el tráfico interceptado. Puedes configurar grupos de autoridades certificadoras (AC) y, de forma opcional, archivos de configuración de confianza para almacenar y mantener una lista de certificados de AC de confianza.
En esta página, se proporciona una descripción general detallada de las funciones de inspección de TLS de Cloud NGFW.
Especificaciones
Cloud NGFW es compatible con las versiones 1.0, 1.1, 1.2 y 1.3 del protocolo TLS.
Cloud NGFW admite los siguientes conjuntos de algoritmos de cifrado de TLS:
Valor IANA Nombre del conjunto de algoritmos de cifrado 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW usa una política de inspección de TLS para configurar la inspección de TLS en un extremo de firewall.
Configura grupos de CA y, de manera opcional, archivos de configuración de confianza a fin de generar certificados TLS de confianza para clientes de TLS. De manera opcional, también puedes establecer archivos de configuración de confianza para almacenar y mantener certificados de CA de confianza. Debes incluir la información de configuración sobre los grupos de CA y las configuraciones de confianza en una política de inspección de TLS. Luego, esta política se conecta al extremo de firewall y a la red de nube privada virtual (VPC) de destino y se usa para desencriptar el tráfico que deseas inspeccionar.
Para obtener más información sobre cómo configurar la inspección de TLS en Cloud NGFW, consulta Configura la inspección de TLS.
Una política de inspección de TLS y un grupo de CA son recursos regionales. Por lo tanto, debes crear un grupo de CA y una política de inspección de TLS para cada región en la que habilites la inspección de TLS.
Si deseas usar archivos de configuración de confianza en tu política de inspección de TLS, asegúrate de que la configuración de confianza y la política de inspección de TLS estén en la misma región.
Roles de la autoridad certificadora en la inspección de TLS
Cloud NGFW intercepta el tráfico de TLS mediante la generación dinámica de certificados para los clientes. Estos certificados están firmados por CA intermedias que están configuradas dentro del extremo de firewall. Estas CA intermedias están firmadas por grupos de CA dentro del servicio de CA. Cloud NGFW genera nuevas CA intermedias cada 24 horas.
Cada vez que un cliente establece una conexión TLS, Cloud NGFW intercepta la conexión y genera un certificado para el nombre del servidor solicitado para el cliente. Cloud NGFW también puede validar certificados de backend firmados de forma privada mediante una configuración de confianza. Puedes agregar certificados de confianza a una configuración de confianza del Administrador de certificados.
Agrega la configuración de confianza y las configuraciones del grupo de CA a una política de inspección de TLS. Esta política se agrega a la asociación del extremo de firewall y se usa para desencriptar el tráfico interceptado.
Las CA almacenadas en el servicio de CA están respaldadas por el módulo de seguridad de hardware (HSM) y generan registros de auditoría con cada uso.
Las CA intermedias de corta duración que genera Cloud NGFW solo se almacenan en la memoria. Cada certificado de servidor firmado por una CA intermedia no genera un registro de auditoría del servicio de CA. Además, debido a que el servicio de CA no genera directamente los certificados de servidor, las políticas de emisión o las restricciones de nombre configuradas en el grupo de CA no se aplican a los certificados de servidor que genera Cloud NGFW. Cloud NGFW no aplica estas restricciones cuando se generan certificados de servidor con CA intermedias.
Marca --tls-inspect de la regla de política de firewall
Para habilitar la desencriptación del tráfico que coincide con las reglas de la política de firewall configurada, usa la marca --tls-inspect. Cuando configuras la marca --tls-inspect en la regla de la política de firewall, Cloud NGFW genera un certificado de servidor nuevo para el tráfico TLS coincidente. Las CA intermedias dentro de Cloud NGFW firman este certificado. Estas CA intermedias están, a su vez, firmadas por grupos de CA dentro del servicio de CA. Luego, este certificado se presenta al cliente y se establece una conexión TLS. El certificado generado se almacena en caché por un período breve para las conexiones posteriores al mismo host.
Limitaciones
Cloud NGFW no admite el tráfico de QUIC, HTTP/3 ni de protocolo PROXY con inspección de TLS.